Résumé de l’avis du Contrôleur européen de la protection des données sur la proposition de règlement relatif à la vie privée et aux communications électroniques (le règlement «vie privée et communications électroniques»)

[Le texte complet de l’avis en allemand, en anglais et en français est disponible sur le site internet du CEPD www.edps.europa.eu]

(2017/C 234/03)

Le présent avis expose la position du Contrôleur européen de la protection des données (CEPD) sur la proposition de règlement relatif à la vie privée et aux communications électroniques, qui doit abroger et remplacer la directive «vie privée et communications électroniques».

Sans le règlement «vie privée et communications électroniques», le cadre réglementaire de l’Union européenne en matière de respect de la vie privée et de protection des données serait incomplet. Le règlement général sur la protection des données (le «RGPD») constitue certes une avancée importante, mais il est nécessaire de disposer d’un outil juridique spécifique pour protéger le droit au respect de la vie privée garanti par l’article 7 de la charte des droits fondamentaux de l’Union européenne, dont la confidentialité des communications constitue une composante essentielle. Dès lors, le CEPD approuve et se réjouit de la proposition, qui vise précisément à fournir un tel outil. Le CEPD soutient également le choix de l’instrument juridique, à savoir un règlement qui sera directement applicable et qui contribuera à garantir un niveau d’harmonisation et de cohérence accru. Il se félicite de l’ambition d’assurer un niveau élevé de protection tant en ce qui concerne le contenu que les métadonnées, et il soutient l’objectif consistant à étendre les obligations de confidentialité à un plus grand nombre de services, et notamment aux services de communication dits «par contournement», ce qui reflète l’évolution des technologies. Il considère également que la décision de n’accorder des pouvoirs de contrôle qu’aux seules autorités compétentes en matière de protection des données, conjuguée à la mise en place de mécanismes de coopération et de cohérence au sein du futur comité européen de la protection des données (le «comité»), contribuera à une application plus cohérente et plus effective des règles de l’Union.

En même temps, le CEPD doute qu’en l’état actuel, la proposition puisse effectivement tenir sa promesse de garantir un niveau élevé de protection de la vie privée dans les communications électroniques. En effet, nous avons besoin d’un nouveau cadre juridique pour la vie privée et les communications électroniques, mais ce cadre doit être plus intelligent, plus clair et plus solide. Il reste encore beaucoup à faire car, comme le rappelle la proposition, les règles sont d’une complexité redoutable. Les communications sont divisées en plusieurs catégories de données: métadonnées, données relatives au contenu et données émises par des équipements terminaux. Chacune de ces catégories bénéficie d’un niveau de confidentialité différent et est soumise à des exceptions différentes. Cette complexité pourrait entraîner un risque d’écarts, peut-être involontaires, en matière de protection.

La plupart des définitions sur lesquelles repose la proposition seront négociées et arrêtées dans le cadre d’un instrument juridique distinct: le code des communications électroniques européen. Aujourd’hui, il n’y a pas de justification juridique pour que ces deux instruments soient liés aussi étroitement et les définitions du code, qui sont centrées sur la concurrence et le marché, ne sont tout simplement pas adaptées au contexte des droits fondamentaux. Le CEPD préconise, dès lors, d’inclure un ensemble de définitions nécessaires dans le règlement «vie privée et communications électroniques», qui tiennent compte à la fois de la portée et des objectifs visés par le règlement.

Il convient également d’accorder une attention particulière à la question du traitement des données de communications électroniques par des responsables du traitement autres que les fournisseurs de services de communications électroniques. Les protections supplémentaires assurées aux données de communications seraient inutiles s’il était possible de les contourner facilement, par exemple en transférant les données à des tiers. Il convient, en outre, de s’assurer que les règles en matière de vie privée et de communications électroniques n’aboutissent pas à un niveau de protection plus faible que celui consacré par le RGPD. Ainsi, par exemple, le consentement devrait être véritable: les utilisateurs doivent disposer d’une liberté de choix, comme l’exige le RGPD. Il ne devrait plus y avoir d’accès subordonné à l’acceptation du traçage (tracking walls). En outre, les nouvelles règles devraient fixer des exigences strictes en ce qui concerne la vie privée dès la conception et par défaut. Enfin, le CEPD aborde également d’autres enjeux urgents dans le présent avis, notamment les limitations de la portée des droits.

1.   INTRODUCTION ET CONTEXTE

Le présent avis (l’«avis») fait suite à la demande adressée par la Commission européenne (la «Commission») au Contrôleur européen de la protection des données (le «CEPD»), en tant qu’autorité de contrôle indépendante et organe consultatif, afin d’obtenir son avis sur la proposition de règlement relatif à la vie privée et aux communications électroniques (1) (la «proposition»). La proposition vise à abroger et à remplacer la directive 2002/58/CE du Parlement européen et du Conseil (2) sur la vie privée et les communications électroniques (la «directive “vie privée et communications électroniques”»). La Commission a également sollicité l’avis du groupe de travail «Article 29» sur la protection des données (le «G29»), auquel le CEPD a contribué en tant que membre à part entière (3).

