13.10.2017   

FR

Journal officiel de l'Union européenne

C 345/138

Rapporteure:

Laure BATUT

1.1.

Le CESE déplore vivement que la superposition des textes sur la protection des données, leur volume et leur intrication, les va-et-vient de l’un à l’autre nécessaires à leur compréhension, rendent leur lecture et leur mise en œuvre improbables au-delà d’un cercle d’initiés, et que leur valeur ajoutée ne soit pas accessible pour le citoyen, notion qui fait défaut dans tout le projet de règlement. Il recommande la publication en ligne d’une brochure synthétique qui les décrive au public et les rende accessibles à tous.

1.2.

Le CESE souligne que parmi les options proposées dans l’analyse d’impact, la Commission a choisi celle qui renforcera «modérément» le respect de la vie privée. Est-ce pour garantir un équilibre avec les intérêts de l’industrie? La Commission ne précise pas quels éléments d’un renforcement «important» du respect de la vie privée auraient nui aux intérêts de l’industrie. Cette position tend à amoindrir le texte dès sa conception.

1.3.

Le CESE recommande à la Commission de:

2.1.

Les réseaux de communications électroniques ont considérablement évolué depuis l’entrée en vigueurs des directives 95/46 et 2002/58  (2) CE sur le respect de la vie privée dans les communications électroniques.

2.2.

Le règlement général sur la protection des données (RGPD) adopté en 2016 [règlement (UE) 2016/679] est devenu la base des actions et a posé les grands principes, y compris pour les données judiciaires et pénales. En vertu de ce règlement, les données personnelles ne peuvent être collectées que dans de strictes conditions, à des fins légitimes et dans le respect de la confidentialité (article 5 du RGPD).

2.2.1.

La Commission a présenté, en octobre 2016, une proposition de directive établissant un code des communications électroniques européen (3) (qui contient 300 pages), qui n’a pas encore été adopté, mais auquel elle se réfère pour certaines définitions qui ne figurent ni dans le RGPD ni dans le texte à l’examen.

2.2.2.

Deux propositions datant de janvier 2017 précisent certains aspects en s’appuyant sur le RGPD; il s’agit de la proposition de règlement sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes de l’Union [COM(2017) 8 final, rapporteur: M. PEGADO LIZ], et du texte à l’examen [COM(2017) 10 final], sur le respect de la vie privée et la protection des données à caractère personnel.

2.3.

Les trois textes précités seront applicables à la même date, à partir du 25 mai 2018, et visent une harmonisation des droits et des procédures de contrôle.

2.4.

Il est à noter que pour faciliter cette approche, il a été décidé de recourir, pour la protection de la vie privée, à un règlement européen et non plus à une directive.

3.1.

La société civile souhaite comprendre si, dans le monde du tout numérique qui se dessine, l’Union apporte une valeur ajoutée qui garantisse des espaces où la vie privée peut s’épanouir sans crainte.

3.2.

Les données générées de manière continue rendent tous les utilisateurs traçables et identifiables partout. Le traitement des données effectué dans des centres physiques, situés pour la plupart hors d’Europe, soulève des craintes.

3.3.

Les «Big Data» (mégadonnées) sont devenues une monnaie; elles permettent, par leur traitement intelligent, de «profiler», de «marchandiser» les personnes physiques et morales, de gagner de l’argent souvent à l’insu des utilisateurs.

3.4.

Mais surtout, l’apparition de nouveaux acteurs dans le secteur du traitement des données hors fournisseurs d’accès à internet doit conduire à une révision des textes.

4.1.

Avec ce texte, la Commission voudrait instaurer un équilibre entre les consommateurs et l’industrie:

4.2.

La proposition vise le déploiement du RGPD, qui est d’application générale comme le sont la confidentialité des données privées et le droit à l’effacement, et concerne l’aspect particulier du respect de la vie privée et de la protection des données à caractère personnel dans les télécommunications; il propose d’instaurer des règles plus exigeantes en matière de protection de la vie privée, ainsi que des contrôles coordonnés et des sanctions.

4.3.

Elle n’édicte pas de mesures spécifiques portant sur les «brèches» dans les données personnelles venant des utilisateurs eux-mêmes, mais confirme dès les premiers articles (article 5) le principe de la confidentialité des communications électroniques.

4.4.

Les fournisseurs peuvent traiter le contenu de communications électroniques:

4.5.

Ils sont tenus d’effacer ou d’anonymiser les contenus après réception par leurs destinataires.

4.6.

Selon l’article 4, paragraphe 11 du RGPD, le «consentement» de la personne concernée correspond à toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle elle accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

4.7.

Le projet maintient l’exigence du consentement expressément exprimé, défini par le RGPD, la charge de la preuve incombant aux opérateurs.

4.8.

Le «traitement» repose sur ce consentement. Le responsable du traitement doit être «en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant» (article 7, paragraphe 1 du RGPD).

4.9.

Certaines limitations (des obligations et des droits) à la confidentialité pourraient être apportées par le droit de l’Union européenne ou par le droit national pour garantir des intérêts publics ou une mission d’inspection.

4.10.

Les personnes physiques doivent avoir donné leur consentement pour figurer dans un annuaire électronique accessible au public, avec les moyens de vérifier et de corriger les données qui les concernent (article 15).

4.11.

Un droit d’opposition permettra à tout utilisateur de bloquer l’utilisation de ses données confiées à un tiers (par exemple un commerçant), puis lors de l’envoi de chaque message (article 16). Les nouvelles règles donneront aux utilisateurs une meilleure maîtrise de leurs paramètres (cookies, identifiants) et les communications «non sollicitées» (pourriels, messages, SMS, appels) pourront être bloquées en cas de défaut d’accord de l’utilisateur.

