Vie privée et communications électroniques

La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport de Marju LAURISTIN sur la proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»).

La proposition de règlement vise à parachever la modernisation du cadre juridique de l’Union en matière de protection des données entamée par le règlement général sur la protection des données (règlement (UE) 2016/679 ou RGPD. Elle abroge la directive 2002/58/CE sur la vie privée et les communications électroniques et établit un nouveau cadre juridique qui tient compte des évolutions technologiques et économiques survenues dans le secteur des communications électroniques.

La commission parlementaire a recommandé que la position du Parlement européen adoptée en première lecture suivant la procédure législative ordinaire modifie la proposition de la Commission comme suit.

Champ d’application: les députés ont précisé que la proposition devrait s’appliquer:

• à l’utilisation de services de communication électronique et aux données qui concernent l’équipement terminal des utilisateurs finaux et qui sont traités par ledit terminal;
• aux logiciels utilisés par les utilisateurs finaux pour les communications électroniques;
• à la fourniture d’annuaires accessibles au public des utilisateurs de communications électroniques ;
• à l’envoi de communications commerciales de prospection directe ou à la collecte d’informations (autres) qui concernent l’équipement terminal des utilisateurs finaux ou qui y sont stockées.

Les députés ont également introduit la définition d’«utilisateur final», à savoir une personne physique ou morale qui utilise ou demande un service de communications électroniques accessible au public, et celle d’ «utilisateur» qui couvre toute personne physique utilisant un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service.

Confidentialité des communications: les députés ont proposé que la confidentialité des communications électroniques s’applique également aux données liées aux équipements terminaux et à celles traitées par ceux-ci.

Les fournisseurs de réseaux et de services de communications électroniques ne pourraient traiter les données de communications électroniques que si cela est strictement nécessaire d’un point de vue technique à la transmission de la communication, pendant la durée nécessaire à cette fin.

Tout traitement de données de contenu des communications électroniques ne devrait être autorisé que dans des conditions très clairement définies, à des fins précises et sous réserve de garanties adéquates contre les abus.

Protection des informations stockées dans les équipements terminaux des utilisateurs ou liées à ces équipements: la proposition de la Commission vise à protéger les informations stockées dans les équipements terminaux des utilisateurs contre tout accès ainsi que contre l’installation de logiciels ou d’informations sans le consentement de l’utilisateur.

Les amendements déposés visent à offrir un niveau plus élevé de protection en garantissant la cohérence juridique avec le règlement général sur la protection des données (RGPD). A cet égard,  les conditions qui permettent l’accès à l’équipement terminal de l’utilisateur ou aux informations que celui-ci émet ont été mieux définies. Les conditions relatives au consentement de l’utilisateur ont été alignées sur le RGPD.

Dans le contexte des relations de travail, l’accès à l’équipement terminal de l’utilisateur ne serait possible que s’il est strictement nécessaire, sur un plan technique, pour l’exécution de la tâche d’un employé, lorsque: i) l’employeur fournit l’équipement terminal et/ou est l’utilisateur; ii) l’employé est l’utilisateur de cet équipement terminal; et iii) cela ne sert pas accessoirement à surveiller l’employé.

Il est également précisé que nul utilisateur ne pourrait se voir refuser l’accès à un service de la société de l’information, payant ou non, au motif qu’il n’a pas consenti, à un traitement de ses données à caractère personnel.

Informations à fournir et options à proposer pour les paramètres de confidentialité: le règlement devrait empêcher l’utilisation de «fenêtres» et de «bandeaux» d’acceptation des cookies qui n’aident pas les utilisateurs à garder le contrôle sur leurs données à caractère personnel et leur vie privée ou à être informés de leurs droits.

Les logiciels de communications électroniques (tels que navigateurs, systèmes d’exploitation et applications de communication) devraient être configurés de manière à ce que le respect de la vie privée soit protégé, et que le suivi et le stockage d’informations sur les équipements terminaux par des tiers soient interdits par défaut. Les fournisseurs de logiciels de ce type devraient proposer des options suffisamment détaillées pour permettre à l’utilisateur de donner son consentement à chaque catégorie de finalités distincte.

Dans le même temps, l’utilisateur devrait avoir la possibilité de modifier ou de confirmer les paramètres de confidentialité par défaut à tout moment après l’installation.

Les paramètres devraient envoyer des signaux aux autres parties les informant des paramètres de confidentialité de l’utilisateur. Ces paramètres devraient être contraignants pour tout tiers et lui être opposables.

Communications non sollicitées à des fins de prospection directe: l’utilisation par des personnes physiques ou morales de services de communications électroniques, notamment les systèmes automatisés d’appel, les télécopies, les courriels ou l’utilisation autre de services de communications électroniques pour l’envoi de communications de prospection directe aux utilisateurs, ne serait autorisée que pour les utilisateurs ayant donné leur consentement préalable.

Le règlement interdirait de masquer son identité ou d’utiliser de fausses identités, de fausses adresses de réponse ou de faux numéros lors de l’envoi de communications de prospection directe non sollicitées.

Restrictions portant sur la confidentialité des communications: la portée des droits prévus par le règlement pourrait être limitée par voie législative à condition que cette limitation respecte pleinement l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir i) la sécurité nationale, ii) la défense nationale; iii) la sécurité publique.