{"id":2613,"date":"2017-10-25T10:18:52","date_gmt":"2017-10-25T08:18:52","guid":{"rendered":"http:\/\/variances.eu\/?p=2613"},"modified":"2020-04-29T10:22:57","modified_gmt":"2020-04-29T08:22:57","slug":"europe-e-privacy-allons-marcher-tete","status":"publish","type":"post","link":"https:\/\/variances.eu\/?p=2613","title":{"rendered":"Europe et e-Privacy : allons-nous marcher sur la t\u00eate ?"},"content":{"rendered":"<p>Le c\u00e9l\u00e8bre sp\u00e9cialiste de droit public, L\u00e9on Duguit, constatait d\u00e9j\u00e0 en 1911 \u00ab\u00a0<em>un d\u00e9calage entre les textes juridiques et une soci\u00e9t\u00e9 de plus en plus mue par l\u2019acc\u00e9l\u00e9ration de l\u2019Histoire<\/em>\u00a0\u00bb (Trait\u00e9 de Droit Constitutionnel, 1911, 1<sup>\u00e8re<\/sup> \u00e9d., 1927, 4<sup>\u00e8me<\/sup> \u00e9d., Paris). Robert Duquesnel \u00e9crit qu\u2019une \u00ab\u00a0<em>l\u00e9gislation retarde toujours sur les coutumes du moment<\/em>\u00a0\u00bb (La vie et le droit, <em>La Revue socialiste, <\/em>n\u00b0327, mars 1912).<\/p>\n<p>Un si\u00e8cle plus tard, l\u2019\u00e9conomie digitale rend ces affirmations toujours d\u2019actualit\u00e9. L\u2019harmonie entre droit et num\u00e9rique est une notion complexe\u00a0: le monde num\u00e9rique est caract\u00e9ris\u00e9 par un temps raccourci, sinon l\u2019imm\u00e9diatet\u00e9, le droit repose sur le long terme, la fixit\u00e9 et la rigidit\u00e9. La mise en parall\u00e8le de ces deux conceptions fait na\u00eetre des risques. Le droit a-t-il int\u00e9r\u00eat \u00e0 devenir plus souple\u00a0? L\u2019innovation doit-elle s\u2019accompagner d\u2019une relative rupture\u00a0? Au niveau du grand public, la r\u00e9glementation est gage de confiance, de s\u00e9curit\u00e9 et de limitation des risques, particuli\u00e8rement en mati\u00e8re de donn\u00e9es \u00e0 caract\u00e8re personnel (DCP). Le respect de la r\u00e9glementation par les entreprises constitue m\u00eame un facteur de comp\u00e9titivit\u00e9 et de distanciation pour celles qui peuvent se pr\u00e9valoir de pratiques loyales et de la mise en place d\u2019outils conformes \u00e0 la protection des DCP.<\/p>\n<p>La l\u00e9gislation sur la protection des DCP poursuit deux objectifs : d\u2019une part, redonner aux personnes le pouvoir sur leurs donn\u00e9es, c\u2019est le r\u00f4le du RGPD (R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es)\u00a0; d\u2019autre part, susciter davantage de confiance dans des services de communication \u00e9lectronique plus s\u00fbrs, c\u2019est la finalit\u00e9 du futur R\u00e8glement e-Privacy. Il convient de bien dissocier RGPD et e-Privacy, sans oublier que les deux r\u00e8glements s\u2019inscrivent dans la strat\u00e9gie europ\u00e9enne pour un march\u00e9 num\u00e9rique unique.<\/p>\n<h3><strong>Le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es <\/strong><\/h3>\n<p>Le RGPD, adopt\u00e9 le 27 avril 2016 et applicable dans tous les Etats membres de l\u2019Union europ\u00e9enne \u00e0 partir du 25 mai 2018, veut renforcer les libert\u00e9s individuelles des individus dans leurs pratiques digitales en insistant sur la n\u00e9cessit\u00e9 d\u2019obtenir le consentement de la personne, l\u2019attribution de nouveaux droits et les notions de <em>Privacy by design<\/em> et <em>by default<\/em>.