Protection des données dans le secteur des communications électroniques

Les informations sont échangées à travers des services de communications électroniques publics, comme l’internet et la téléphonie mobile et fixe, et des réseaux qui y sont associés. Ces services et réseaux requièrent des règles et des protections spécifiques pour garantir la vie privée des utilisateurs et la confidentialité des communications.

ACTE

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

SYNTHÈSE

Les informations sont échangées à travers des services de communications électroniques publics, comme l’internet et la téléphonie mobile et fixe, et des réseaux qui y sont associés. Ces services et réseaux requièrent des règles et des protections spécifiques pour garantir la vie privée des utilisateurs et la confidentialité des communications.

QUEL EST L’OBJET DE LA DIRECTIVE?

La directive fixe les règles destinées à sécuriser le traitement des données personnelles, la notification des violations de ces données ainsi que la confidentialité des communications. Elle interdit également les communications non sollicitées pour lesquelles l’utilisateur n’a pas donné son consentement.

POINTS CLÉS

Les fournisseurs de services de communication électroniques doivent protéger leurs services, au minimum en:

• veillant à ce que les données personnelles soient accessibles uniquement aux personnes autorisées;
• protégeant les données personnelles contre la destruction, la perte, la modification accidentelle et toute autre forme de traitement illégale ou non autorisée;
• veillant à la mise en œuvre d’une politique de sécurité pour le traitement des données personnelles.

Le fournisseur de services doit informer l’autorité nationale compétente de toute violation des données personnelles dans les 24 heures. Il doit également l’informer du risque de violation des données personnelles ou de la vie privée d’un utilisateur, à moins que des mesures technologiques expressément identifiées aient été prises pour protéger ces données.

Les pays de l’UE doivent veiller à la confidentialité des communications effectuées au moyen des réseaux publics de communications. En particulier, ils doivent:

• interdire d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sauf lorsque la personne y est légalement autorisée, conformément aux exigences spécifiques;
• garantir que le stockage des informations ou l’accès à des informations stockées dans l’équipement personnel d’un utilisateur n’est permis qu’à condition que l’utilisateur soit muni d’une information claire et complète, entre autres sur les finalités du traitement, et qu’il ait le droit de le refuser.

Les données relatives au trafic doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication ou à la facturation. Les fournisseurs de services peuvent néanmoins traiter ces données à des fins de prospection aussi longtemps que les utilisateurs donnent leur consentement. Ces derniers ont la possibilité de le retirer à tout moment.

Le consentement de l’utilisateur est également requis dans de nombreux autres cas, notamment:

• avant de lui envoyer des communications non sollicitées, y compris par SMS et d’autres systèmes de messagerie électronique;
• avant de stocker des informations (cookies) sur ses ordinateurs ou équipements, ou avant d’accéder aux informations qui y sont stockées. L’utilisateur doit être muni d’une information claire et complète, entre autres sur les finalités de ce stockage ou de cet accès;
• avant d’inscrire ses numéros de téléphone, adresses de messagerie électronique ou adresses postales dans des annuaires publics.

Les pays de l’UE sont tenus de mettre en place un système de sanctions, y compris légales, en cas d’infraction à la directive.

La portée des droits et des obligations peut être limitée uniquement par des mesures législatives nationales si une telle limitation constitue une mesure nécessaire et proportionnée pour protéger un intérêt public spécifique, par exemple pour mener des enquêtes criminelles ou sauvegarder la sécurité nationale, la défense ou la sécurité publique.

À PARTIR DE QUAND LA DIRECTIVE S’APPLIQUE-T-ELLE?

La directive est d'application depuis le 31 juillet 2002.

CONTEXTE

La directive est l'une des cinq directives du paquet «Télécom», un cadre législatif régissant le secteur des communications électroniques. Les quatre autres couvrent le cadre général, l’accès aux réseaux et leur interconnexion, l’autorisation de réseaux et le service universel.

Le paquet a été amendé en 2009 par deux directives renforçant la législation en la matière et les droits des citoyens et par un règlement instituant l’Organe des régulateurs européens des communications électroniques (ORECE).

Pour plus d'informations, veuillez consulter le site web de la Commission européenne sur la directive«Vie privée» .

Suite à la pandémie de COVID-19 et l’introduction de mesures destinées à faire face à l’impact de cette crise, la Commission européenne a adopté: Recommandation (UE) 2020/518 de la Commission du 8 avril 2020 concernant une boîte à outils commune au niveau de l’Union en vue de l’utilisation des technologies et des données pour lutter contre la crise de la COVID-19 et sortir de cette crise, notamment en ce qui concerne les applications mobiles et l’utilisation de données de mobilité anonymisées

ACTES LIÉS

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.95, p. 31-50)

Règlement (CE) n^o 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1-22)

Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105 du 13.4.2006, p. 54-63) (déclarée invalide par un arrêt de la Cour de justice européenne, voir ci-dessous).

Règlement (UE) n^o 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques (JO L 173 du 26.6.2013, p. 2-8)

Affaires jointes C-293/12 et C-594/12: arrêt de la Cour (grande chambre) du 8 avril 2014 (demandes de décision préjudicielle de la High Court of Ireland, Verfassungsgerichtshof - Irlande, Autriche) - Digital Rights Ireland Ltd (C-293/12), Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl e.a. (C-594/12)/Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána, Ireland and the Attorney General (communications électroniques - directive 2006/24/CE - services de communications électroniques accessibles au public ou de réseaux publics de communications - conservation de données générées ou traitées dans le cadre de la fourniture de tels services - validité - articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne) (JO C 175 du 10.6.2014, p. 6-7)

dernière modification 25.05.2020