Règlement e-Privacy : Nouvelles recettes pour les cookies
70 cookies permettant l’envoi d’informations à 146 acteurs différents, c’est ce qu’un internaute recueille en moyenne lors de la consultation d’un article sur chacun des trois principaux sites d’informations en ligne[1].
Pour améliorer la protection de la vie privée des internautes et limiter les abus, notamment, en matière de profilage, le législateur européen a adopté le Règlement Général sur la Protection des Données (“RGPD) en avril 2016[2]. Le RGPD doit être complété par un autre règlement sur la protection de la vie privée en ligne dit « e-Privacy » qui entrera également en application le 25 mai 2018. L’objectif affiché par le législateur européen au travers de ces deux textes est de créer un nouveau droit de la protection des données au sein de l’Union européenne.
I/ Des nouveautés en matière de cookie et autres traceurs
A/ En premier lieu, le règlement e-Privacy opère un renforcement du devoir d’information et du consentement des utilisateurs en renvoyant aux dispositions du RGPD. La charge de la preuve du recueil du consentement pèsera sur le responsable de traitement, retirer son consentement devra être aussi facile que le donner, l’absence de consentement ne pourra empêcher l’accès au service que dans la mesure où le traitement de données concerné est absolument indispensable au fonctionnement de celui-ci et, enfin, la demande de consentement doit être présentée à la personne concernée dans une forme distincte, compréhensible et accessible, en des termes simples et clairs sous peine d’inopposabilité.
En pratique, les demandes de consentement sibyllines, incomplètes ou inopérantes pourront être déclarées inopposables par les juges. Reste à savoir dans quelle mesure cette inopposabilité sera susceptible d’engager une procédure de sanction.
Sur ce point, le projet de règlement e-Privacy reprend le barème des sanctions administratives du RGDP : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel en cas de violation d’un droit fondamental[3]. Le nouveau droit européen des données se veut dissuasif, même pour les géants du net aux moyens quasi illimités. Si Facebook a été sanctionné le 27 avril 2017 d’une amende de 150 000 euros, l’entreprise pourra encourir, dès mai 2018, une sanction administrative pouvant aller jusqu’à 4% de son chiffre d’affaires, soit 991 millions d’euros[4] !
B/ La mesure phare de ce projet est issue du constat que la Directive « Vie privée et communications électroniques »[5] de 2002 n’avait pas rempli ses objectifs. Comme l’analyse d’impact préalable au projet le relève, « l’utilisateur final se voit demander d’accepter des témoins (« cookies ») traceurs sans savoir ce que c’est et, dans certains cas, s’expose même à ce que des cookies soient installés sans son consentement. Cette règle est à la fois trop inclusive, car elle couvre aussi des pratiques ne portant pas atteinte à la vie privée, et trop exclusive, car elle ne couvre pas expressément certaines techniques de suivi (p. ex. capture d’empreintes numériques) ne consistant pas nécessairement à accéder à des données ou à en stocker dans le dispositif. Enfin, son application peut être coûteuse pour les entreprises.»
Pour remédier à cette situation, la Commission européenne propose de centraliser le consentement des utilisateurs au moyen des paramètres de confidentialité de leur navigateur internet. Selon la Commission, cette mesure obligatoire permettrait d’éviter un coût de mise en conformité d’environ 950 millions d’euros pour les éditeurs de sites internet. Pour l’utilisateur, la gestion de ses paramètres de vie privée depuis son navigateur représente incontestablement un gain de temps et de maîtrise. Les paramètres du navigateur devront proposer un choix parmi différents niveaux de confidentialité à l’image de ce que propose Internet Explorer (ci-contre).
Toutefois, la concentration des rôles d’éditeur de navigateur définissant les paramètres de confidentialité, d’émetteur de cookie, et de régie publicitaire au sein d’un acteur unique comme Google n’est pas sans susciter d’interrogations sur sa neutralité si cette mesure était confirmée[6].