<\/p>\n<p><strong><em>Consentement<\/em><\/strong><\/p>\n<p>La r\u00e9daction du RGPD stipule que \u00ab\u00a0le consentement devrait \u00eatre donn\u00e9 par un acte positif clair par lequel la personne concern\u00e9e manifeste de fa\u00e7on libre, sp\u00e9cifique, \u00e9clair\u00e9e et univoque son accord au traitement des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant, par exemple au moyen d&rsquo;une d\u00e9claration \u00e9crite, y compris par voie \u00e9lectronique, ou d&rsquo;une d\u00e9claration orale. Il ne saurait d\u00e8s lors y avoir de consentement en cas de silence, de cases coch\u00e9es par d\u00e9faut ou d&rsquo;inactivit\u00e9\u00a0\u00bb.<\/p>\n<p>Le consentement individuel doit \u00eatre libre, prendre la forme d\u2019une action positive, et l\u2019utilisateur doit \u00eatre inform\u00e9 de mani\u00e8re claire et pr\u00e9cise en amont de son consentement, notamment sur l\u2019identit\u00e9 du responsable de traitement, la finalit\u00e9 du traitement, les \u00e9ventuels destinataires des donn\u00e9es, la dur\u00e9e de conservation des donn\u00e9es, les diff\u00e9rents droits (droit d\u2019acc\u00e8s, droit d\u2019opposition, de rectification, de suppression des donn\u00e9es \u2026). Enfin, le consentement doit \u00eatre sp\u00e9cifique aux finalit\u00e9s, c\u2019est-\u00e0-dire que les donn\u00e9es recueillies ne peuvent \u00eatre trait\u00e9es que pour les fins explicit\u00e9es.<\/p>\n<p>En outre, il est possible de retirer le consentement \u00e0 tout moment.<\/p>\n<p><strong><em>Privacy by design et by default<\/em><\/strong><\/p>\n<p><em>Privacy by design<\/em>, d\u00e9fini dans l\u2019article 25 du RGPD : \u00ab le responsable du traitement met en \u0153uvre, tant au moment de la d\u00e9termination des moyens du traitement qu\u2019au moment du traitement lui-m\u00eame, des mesures techniques et organisationnelles appropri\u00e9es, telles que la pseudonymisation, qui sont destin\u00e9es \u00e0 mettre en \u0153uvre les principes relatifs \u00e0 la protection des donn\u00e9es, par exemple la n\u00e9cessit\u00e9 de recueillir le minimum de donn\u00e9es n\u00e9cessaires au traitement, de fa\u00e7on effective et \u00e0 assortir le traitement des garanties n\u00e9cessaires afin de r\u00e9pondre aux exigences du pr\u00e9sent r\u00e8glement et de prot\u00e9ger les droits de la personne concern\u00e9e\u00a0\u00bb.<\/p>\n<p>Consid\u00e9r\u00e9e comme l\u2019un des principes fondamentaux du RGPD, la Privacy by design repose sur l\u2019id\u00e9e qu\u2019il faut associer les mesures de protection de la vie priv\u00e9e et des DCP d\u00e8s la conception du traitement, ou m\u00eame en amont de celui-ci.<\/p>\n<p><em>Privacy by default<\/em>\u00a0: \u00ab\u00a0le responsable de traitement met en \u0153uvre les mesures techniques et organisationnelles appropri\u00e9es pour garantir que, par d\u00e9faut, seules les DCP qui sont n\u00e9cessaires au regard de chaque finalit\u00e9 sp\u00e9cifique du traitement sont trait\u00e9es. Cela s\u2019applique \u00e0 la quantit\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel collect\u00e9es, \u00e0 l\u2019\u00e9tendue de leur traitement, \u00e0 leur dur\u00e9e de conservation et \u00e0 leur accessibilit\u00e9\u00a0\u00bb.<\/p>\n<h3><strong>Le projet de R\u00e8glement e-Privacy<\/strong><\/h3>\n<p>Un premier projet de R\u00e8glement e-Privacy a \u00e9t\u00e9 adopt\u00e9 par la Commission europ\u00e9enne le 10 janvier 2017. Il t\u00e9moigne d\u2019une certaine incompr\u00e9hension des probl\u00e9matiques m\u00e9tiers de la part des institutions europ\u00e9ennes et de leurs repr\u00e9sentants. Ce n\u2019est pas le seul domaine o\u00f9 un doute s\u2019exprime. Sur le sujet connexe de l\u2019intelligence artificielle, Laurent Alexandre, cofondateur de Doctissimo, d\u00e9clare\u00a0: \u00ab\u00a0L\u2019incompr\u00e9hension de ces enjeux en Europe est critique\u2026.les \u00e9lites europ\u00e9ennes ne comprennent rien \u00e0 la loi de Metcalfe\u00a0\u00bb (La Tribune, 24 septembre 2017).