La directive ePrivacy sur la confidentialité est déjà sur le métier
L'invité
L’encre du nouveau paquet réglementaire européen (GDPR ou General Data Protection Regulation) n’est pas sèche après son vote au parlement européen que la Commission lance une consultation sur la directive ePrivacy
Le General Data Protection Regulation (GDPR) va enfin remplacer la directive Data Protection de 1995 avec des nouveautés à la clé: des amendes jusqu’à 4% du chiffre d’affaires mondial, le droit de porter ses données comme on porte son numéro en changeant d’opérateur, la mise sous tutelle de GDPR des sociétés en dehors de l’Europe qui analysent le comportement des citoyens (internautes) de l’UE et du «one-stop shopping» (une seule commission de vie privée pourra traiter un cas transnational de bout en bout). Enfin, le groupement informel des commissions de vie privée qui fait tant parler de lui contre Google et consorts va avoir un statut et des pouvoirs.
La directive ePrivacy du début des années 2000 avec des révisions multiples (la dernière: 2013) prenait en compte l’explosion d’Internet et des communications électroniques pour la protection des données privées. La Commission ne traîne donc pas pour lui trouver un successeur après GDPR.
Des normes minimales de chiffrement
Sur la confidentialité et la sécurité des communications, la commission envisage, dirait-on, des normes minimales de sécurité et de chiffrement des communications pour mettre fin aux annonces sans fin de brèches, souvent due à la méconnaissance des utilisateurs finaux du minimum qu’il faut pour sortir couvert sur Internet. La sécurisation et la protection des données deviendra-t-elle un droit que les fournisseurs implémenteront d’office? Ce serait une bonne nouvelle pour les apps mobiles, assez négligentes de ce point de vue. Les sites qui refusent l’accès des internautes qui ne voudraient pas de leurs cookies sont critiqués: la commission se propose soit d’imposer un accès payant mais un accès tout de même à ces utilisateurs ou simplement d’imposer aux sites web de donner accès sans conditions aux utilisateurs «anonymes» quitte à avoir les fonctionnalités liées aux cookies en moins. Les sites qui refusent l’accès aux internautes qui ont installé un «adblocker» sont-ils visés?
Exiger le consentement de l’utilisateur pour utiliser, stocker ses données personnelles est ennuyant, reconnaît la commission. La Commission suggère d’autres solutions, comme des réglages d’office des appareils utilisés, généraliser des approches «do not track, do not store» ou pousser à la co-régulation entre tous ces acteurs qui se partagent le butin des données personnelles. Les données de géolocalisation de plus en plus utilisées de manière anonymisées pour calculer les temps de parcours dans les files (sans parler des autres usages statistiques liées à la mobilité, un enjeu majeur) sont abordées par la Commission: faut-il étendre leur utilisation ou au contraire le restreindre ou interdire l’usage de ces données.
Etendre la protection à What’s App?
Bien sûr, la question d’étendre la protection ePrivacy aux «OTT» (tels que What’s App) se pose mais aussi celle de renforcer les obligations vers les fabricants de terminaux, ce qui n’est pas inutile quand on voit la place centrale que prend un iPhone au point qu’on en oublie l’opérateur qui se trouve derrière?
De manière plus prosaïque, la question des factures détaillée est posée: cette dernière en dit long sur qui vous avez appelé et pourquoi. Pourtant, ces factures ne sont pas toujours envoyées de manière sécurisée (cf la facture familiale). Les autres questions, comme la liberté de ne pas apparaître dans un annuaire, la liberté de ne pas voir sa ligne présentée à l’appelé sont des exigences élémentaires, semble dire la Commission mais rappelons que souvent, on doit payer pour ce service (pour la téléphonie fixe) tandis qu’il faut insister (ou connaître le truc) pour ne pas apparaître dans un annuaire. Pouvoir stopper un «call forwarding» dont on est victime est aussi évoqué.
Le questionnaire en remet aussi une couche sur la manière de gérer (ou éviter) les appels «telemarketing», notamment via des robots qui appellent d’abord. On dirait que la Commission y mettra de l’ordre.
A lire aussi: Le paquet réglementaire européen sur la vie privée crée un volet judiciaire inédit
La fragmentation des autorités qui gère la protection de la vie privée dans certains pays européens est évoquée car la directive ePrivacy a eu le malheur d’évoquer les autorités au pluriel.
La Commission se demande aussi la valeur ajoutée d’avoir eu une directive ePrivacy au niveau européen. N’y – a-t-il pas eu ou ne va-t-il pas y avoir télescopage avec tous les autres textes en cours qui organisent la sécurité des réseaux comme l’article 13 de la directive-cadre qui impose une notification des incidents de sécurité de la part des opérateurs, le paquet GDPR lui-même qui impose aux responsables «données privées» de prendre les mesures techniques adéquates, la directive NIS qui étend l’article 13 à toutes les industries de réseau et aux internet Enablers, un terme qui groupe tous les sites et applications qui remplissent une fonction sociétale ou commerciale.
*Professeur à l’Ecole polytechnique de Bruxelles, ULB et membre du Conseil de l’IBPT
Pour en savoir plus: https://ec.europa.eu/digital-single-market/en/news/public-consultation-evaluation-and-review-eprivacy-directive
