Si l’année écoulée a été marquée par l’engouement (voire l’affolement) suscité par l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD »), le cadre posé par ce nouveau règlement ne couvre qu’une partie de la politique européenne pour encadrer le développement d’une confiance en ligne mise à jour. En effet, et comme son nom l’indique, le RGPD a une vocation générale, susceptible d’être complété par des dispositions spécifiques, notamment à certains secteurs. Peut-être trop optimiste, le RGPD prévoyait l’adoption concomitante d’une révision du cadre sectoriel de la protection des données applicable aux communication électroniques le 25 mai 2018. Un an après, et six présidences du Conseil de l’Union européenne après la soumission d’une première proposition de ce règlement « ePrivacy »[1], les débats entre les États membres de l’Union Européenne, et le lobbying des acteurs, privés comme publics, continuent de faire rage. 2019 sera-t-elle seulement la bonne année ?
1. La Proposition ePrivacy – des communications électroniques à spectre large
La Proposition ePrivacy vise a mettre à jour l’actuelle Directive « ePrivacy » n°2002/58/CE du 12 juillet 2002 (« Directive ePrivacy »), et à compléter le RGPD dans les domaines (i) de la fourniture et de l’utilisation de services de communication électroniques, et (ii) des traitements de données relatives aux équipements terminaux des utilisateurs.
L’enjeu est de taille pour tous les acteurs des services en ligne. L’internet entre 2002 et 2017 a vu l’essor de technologies comportementales et de géolocalisation, notamment appliquées à la publicité programmatique. Certaines dérives marketing ont alors suscité de la part du législateur européen une réaction ambitieuse aux fins de protéger les individus. La Proposition ePrivacy recouvre ainsi un vaste périmètre de techniques devenues courantes, de l’identification des terminaux (cookies, IdFA[2], AAID[3], SDK[4]…) et leur géolocalisation au profilage des usages et comportements, mais également les communications de machine-à-machine.
S’il est évident que les secteurs principalement impactés par une adoption en l’état de la Proposition ePrivacy seront ceux de la publicité et des médias qui ont fait de cette publicité programmatique un modèle économique de l’internet gratuit, les développements technologiques récents en matière d’intelligence artificielle, de villes intelligentes et de conduite autonome seront égalemwent, et profondément, touchées. Une telle position contredirait durablement le déploiement opérationnel des aspirations européennes affichées dans ces domaines.
2. L’acte 2 du consentement ou la danse du filet.
La Proposition ePrivacy divise. Si la sphère numérique impactée est par définition en mode binaire, ce dernier ne devrait pas dicter la vision réglementaire des traitements portant sur les données de communication électroniques[5].
Ainsi, selon le dernier état de la Proposition ePrivacy, ces derniers ne seraient autorisés (i) soit parce qu’ils sont strictement nécessaires à une fourniture de services limitativement énumérés par la Proposition (tels que les engagements en matière de qualité de service, l’établissement de factures ou la détection des fraudes à l’usage[6]), (ii) soit parce que l’utilisateur y a consenti[7].
C’est là que le bât blesse. Des six bases légales possibles pour la mise en œuvre de traitement de données personnelles sous l’égide du RGPD, la Proposition ePrivacy ne se focalise que sur le seul consentement, dont les conditions de validité ont été renforcées par le RGPD et strictement interprétées par les autorités de supervision nationales.
Au cœur de ces discussions sur le consentement, l’entité en charge de le recueillir. L’Article 10 de la Proposition ePrivacy, qui disposait initialement qu’« au moment de [son] installation, le logiciel informe l’utilisateur des paramètres de confidentialité disponibles et, avant de continuer l’installation, lui impose d’en accepter un » divise les États membres et les observateurs, au point qu’un Rapport d’Avancement de la Présidence de l’Union Européenne du 23 novembre 2018[8] n’a pu que constater, impuissant, le blocage du processus de discussion.
La rédaction originelle[9] envisageait que les utilisateurs européens puissent, au moment de l’installation d’un logiciel de navigation sur leur terminal (ou de l’installation d’une nouvelle version de ce logiciel), choisir de consentir ou de refuser le dépôt de cookies dans leur terminal. Une telle approche serait en contradiction avec les conditions de validité d’un consentement, notamment sur son aspect « spécifique »[10].
Le droit ayant horreur du vide, les autorités de supervisions nationales s’emparent tour à tour, et à quelques jours d’intervalle, du sujet :
- En France, la CNIL[11] échange avec les acteurs pour proroger, ou non, le statu quo du « soft opt-in », où celui-ci est inféré de l’information de l’utilisateur final sur dépôt de traceurs sur son terminal par le fournisseur de service en ligne, lors d’une première des services, au travers d’ un « bandeau cookies ».
- Au Royaume-Uni, l’ICO[12] renforce la nécessité d’obtenir un consentement préalable, informé, explicite et spécifique.