<\/p>\n<p>L\u2019ambition du projet de R\u00e8glement est de compl\u00e9ter l\u2019exigence \u00e9lev\u00e9e de protection des DCP impos\u00e9e par le RGPD en cr\u00e9ant une protection uniforme au niveau des communications \u00e9lectroniques (OTT, navigateurs Web, \u2026). Il s\u2019agit en effet ici d\u2019une <em>lex specialis<\/em> par rapport au RGPD venant compl\u00e9ter celui-ci.<\/p>\n<p>Le projet de R\u00e8glement e-Privacy divise au sein m\u00eame des instances. La rapporteure du texte a une vision tr\u00e8s stricte et des conclusions tr\u00e8s restrictives concernant la protection des libert\u00e9s individuelles en mati\u00e8re de recueil et d\u2019utilisation des donn\u00e9es \u00e0 caract\u00e8re personnel gr\u00e2ce au d\u00e9p\u00f4t de cookies sur les sites \u00e9diteurs\u00a0; mais un autre rapporteur insiste, au contraire, sur le fait que \u00ab\u00a0<em>tous les cookies tiers ne sont pas n\u00e9cessairement nuisibles<\/em>\u00a0\u00bb en pr\u00e9cisant qu\u2019il \u00ab\u00a0<em>faut prot\u00e9ger la vie priv\u00e9e sans p\u00e9naliser l\u2019innovation<\/em>\u00a0\u00bb.<\/p>\n<p>Rappelons la diff\u00e9rence entre cookies \u00ab\u00a0first party\u00a0\u00bb et \u00ab\u00a0third party\u00a0\u00bb. La CNIL\u00a0d\u00e9finit le cookie comme \u00ab<em>\u00a0\u2026<\/em> une information d\u00e9pos\u00e9e sur le disque dur par le serveur du site visit\u00e9. Il contient plusieurs donn\u00e9es\u00a0: le nom du serveur qui l\u2019a d\u00e9pos\u00e9, un identifiant sous forme de num\u00e9ro unique, \u00e9ventuellement une date d\u2019expiration \u2026 Ces informations sont parfois stock\u00e9es sur votre ordinateur dans un simple fichier texte auquel un serveur acc\u00e8de pour lire et enregistrer ces informations<em>\u00a0<\/em>\u00bb. La dur\u00e9e de vie d\u2019un cookie est de 13 mois maximum. Contenant l\u2019adresse IP de l\u2019ordinateur utilis\u00e9, adresse consid\u00e9r\u00e9e comme une DCP, le cookie est \u00e0 ce titre \u00e9galement assimil\u00e9 \u00e0 une DCP. Le cookie dit \u00ab\u00a0first party\u00a0\u00bb est d\u00e9pos\u00e9 depuis le domaine du site \u00e9diteur et permet d\u2019analyser le comportement de l\u2019internaute sur ce m\u00eame site. Le cookie dit \u00ab\u00a0third party\u00a0\u00bb ou cookie tiers est d\u00e9pos\u00e9 depuis le domaine d\u2019un prestataire du site \u00e9diteur sur le site de cet \u00e9diteur. Il suit l\u2019internaute et analyse son comportement sur tous les sites internet sur lesquels ce prestataire a d\u00e9pos\u00e9 son cookie (tiers). Ce cookie est principalement utilis\u00e9 dans le domaine de la publicit\u00e9 ou encore de la mesure d\u2019audience.<\/p>\n<p>Le blocage de tous les cookies tiers d\u00e8s l\u2019installation ou la mise \u00e0 jour du navigateur constitue une mesure fatale pour les annonceurs tout autant que pour les instituts de mesure d\u2019audience. Cette mesure est radicale et ne permet pas \u00e0 l\u2019internaute d\u2019avoir un consentement \u00e9clair\u00e9 sur les cookies d\u00e9pos\u00e9s lors de sa navigation. En effet, la cr\u00e9ation d\u2019un consentement global unique au niveau du navigateur va \u00e0 l\u2019encontre de la mise en \u0153uvre voulue par le RGPD d\u2019un principe de transparence li\u00e9 au recueil et au traitement des DCP des internautes.