Help Print this page 
Title and reference
Protection des données dans le secteur des communications électroniques

Summaries of EU legislation: direct access to the main summaries page.
Languages and formats available
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html ES html CS html DA html DE html EL html EN html FR html IT html HU html NL html PL html PT html RO html FI html SV
Multilingual display
Text

Protection des données dans le secteur des communications électroniques

Les technologies de l’information et de la communication (TIC), notamment Internet et les messageries électroniques, requièrent des règles spécifiques pour garantir le droit au respect de la vie privée. La présente directive contient ainsi des dispositions destinées à assurer la confiance des utilisateurs envers les services et les technologies liés aux communications électroniques. Elle vise notamment à assurer la protection de la vie privée et à la confidentialité dans le secteur des communications électroniques, y compris la sécurité du traitement des données à caractère personnel, la notification des cas de violation, la confidentialité des communications et l'interdiction des communications non sollicitées, sous réserve du consentement préalable des utilisateurs.

ACTE

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) [Voir actes modificatifs].

SYNTHÈSE

La directive 2002/58/CE fait partie du Paquet Télécom, le dispositif législatif qui régit le secteur des communications électroniques. Le Paquet Télécom comprend quatre autres directives relatives au cadre général, à l’accès et à l’interconnexion, aux autorisations et aux licences, ainsi qu’au service universel.

Le Paquet Télécom a été modifié en décembre 2009 par les deux directives Mieux légiférer et Droit des citoyens, ainsi que par le règlement instituant l'Organe des régulateurs européens des communications électroniques (ORECE).

La présente directive concerne principalement le traitement des données à caractère personnel dans le cadre de la fourniture de services de communications.

Sécurité du traitement

Le fournisseur d’un service de communications électroniques est tenu de protéger la sécurité de ses services en:

  • garantissant l’accès aux données à caractère personnel uniquement aux personnes autorisées;
  • protégeant les données à caractère personnel de la destruction, de la perte ou de l’altération accidentelle et d'autres traitements illicites ou non autorisés;
  • assurant la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.

En cas de violation de la sécurité des données à caractère personnel, le fournisseur du service doit avertir l’autorité nationale compétente dans les 24 heures. Lorsque cette violation est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier, le fournisseur doit également la notifier à l’abonné ou au particulier, sauf s'il a mis en place des mesures de protection technologiques rendant les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès (voir règlement (UE) n o611/2013).

Confidentialité des communications

La directive rappelle que les États membres doivent garantir la confidentialité des communications effectuées au moyen d’un réseau public de communications électroniques. En particulier, ils doivent interdire à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données de trafic sans le consentement des utilisateurs concernés, sauf lorsque cette personne y est légalement autorisée. Ils garantissent également que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur ait donné son accord après avoir reçu une information claire et complète, entre autres sur les finalités du traitement.

Traitement des données relatives au trafic et de localisation

La directive établit que les données relatives au trafic doivent être effacées ou rendues anonymes quand elles ne sont plus nécessaires pour l'acheminement de la communication ou pour la facturation.

Le fournisseur d’un service de communications électroniques peut néanmoins traiter les données relatives au trafic dans la mesure et pour la durée nécessaires à la fourniture ou à la commercialisation de services de communications électroniques ou à valeur ajoutée, pour autant que l’abonné ou l’utilisateur concerné ait donné son consentement préalable.

En ce qui concerne les données de localisation autres que celles relatives au trafic, elles ne peuvent être traitées qu'après avoir été rendues anonymes ou moyennant le consentement des utilisateurs ou des abonnés, dans la mesure et pour la durée nécessaires à la fourniture d'un service à valeur ajoutée.

Les utilisateurs ou les abonnés ont la possibilité de retirer à tout moment leur consentement pour le traitement des données relatives au trafic ou de localisation.

Concernant la question sensible de la rétention des données, la directive dispose que les États membres ne peuvent lever la protection des données que pour permettre des enquêtes criminelles ou préserver la sécurité nationale, la défense et la sécurité publique. Une telle mesure ne peut être adoptée que lorsqu’elle constitue une mesure nécessaire, appropriée et proportionnée dans une société démocratique et dans le respect des droits fondamentaux.

Communications non sollicitées (spamming)

La directive adopte une approche opt-in à l’égard des communications électroniques à caractère commercial non sollicitées, c’est-à-dire que les utilisateurs devront donner leur accord préalable avant de recevoir ces communications. Ce système d’opt-in couvre également les messages par SMS et les autres messages électroniques reçus sur n’importe quel terminal fixe ou mobile. Des dérogations sont cependant prévues.

Témoins de connexion (cookies)

La directive prévoit que les utilisateurs doivent donner leur accord pour que des informations soient stockées sur leur équipement terminal ou que l'accès à telles informations soit obtenu. Pour ce faire, les utilisateurs doivent recevoir des informations claires et précises sur la finalité du stockage ou accès. Ces dispositions protègent la vie privée des utilisateurs contre les logiciels malveillants, comme les virus ou les espiogiciels, mais s'appliquent aussi aux témoins de connexion (cookies).

Les témoins de connexion (cookies) sont des informations cachées échangées entre un utilisateur Internet et un serveur web, et sauvegardées dans un fichier sur le disque dur de l’utilisateur. Ces informations permettaient initialement la persistance d'informations entre deux connexions. Elles constituent aussi un outil de contrôle de l'activité de l'internaute souvent décrié.

Annuaires publics

Les citoyens européens doivent donner leur accord préalable avant que leur numéro de téléphone (fixe ou mobile), leur adresse e-mail et leur adresse postale ne puissent figurer dans les annuaires publics.

Contrôles

Les États membres doivent déterminer le régime des sanctions, y compris pénales, en cas de violation des dispositions de la directive. Ils doivent également assurer que les autorités nationales compétentes disposent des pouvoirs et ressources nécessaires pour surveiller et contrôler le respect des dispositions nationales transposant la directive.

RÉFÉRENCES

Acte

Entrée en vigueur

Délai de transposition dans les États membres

Journal officiel

Directive 2002/58/CE

30.7.2002

31.10.2003

JO L 201 du 31.7.2002

Acte(s) modificatif(s)

Entrée en vigueur

Délai de transposition dans les États membres

Journal officiel

Directive 2009/136/CE

19.12.2009

25.5.2011

JO L 337 du 18.12.2009

ACTES LIÉS

Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [Journal officiel L 281 du 23.11.1995].

Cette directive constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'UE.

Règlement (CE) no45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation des données [Journal officiel L 8 du 12.1.2001].

Ce règlement vise à assurer la protection des données à caractère personnel dans le cadre des institutions et des organes de l’UE. Le texte prévoit en particulier l'établissement d'une instance de surveillance indépendante chargée de contrôler l'application de ses principales dispositions.

Règlement (UE) n o611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques[Journal officiel L 173 du 26.6.2013].

Arrêt de la Cour de justice du 8 avril 2014 dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a.

Dans cet arrêt, la Cour a déclaré invalide la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE. La Cour a considéré que la directive 2006/24/CE excédait les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52, paragraphe 1, de la Charte Européenne des droits fondamentaux. La Cour a souligné notamment que la Directive:

  • comportait une ingérence d’une vaste ampleur et d’une gravité particulière, sans prévoir de règles claires et précises régissant la portée de cette ingérence ne prévoyait pas de garanties suffisantes en matière de sécurité et de protection des données conservées par les opérateurs.

Dernière modification le: 27.05.2014

Top