La proposition de règlement « Vie privée et communications électroniques » (règlement e-privacy) concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques[1] entre dans sa dernière ligne droite avant son adoption définitive. Ce texte, qui se veut le complément du règlement général sur la Protection des Données (RGPD) entrant en vigueur le 25 mai 2018, est supposé consolider la politique européenne en matière de protection des données personnelles.
Discuté le 9 novembre dernier dans le cadre d’un atelier interne de la Chaire VPIP, il apporte de fait une évolution de la directive 2002/58/CE adoptée en 2002[2], en incluant cette fois, au-delà du périmètre des télécommunications du 20e siècle, tous les services fournis hors offre du fournisseur d’accès à Internet (en anglais over-the-top service – OTT) comme WhatsApp, Skype ou Gmail, notamment des services audio et vidéo. Ce au niveau européen, et dans chacun des Etats Membres de l'Union.
Objet d’âpres débats et lobbying intense de la part d'acteurs étatiques comme privés, avec une participation remarquée de la société civile cette fois, la proposition de règlement eprivacy a également dû subir des tentatives de blocage complet de la part des groupes PPE (Parti Populaire Européen) et ECR (European Conservatives and Reformists – Conservateurs et réformistes européens) au Parlement européen.
Les acteurs industriels concernés ont engagé des ressources importantes pour modéliser ce texte selon leurs intérêts. Les questions du consentement, du périmètre même de la définition du consentement des utilisateurs, des cookies, des terminaux utilisateurs, de l’exploitation des méta-données, ou encore de la confidentialité des communications par défaut, ont été au cœur de batailles politiques et juridiques d'ampleur rarement égalées.
Malgré tous ces efforts conjugués d'acteurs puissants économiquement et politiquement, c'est pourtant une ligne soucieuse de la préservation de la vie privée des citoyens qui l'a emportée au Parlement européen, d'abord une première fois au sein de la Commission d’examen principale LIBE (Commission des libertés civiles, de la justice et des affaires intérieures) le 19 octobre, puis en séance plénière ce 26 octobre dernier où a été adopté le texte en première lecture dans sa version finale. Ainsi que le reconnait La quadrature du net, le texte a en effet intégré au cours des discussions de nombreuses avancées. Notamment, l’accès à un site Internet n’est pas interdit à un internaute au seul motif qu'il a refusé d'y être tracé.
Mais cette écriture, son adoption, a encore une dernière phase à franchir et non des moindres : la phase du trilogue qui devrait permettre aux représentants du Parlement européen, du Conseil des ministres de l’Union Européenne et de la Commission européenne de trouver un accord commun pour l'adoption définitive du texte.
L'intensité des débats et de la position de certains Etats membres, dont paradoxalement la France qui souhaite assouplir la partie du texte relative à l'utilisation des cookies, est telle qu'à ce jour aucun calendrier précis d'adoption définitive n'a été communiqué. La présidence estonienne a indiqué qu’un travail important reste à effectuer et ne pas être en mesure en l'état de présenter une position commune des Etats membres, les questions les plus controversées n'ayant fait l'objet d'aucun compromis pour l'instant.
Ivan Meseguer, Cofondateur de la Chaire, Affaires Européennes, Direction Recherche et Innovation de l’Institut Mines-Télécom
Claire Levallois-Barth, Coordinatrice de la Chaire, Maître de conférences en droit à Télécom ParisTech
__________
[1] Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive2002/58/CE (règlement «vie privée et communications électroniques»), Bruxelles, 10.1.2017, COM(2017)10 final.
[2] Directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), JO EU n° L 201 du 31/07/2002, p. 37.