<\/p>\n<p>Le probl\u00e8me rencontr\u00e9 devant les institutions europ\u00e9ennes est la confusion entre le cookie tiers de mesure d\u2019audience et le cookie tiers publicitaire, qui n\u2019ont pas la m\u00eame finalit\u00e9. En outre, sur un plan \u00e9conomique, l\u2019adoption de ce projet de r\u00e8glement ne ferait qu\u2019enraciner la domination des GAFAM sur le march\u00e9 publicitaire, puisqu\u2019ils disposent de cookies first exempt\u00e9s de toutes les mesures pr\u00e9vues dans le projet de R\u00e8glement e-Privacy.<\/p>\n<p>Ordinairement sensibles \u00e0 l\u2019utilisation des donn\u00e9es faite par les GAFAM, les institutions europ\u00e9ennes n\u2019ont visiblement pas pressenti le fait que l\u2019adoption du R\u00e8glement e-Privacy engendrait <em>de facto<\/em> la remise aux mains des g\u00e9ants am\u00e9ricains de l\u2019ensemble des DCP des internautes europ\u00e9ens. Projet d\u2019autant plus paradoxal au vu de la ligne directrice adopt\u00e9e par l\u2019UE en mati\u00e8re de protection des DCP et les multiples sanctions r\u00e9guli\u00e8rement prononc\u00e9es contre Google ou Facebook par la Commission europ\u00e9enne ou les diff\u00e9rentes autorit\u00e9s nationales de protection des DCP.<\/p>\n<p>Un report de l\u2019adoption du projet de R\u00e8glement e-Privacy, initialement pr\u00e9vue en octobre 2017, serait toutefois \u00e0 pr\u00e9voir eu \u00e9gard au nombre important d\u2019amendements d\u00e9pos\u00e9s par les Commissions\u00a0au Parlement europ\u00e9en : 1200 amendements doivent \u00eatre examin\u00e9s d\u00e8s la rentr\u00e9e parlementaire de septembre 2017. Si leur examen est minutieux, l\u2019entr\u00e9e en vigueur du R\u00e8glement e-Privacy pourrait \u00eatre report\u00e9e d\u2019un an, alors qu\u2019initialement la Commission europ\u00e9enne pr\u00e9voyait une simultan\u00e9it\u00e9 avec le RGPD. Toutefois, les votes des Commissions sur les rapports au projet de R\u00e8glement contenant les diff\u00e9rents amendements ont progressivement lieu en octobre 2017 et aboutissent \u00e0 pr\u00e9ciser le contenu de ce m\u00eame R\u00e8glement.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le c\u00e9l\u00e8bre sp\u00e9cialiste de droit public, L\u00e9on Duguit, constatait d\u00e9j\u00e0 en 1911 \u00ab\u00a0un d\u00e9calage entre les textes juridiques et une soci\u00e9t\u00e9 de plus en plus mue par l\u2019acc\u00e9l\u00e9ration de l\u2019Histoire\u00a0\u00bb (Trait\u00e9 de Droit Constitutionnel, 1911, 1\u00e8re \u00e9d., 1927, 4\u00e8me \u00e9d., Paris). Robert Duquesnel \u00e9crit qu\u2019une \u00ab\u00a0l\u00e9gislation retarde toujours sur les coutumes du moment\u00a0\u00bb (La vie [&hellip;]<\/p>\n","protected":false},"author":99,"featured_media":2614,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[99,135],"tags":[],"class_list":["post-2613","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-big-data","category-tribune","et-has-post-format-content","et_post_format-et-post-format-standard"],"_links":{"self":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/2613","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/users\/99"}],"replies":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2613"}],"version-history":[{"count":0,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/2613\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/media\/2614"}],"wp:attachment":[{"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}