Le célèbre spécialiste de droit public, Léon Duguit, constatait déjà en 1911 « un décalage entre les textes juridiques et une société de plus en plus mue par l’accélération de l’Histoire » (Traité de Droit Constitutionnel, 1911, 1ère éd., 1927, 4ème éd., Paris). Robert Duquesnel écrit qu’une « législation retarde toujours sur les coutumes du moment » (La vie et le droit, La Revue socialiste, n°327, mars 1912).

Un siècle plus tard, l’économie digitale rend ces affirmations toujours d’actualité. L’harmonie entre droit et numérique est une notion complexe : le monde numérique est caractérisé par un temps raccourci, sinon l’immédiateté, le droit repose sur le long terme, la fixité et la rigidité. La mise en parallèle de ces deux conceptions fait naître des risques. Le droit a-t-il intérêt à devenir plus souple ? L’innovation doit-elle s’accompagner d’une relative rupture ? Au niveau du grand public, la réglementation est gage de confiance, de sécurité et de limitation des risques, particulièrement en matière de données à caractère personnel (DCP). Le respect de la réglementation par les entreprises constitue même un facteur de compétitivité et de distanciation pour celles qui peuvent se prévaloir de pratiques loyales et de la mise en place d’outils conformes à la protection des DCP.

La législation sur la protection des DCP poursuit deux objectifs : d’une part, redonner aux personnes le pouvoir sur leurs données, c’est le rôle du RGPD (Règlement général sur la protection des données) ; d’autre part, susciter davantage de confiance dans des services de communication électronique plus sûrs, c’est la finalité du futur Règlement e-Privacy. Il convient de bien dissocier RGPD et e-Privacy, sans oublier que les deux règlements s’inscrivent dans la stratégie européenne pour un marché numérique unique.

Le Règlement général sur la protection des données

Le RGPD, adopté le 27 avril 2016 et applicable dans tous les Etats membres de l’Union européenne à partir du 25 mai 2018, veut renforcer les libertés individuelles des individus dans leurs pratiques digitales en insistant sur la nécessité d’obtenir le consentement de la personne, l’attribution de nouveaux droits et les notions de Privacy by design et by default.

Consentement

La rédaction du RGPD stipule que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Le consentement individuel doit être libre, prendre la forme d’une action positive, et l’utilisateur doit être informé de manière claire et précise en amont de son consentement, notamment sur l’identité du responsable de traitement, la finalité du traitement, les éventuels destinataires des données, la durée de conservation des données, les différents droits (droit d’accès, droit d’opposition, de rectification, de suppression des données …). Enfin, le consentement doit être spécifique aux finalités, c’est-à-dire que les données recueillies ne peuvent être traitées que pour les fins explicitées.

En outre, il est possible de retirer le consentement à tout moment.

Privacy by design et by default

Privacy by design, défini dans l’article 25 du RGPD : « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la nécessité de recueillir le minimum de données nécessaires au traitement, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée ».

Considérée comme l’un des principes fondamentaux du RGPD, la Privacy by design repose sur l’idée qu’il faut associer les mesures de protection de la vie privée et des DCP dès la conception du traitement, ou même en amont de celui-ci.

Privacy by default : « le responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les DCP qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité ».

Le projet de Règlement e-Privacy

Un premier projet de Règlement e-Privacy a été adopté par la Commission européenne le 10 janvier 2017. Il témoigne d’une certaine incompréhension des problématiques métiers de la part des institutions européennes et de leurs représentants. Ce n’est pas le seul domaine où un doute s’exprime. Sur le sujet connexe de l’intelligence artificielle, Laurent Alexandre, cofondateur de Doctissimo, déclare : « L’incompréhension de ces enjeux en Europe est critique….les élites européennes ne comprennent rien à la loi de Metcalfe » (La Tribune, 24 septembre 2017).

L’ambition du projet de Règlement est de compléter l’exigence élevée de protection des DCP imposée par le RGPD en créant une protection uniforme au niveau des communications électroniques (OTT, navigateurs Web, …). Il s’agit en effet ici d’une lex specialis par rapport au RGPD venant compléter celui-ci.

