AVIS du Contrôleur européen de la protection des données (CEPD) sur le paquet législatif «Une nouvelle donne pour les consommateurs».
Le présent avis expose la position du CEPD sur le paquet législatif intitulé «Une nouvelle donne pour les consommateurs», qui se compose i) d’une proposition de directive concernant une meilleure application et une modernisation des règles de protection des consommateurs de l’Union européenne et ii) d’une proposition de directive relative aux actions représentatives dans le domaine de la protection des intérêts collectifs des consommateurs.
Le CEPD se félicite de l’intention de la Commission de moderniser les règles existantes et de combler les lacunes de l’acquis actuel en matière de protection des consommateurs pour répondre aux enjeux actuels, tels que l’émergence de nouveaux modèles d’entreprise en vertu desquels les consommateurs désireux d’accéder à du contenu numérique ou d’utiliser des services numériques doivent fournir des données à caractère personnel.
Cependant, le CEPD constate avec inquiétude que les nouvelles définitions envisagées dans la proposition introduiraient la notion de contrats de fourniture de contenu numérique ou de service numérique, pour lesquels le consommateur peut «payer» avec ses données à caractère personnel au lieu de payer une somme d’argent. Il estime que cette nouvelle approche ne tient pas suffisamment compte de la nature fondamentale du droit à la protection des données, en considérant les données à caractère personnel comme un simple bien économique.
Le CEPD estime que la proposition devrait éviter de promouvoir des approches susceptibles d’être interprétées d’une manière incompatible avec l’engagement pris par l’Union européenne de protéger pleinement les données à caractère personnel, comme le prévoit le règlement général sur la protection des données (RGPD).
Par conséquent, le CEPD recommande de s’abstenir de toute référence aux données à caractère personnel dans les définitions du «contrat de fourniture de contenu numérique non fourni sur un support matériel» et du «contrat de service numérique», et suggère de s’appuyer plutôt sur un concept de contrat en vertu duquel un professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique spécifique au consommateur, «que le consommateur soit ou non tenu de le payer».
Par ailleurs, le CEPD attire l’attention sur plusieurs interférences potentielles de la proposition avec l’application du cadre de l’Union européenne pour la protection des données, en particulier avec le RGPD, et il formule des recommandations à cet égard :
1°) le CEPD souligne que seuls les professionnels peuvent procéder au traitement de données à caractère personnel conformément au cadre de l’Union pour la protection des données, notamment au RGPD ;
2°) le CEPD craint que l’introduction, par la proposition, de la notion de «contrats de fourniture de contenu numérique ou de service numérique pour lesquels les consommateurs doivent fournir des données à caractère personnel au lieu de payer une somme d’argent» puisse être source de confusion pour les prestataires de services ;
3°) il existe une interaction complexe entre le droit de rétractation du contrat, le retrait du consentement au traitement des données à caractère personnel et l’obligation qui incombe au professionnel de rembourser le consommateur en cas de retrait ;
4°) le CEPD estime que la proposition devrait modifier l’article 3 de la directive 2011/83/UE et introduire une disposition énonçant clairement qu’en cas de conflit entre ladite directive et le cadre juridique de protection des données, ce dernier prévaut.