Preuve que les questions de tracking et de publicité en ligne sont au cœur des préoccupations du moment, Apple vient d’annoncer que la nouvelle version de son navigateur Safari intégrera un système « anti-tracking ». Ce bloqueur de tracking serait fondé sur un système de deep learning analysant les habitudes de navigation de l’internaute et déterminant les cookies qui doivent être bloqués de ceux qui ne doivent pas l’être. Certaines voix s’élèvent pour dénoncer une solution technique qui ne ferait que renforcer la position déjà dominante d’acteurs de la publicité en ligne comme Google et Facebook[7].
II/ L’extension généralisée de la confidentialité des données à l’ensemble des services numériques
A/ La première innovation notable est l’assimilation des métadonnées – au sens littéral des “données sur les données” : adresse IP, identification de l’expéditeur et du destinataire, géolocalisation, date, durée… – au données “de contenu”. Jusque-là ces métadonnées n’étaient pas appréhendées par la réglementation vie privée/données personnelles alors qu’elles sont massivement captées dans le cadre du Big Data et qu’elles représentent des informations personnelles potentiellement très intrusives[8].
Une étude de Stanford du 27 avril 2016 a permis à des chercheurs de montrer, à partir de l’analyse de métadonnées de conversations téléphoniques et de SMS, qu’un participant avait été diagnostiqué cardiaque, qu’une femme était enceinte ou qu’une personne avait acheté une arme à feu[9].
B/ Cette assimilation de la métadonnée à la donnée a pour corollaire une autre nouveauté : l’extension du champ d’application de la confidentialité des données à l’ensemble des prestataires de service en ligne.
Aujourd’hui, la loi n’appréhende que les opérateurs, qui gèrent « les tuyaux », et non les services qui émettent les flux. Ainsi, seuls les opérateurs de communication électronique, tels que les Fournisseurs d’Accès à Internet (ou « FIA » : Orange, Free, SFR ou Bouygues Telecom) sont soumis au secret des correspondances[10]sur les métadonnées (relevé téléphonique, durée, localisation…). Les services dit “Over The Top” (OTT) tels que Skype, Facebook Messenger ou WhatsApp supportent un nombre croissant de communications en faisant un usage abondant de ces “données sur les données”.
Cette distinction disparaît avec le projet e-Privacy. Autrement dit Facebook, WhatsApp, SnapChat, Telegram et leurs employés devront, à compter du 25 mai 2018, respecter la même obligation de secret des correspondances sur les métadonnées que les opérateurs téléphoniques et fournisseurs d’accès à internet. En cas de violation, ils s’exposent à des sanctions administratives de la part de l’autorité de contrôle – l’ARCEP en France – ainsi qu’à des sanctions pénales à hauteur d’un an de prison et 45 000 euros d’amende[11].
En pratique, ces entreprises devront obtenir le consentement de leurs utilisateurs avant d’analyser ou d’observer leurs données. Si ces acteurs s’étaient obligés d’eux-mêmes à respecter la confidentialité des données de contenu, ils pouvaient exploiter les métadonnées des utilisateurs à leur insu. Désormais, la collecte de ces données devra respecter les obligations du RGPD en matière de protection des données personnelles.
A l’instar de ce qui est prévu dans le RGPD, le e-Privacy fait peser sur ces acteurs une obligation de sécurité qui leur impose de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté ». Le RGPD prévoit, par exemple, le recours à la pseudonymisation et au chiffrement des communications pour limiter le risque d’atteintes. A noter que WhatsApp, Facebook Messenger ou encore Hangout permettent le chiffrement des communications de bout en bout depuis 2016.
III/ Les réactions aux nouvelles obligations du e-Privacy
Certaines réactions au projet e-Privacy ont été vives. Les éditeurs de sites en ligne ont souligné le potentiel économiquement mortifère en cas de choix massif des utilisateurs de paramètres de confidentialité stricts sur leurs navigateurs. Dans ce cas, les publicités sur les sites ne pourront plus être ciblées et les revenus des annonceurs risquent, par conséquent, d’être obérés.