L’harmonisation européenne en matière de données personnelles aura fait long feu…
3. Lendemain. Même heure. Même endroit ?
Depuis janvier 2017, une trentaine de rapports faisant état des compromis entre États membres sur les dispositions de la Proposition initiale se sont succédés. Au fur et à mesure de leurs publications, ces rapports semblent tendre vers une volonté d’assouplissement du texte initial. Les vecteurs de cet assouplissements sont multiples — quête d’équilibre entre protection des utilisateurs et survie des fournisseurs de services en ligne ; pragmatisme sur l’innovation européenne ; simplification du quotidien des utilisateurs affectés d’une « clic fatigue »[13], encore plus marquée depuis mai 2018.
Ainsi, l’Article 10 de la Proposition ePrivacy, supprimé par le Conseil[14] en juillet 2018, a progressivement été remplacé par un Considérant 20(a), prévoyant un mécanisme de liste blanche, développé sous la présidence roumaine. Au regard des derniers rapports publiés les 22 février et 13 mars 2019[15], les États membres se sont entendus sur la possibilité pour un utilisateur, par l’action de paramétrage de son logiciel de navigation, de donner son consentement à « l’utilisation des capacités de traitement et de stockage de son terminal » à un fournisseur de service en ligne déterminé, pour une ou plusieurs finalités spécifiques attachées au(x) service(s) proposé(s) par ce dernier. Une telle évolution nous semble en phase avec les enjeux de protection des utilisateurs et la flexibilité nécessaire et attendue pour les acteurs de l’économie numérique au sens large. En effet, cette liste blanche, qui peut être modifiée à tout moment par l’utilisateur, lui permettrait de déterminer (i) les types de cookies qui pourront être déposés sur son terminal, (ii) les fournisseurs de service en ligne destinataires, et (iii) les finalités considérés.
A l’heure où les discussions reprennent sous l’égide de la présidence finlandaise, qui a fait état de son ambition à finaliser ce projet[16], c’est pourtant avec un nouveau Parlement, marqué par un euroscepticisme, qu’il faudra essayer de composer, pour que la « clic fatigue » ne se transforme pas en « consent fatigue »…
En espérant que l’arbre porte prochainement quelques feuilles…
« Ils ne bougent pas. »
Première publication : Revue Lamy Droit de l’Immatériel n°161 – Juillet 2019 avec Joséphine Beaufour
[1] Proposition de Règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, 2017/0003 (COD), 10 janvier 2017 (« Proposition ePrivacy »)
[2] IDentifier For Advertisers : identifiant temporaire d’un terminal mobile Apple, dédié à l’usage publicitaire.
[3] Android Advertising IDentifier: identifiant temporaire d’un terminal mobile Android, dédié à l’usage publicitaire.
[4] Software Development Kit: composant logiciel de programmation d’une application mobile. Il existe plusieurs types de SDK dont certains dédiés à la mesure d’audience/publicitaire.
[5] Au sens de l’Article 3 (k) de la Proposition ePrivacy, on entend par données de communications électroniques, « le contenu de communications électroniques et les métadonnées de communications électroniques ».
[6] Article 6 de la Proposition ePrivacy.
[7] La Proposition ePrivacy reprend la définition de consentement issue de l’article 4.11 et 7 du RGPD.
[8] Présidence du Conseil de l’Europe, ST-14491-2018-INIT, 23 novembre 2018
[9] Considérant 23 de la Proposition ePrivacy : « Les utilisateurs finaux devraient disposer d’un éventail de réglages de confidentialité, depuis les plus restrictifs (par exemple « toujours accepter les cookies »), jusqu’aux plus permissifs (par exemple, « toujours accepter les cookies »), en passant par des options intermédiaires (par exemple, « rejeter les cookies de tiers ») »
[10] Sur ce point, voir Consentement : Le Faux-Amis des Bases Légales ?, Armingaud C.-E., Ligot A., Revue Lamy Droit de l’Immatériel n°160 – juin 2019
[11] Ciblage publicitaire en ligne : quel plan d’action de la CNIL ?, 28 juin 2019
[12] Guidance on the use of cookies and similar technologies, 3 juillet 2019
[13] Lassitude rencontrée par l’utilisateur recevant chaque jour de trop nombreuses demandes de consentement auxquelles il doit répondre par un clic ou en balayant son écran (Lignes directrices G29 – WP260 rev.01, 10 avril 2018)
[14] La présidence du Conseil de l’Union européenne était alors assurée par l’Autriche.
[15] Conseil de l’Europe, ST 6771 2019 INIT, 22 février 2019 ; Conseil de l’Europe, ST 7099 2019 INIT, 13 mars 2019.
[16] Work programme of the incoming Presidency, Note de la délégation finlandaise, 27 mai 2019,