Le présent avis fait suite à l’avis préliminaire 5/2016 du CEPD sur le réexamen de la directive «vie privée et communications électroniques» (2002/58/CE) (4), rendu le 22 juillet 2016. Le CEPD est également susceptible de donner son avis aux stades ultérieurs de la procédure législative.

La proposition est l’une des initiatives clés de la stratégie pour un marché unique numérique (5), qui vise à renforcer la confiance dans les services numériques et leur sécurité dans l’Union européenne, en veillant tout particulièrement à garantir un niveau élevé de protection aux citoyens et des conditions de concurrence équitables pour l’ensemble des opérateurs du marché dans toute l’Union.

La proposition a pour but de moderniser et d’actualiser la directive «vie privée et communications électroniques» dans le cadre d’une stratégie plus large visant à établir un cadre juridique cohérent et harmonisé pour la protection des données en Europe. La directive «vie privée et communications électroniques» précise et complète la directive 95/46/CE du Parlement européen et du Conseil (6), qui sera remplacée par le règlement général sur la protection des données (le «RGPD») (7), récemment adopté.

Dans un premier temps, le CEPD résume au chapitre 2 ses principales observations sur la proposition en se concentrant sur ses aspects positifs. Dans un second temps, au chapitre 3, il expose ses principales inquiétudes et formule des recommandations quant aux réponses à y apporter. D’autres inquiétudes et des recommandations en vue d’améliorations supplémentaires sont décrites dans l’annexe du présent avis, qui examine la proposition de façon plus détaillée. Le fait de répondre aux inquiétudes soulevées dans cet avis et son annexe et d’améliorer encore le texte du règlement «vie privée et communications électroniques» permettrait non seulement de mieux protéger les utilisateurs finaux et autres personnes concernées, mais aussi de procurer une plus grande sécurité juridique à l’ensemble des parties intéressées.

4.   CONCLUSIONS

Le CEPD se réjouit de la proposition de la Commission tendant à moderniser, à mettre à jour et à renforcer le règlement «vie privée et communications électroniques». Il partage le point de vue selon lequel il existe un besoin constant de règles spécifiques pour protéger la confidentialité et la sécurité des communications électroniques dans l’Union européenne et pour compléter et préciser les exigences du RGPD. Il considère également qu’il est impératif de mettre en place des dispositions juridiques simples, ciblées et neutres du point de vue technologique, qui soient garantes, dans un avenir proche, d’une protection forte, intelligente et effective.

Le CEPD se félicite de l’ambition affichée de garantir un niveau élevé de protection à l’égard du contenu et des métadonnées, et il se réjouit en particulier des principaux éléments positifs exposés à la section 2.1.

S’il se félicite de la proposition, le CEPD demeure préoccupé par un certain nombre de dispositions qui risquent de nuire à l’intention de la Commission d’assurer un niveau élevé de protection de la vie privée dans les communications électroniques. En particulier, le CEPD tient à exprimer les inquiétudes suivantes:

Ces principales inquiétudes, ainsi que les recommandations concernant les réponses à y apporter, sont exposées dans le présent avis. Au-delà des observations générales et des principales inquiétudes énoncées dans le corps de l’avis, le CEPD formule en annexe des commentaires et des recommandations supplémentaires, et parfois plus techniques, sur la proposition, dans le but notamment de faciliter le travail des législateurs et des autres parties intéressées qui souhaitent encore améliorer le texte durant le processus législatif. Enfin, nous tenons également à souligner l’importance d’un traitement rapide de ce dossier capital par les législateurs, de façon que le règlement «vie privée et communications électroniques» puisse s’appliquer, comme prévu, à compter du 25 mai 2018, date à laquelle le RGPD entrera lui aussi en vigueur.

L’importance de la confidentialité des communications consacrée à l’article 7 de la charte ne cesse d’augmenter compte tenu du rôle accru que les communications électroniques jouent dans notre société et notre économie. Les garanties exposées dans le présent avis joueront un rôle déterminant dans la réalisation des objectifs stratégiques à long terme que la Commission a décrits dans les grandes lignes dans sa stratégie pour un marché unique numérique.

(1)  Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (le règlement «vie privée et communications électroniques») [COM(2017) 10 final, 2017/0003 (COD)].

(2)  Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques») (JO L 201 du 31.7.2002, p. 37).

(3)  Avis 1/2017 du G29 sur la proposition de règlement relatif à la vie privée et aux communications électroniques (2002/58/CE) (GT247), adopté le 4 avril 2017. Voir également avis 3/2016 du G29 sur l’évaluation et le réexamen de la directive «vie privée et communications électroniques» (2002/58/CE) (GT240), adopté le 19 juillet 2016.

(4)  Voir https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_FR.pdf

(5)  Stratégie pour un marché unique numérique en Europe, communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, 6 mai 2015 [COM(2015) 192 final], disponible à l’adresse suivante: http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52015DC0192&from=FR

(6)  Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).

(7)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(8)  Proposition de directive du Parlement européen et du Conseil établissant le code des communications électroniques européen [COM(2016) 590 final, 2016/0288(COD)] du 12 octobre 2016.