“L’appel à la révision du e-Privacy par la Presse”
Dans un communiqué commun signé notamment par le Der Spiegel, Le Financial Times, Le Monde ou encore Libération pas moins d’une trentaine d’éditeurs de presse ont demandé une révision du projet e-Privacy. Ces auteurs rappellent que “le nombre de lecteurs est plus élevé que jamais” grâce au modèle de financement des journalistes par la publicité. Ils évoquent leurs craintes face aux géants contrôlant le marché des navigateurs et à la lutte économique contre Facebook et Google qui captent 20% des dépenses publicitaires mondiales.
“La fin du chèque en blanc sur les données”
A l’inverse, la Présidente de la CNIL et du G29 – Madame Falque-Perrotin – a déclaré le 28 mai 2017 que ce projet signifiait “la fin du chèque en blanc sur les données”. Selon elle, ce futur règlement permettra de rétablir l’équilibre entre les citoyens et les géants du net. L’association de défense des libertés en ligne, La Quadrature du net a déclaré « regretter la disparition des recours collectifs, l’exemption des métadonnées générées hors de communications et la possibilité de refuser l’accès à un site si un bloqueur de publicité est détecté. »
“Les navigateurs à l’heure des grandes manœuvres”
Un acteur encore méconnu espère profiter de ce nouveau paradigme : le navigateur Brave[12]. Cette société propose de concentrer la régie publicitaire au sein d’un navigateur internet dans l’optique de mieux redistribuer les revenus de la publicité. Grâce à l’usage de crypto-monnaie, ce navigateur permet à ses utilisateurs, d’une part, d’être rémunérés en échange de leur consentement à être ciblés et, d’autre part, de payer directement les éditeurs de site en échange d’une absence de traçage. Le 31 mai 2017, le projet Brave vient de lever 36 millions de dollars auprès du public.
De son côté, Google Chrome a annoncé intégrer le « better ads standards » qui vise à bloquer les publicités « néfastes », trompeuses ou malveillantes. En parallèle, il permettra aux éditeurs de sites internet d’envoyer un message d’alerte aux utilisateurs d’un bloqueur de publicité.
Ainsi, ce projet de règlement e-Privacy constitue, avec le RGPD, une avancée importante dans la construction d’un droit européen des données. Cette nouvelle réglementation, favorable à une protection toujours plus grande des utilisateurs de services numériques nécessite un effort sans précédent de mise en conformité de la part des entreprises.
Pour être accompagné dans vos démarches ou pour tout renseignement complémentaire, n’hésitez pas à contacter le cabinet HAAS Avocats ici.
[1] Selon la CNIL : https://www.cnil.fr/fr/recommandation-sur-les-cookies-quelles-obligations-pour-les-responsables-de-sites-quels-conseils
[2] Règlement (UE) 2016/679 disponible ici
[3] Exemple : confidentialité des communications, traitement autorisé des données, obligations d’effacement des données, etc.
[4] 4% d’un chiffre d’affaires de 27,638 milliards $ en 2016, soit 24,790 milliards d’euros.
[5] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
[6] En avril 2017, Chrome (Google) truste 50% des parts de marché en France, contre 24% pour Firefox, 10% pour Safari (Apple) et Internet Explorer (Microsoft) et 6% pour Edge (Microsoft). 3 des 5 GAFA(M) concentre 66% du marché des navigateurs.
[7]https://www.theverge.com/2017/6/6/15747300/apple-safari-ad-tracking-cookie-blocker-google-facebook-privacy
[8] Le e-Privacy relève que “les métadonnées découlant de communications électroniques peuvent aussi révéler des informations très sensibles et personnelles […] qui permettent de tirer des conclusions précises sur la vie privée des personnes, comme leurs rapports sociaux, leurs habitudes et activités au quotidien, leurs intérêts, leurs goûts, etc.”
[9] “Evaluating the privacy properties of telephone metadata”, Jonathan Mayera, Patrick Mutchlera, and John C. Mitchella, 27 avril 2015
[10] L’article L. 32-3 du Code des Postes et Communication Électroniques (CPCE) prévoit que les opérateurs, les prestataires et leurs personnels respectent le secret des correspondances qui “couvre le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints”.
[11] Article 226-15 al. 2 du code pénal qui sanctionne les violations au secret des correspondances par voie électronique.
[12] https://brave.com/