Le projet de Règlement e-Privacy divise au sein même des instances. La rapporteure du texte a une vision très stricte et des conclusions très restrictives concernant la protection des libertés individuelles en matière de recueil et d’utilisation des données à caractère personnel grâce au dépôt de cookies sur les sites éditeurs ; mais un autre rapporteur insiste, au contraire, sur le fait que « tous les cookies tiers ne sont pas nécessairement nuisibles » en précisant qu’il « faut protéger la vie privée sans pénaliser l’innovation ».

Rappelons la différence entre cookies « first party » et « third party ». La CNIL définit le cookie comme « … une information déposée sur le disque dur par le serveur du site visité. Il contient plusieurs données : le nom du serveur qui l’a déposé, un identifiant sous forme de numéro unique, éventuellement une date d’expiration … Ces informations sont parfois stockées sur votre ordinateur dans un simple fichier texte auquel un serveur accède pour lire et enregistrer ces informations ». La durée de vie d’un cookie est de 13 mois maximum. Contenant l’adresse IP de l’ordinateur utilisé, adresse considérée comme une DCP, le cookie est à ce titre également assimilé à une DCP. Le cookie dit « first party » est déposé depuis le domaine du site éditeur et permet d’analyser le comportement de l’internaute sur ce même site. Le cookie dit « third party » ou cookie tiers est déposé depuis le domaine d’un prestataire du site éditeur sur le site de cet éditeur. Il suit l’internaute et analyse son comportement sur tous les sites internet sur lesquels ce prestataire a déposé son cookie (tiers). Ce cookie est principalement utilisé dans le domaine de la publicité ou encore de la mesure d’audience.

Le blocage de tous les cookies tiers dès l’installation ou la mise à jour du navigateur constitue une mesure fatale pour les annonceurs tout autant que pour les instituts de mesure d’audience. Cette mesure est radicale et ne permet pas à l’internaute d’avoir un consentement éclairé sur les cookies déposés lors de sa navigation. En effet, la création d’un consentement global unique au niveau du navigateur va à l’encontre de la mise en œuvre voulue par le RGPD d’un principe de transparence lié au recueil et au traitement des DCP des internautes.

Le problème rencontré devant les institutions européennes est la confusion entre le cookie tiers de mesure d’audience et le cookie tiers publicitaire, qui n’ont pas la même finalité. En outre, sur un plan économique, l’adoption de ce projet de règlement ne ferait qu’enraciner la domination des GAFAM sur le marché publicitaire, puisqu’ils disposent de cookies first exemptés de toutes les mesures prévues dans le projet de Règlement e-Privacy.

Ordinairement sensibles à l’utilisation des données faite par les GAFAM, les institutions européennes n’ont visiblement pas pressenti le fait que l’adoption du Règlement e-Privacy engendrait de facto la remise aux mains des géants américains de l’ensemble des DCP des internautes européens. Projet d’autant plus paradoxal au vu de la ligne directrice adoptée par l’UE en matière de protection des DCP et les multiples sanctions régulièrement prononcées contre Google ou Facebook par la Commission européenne ou les différentes autorités nationales de protection des DCP.

Un report de l’adoption du projet de Règlement e-Privacy, initialement prévue en octobre 2017, serait toutefois à prévoir eu égard au nombre important d’amendements déposés par les Commissions au Parlement européen : 1200 amendements doivent être examinés dès la rentrée parlementaire de septembre 2017. Si leur examen est minutieux, l’entrée en vigueur du Règlement e-Privacy pourrait être reportée d’un an, alors qu’initialement la Commission européenne prévoyait une simultanéité avec le RGPD. Toutefois, les votes des Commissions sur les rapports au projet de Règlement contenant les différents amendements ont progressivement lieu en octobre 2017 et aboutissent à préciser le contenu de ce même Règlement.

 

Lucie Keller et Philippe Tassi
Les derniers articles par Lucie Keller et Philippe Tassi (tout voir)