4.12.

Concernant l’identification des appels et les blocages d’appels indésirables (articles 12 et 14), le règlement souligne que ces droits sont aussi ceux des personnes morales.

4.13.

La structuration d’un système de contrôle est conforme au RGPD (chapitres VI sur les autorités de contrôle et VII sur la coopération entre les autorités de contrôle).

4.13.1.

Ce sont les États membres et leurs autorités nationales responsables de la protection des données qui devront veiller au respect des règles de confidentialité. Les autres autorités de contrôle pourront, dans le cadre d’une assistance mutuelle, rédiger des objections soumises éventuellement aux autorités de contrôle nationales. Elles coopèrent avec ces dernières et avec la Commission européenne dans le cadre d’un mécanisme de cohérence (article 63 du RGPD).

4.13.2.

Le comité européen de la protection des données (CEPD) est chargé pour sa part de veiller à l’application cohérente du règlement à l’examen (articles 68 et 70 du RGPD).

4.14.

Des voies de recours sont ouvertes aux personnes physiques et morales utilisateurs finaux pour faire valoir leurs intérêts lésés par des violations; elles pourront obtenir une réparation du préjudice subi.

4.15.

Les montants prévus pour les amendes administratives se veulent dissuasifs, puisqu’ils peuvent s’élever, pour tout contrevenant, jusqu’à dix millions d’euros et, pour une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu (article 23); les États membres établissent les sanctions pour le cas où il n’y aurait pas d’amende administrative et en informent la Commission.

4.16.

Le nouveau texte sur le respect de la vie privée et l’utilisation des données à caractère personnel sera applicable à partir du 25 mai 2018, à la même date donc que le RGPD de 2016, que le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions organes et organismes de l’Union, et que le projet de directive sur la refonte du code des communications électroniques européen [COM(2016) 590 final], s’ils sont adoptés.

4.17.

Champ d’application la lex specialis mettant en œuvre le RGPD:

—

ratione personae: acteurs

—

ratione materiae: les données

—

ratione loci: où?

4.18.

Les objectifs de l’Union européenne: le marché unique numérique

5.1.

Le Comité salue la mise en place simultanée dans toute l’Union d’un ensemble cohérent de règles visant à protéger les droits des personnes physiques et morales liés à l’usage des données numériques au moyen de communications électroniques.

5.1.1.

Il se réjouit que l’Union joue son rôle de défenseur des droits des citoyens et des consommateurs.

5.1.2.

Il souligne qu’alors qu’on vise l’harmonisation, l’interprétation de nombreux concepts incombe aux États membres, ce qui transforme le règlement en une sorte de directive qui laisse une grande place à la marchandisation des données privées. En particulier, le domaine de la santé est une porte ouverte à la collecte de quantités énormes de données privées.

5.1.3.

Les articles 11-1, 13-2, 16-4 et 5, et 24 sont plutôt des dispositions qu’on pourrait qualifier de mesures de «transposition» qui conviendraient pour une directive mais non pour un règlement. Une trop grande latitude est laissée aux opérateurs dans le but d’améliorer la qualité des services (articles 5 et 6). Ce règlement devrait faire partie intégrante de la proposition de règlement dit «code des communications électroniques européen» [COM(2016) 590 final)].

5.1.4.

Le CESE déplore vivement que la superposition, le volume de ces textes et leur intrication rendent leur lecture improbable, au-delà d’un cercle d’initiés. En effet, de permanents allers-retours de l’un à l’autre texte sont nécessaires. De plus, leur valeur ajoutée n’est pas visible pour le citoyen. Cette difficulté de lecture et cette complexité de la proposition sont contraires à l’esprit du programme pour une réglementation affûtée et performante (REFIT) et de l’objectif «mieux légiférer», la rendront difficile à interpréter, et ouvriront des brèches dans la protection.

5.1.5.

À titre d’exemple, la proposition de règlement ne contient pas de définition de la notion d’«opérateur»; il faut se reporter au projet de code des communications électroniques européen (4), qui n’est pas encore entré en vigueur, qui modifiera les règles du secteur dans le cadre du marché unique numérique, à savoir la directive-cadre 2002/21/CE, la directive «autorisation» 2002/20/CE, la directive «service universel» 2002/22/CE et la directive «accès» 2002/19/CE telle qu’elles ont été modifiées; le règlement (CE) no 1211/2009 instituant l’ORECE, la décision «spectre radioélectrique» 676/2002/CE, la décision 2002/622/CE instituant un groupe pour la politique en matière de spectre radioélectrique et la décision 243/2012/UE établissant un programme pluriannuel en matière de politique du spectre radioélectrique (PPSR). La référence fondamentale reste bien sûr le RGPD (voir paragraphe 2.2) que la proposition à l’examen se propose de compléter et lui est donc subsidiaire.

5.2.

Le CESE souligne tout particulièrement le contenu de l’article 8 portant sur la protection des informations stockées dans les équipements terminaux et les exceptions potentielles, article fondamental car il laisse à la société de l’information des possibilités d’accéder aux données privées. Il souligne aussi celui de l’article 12 sur la restriction de l’identification des lignes appelante et connectée, articles peu accessibles pour un non-initié.

5.2.1.

La directive de 1995 (article 2) définissait les «données à caractère personnel» comme «toute information concernant une personne physique identifiée ou identifiable (personne concernée)». Le règlement à l’examen élargit la protection des données aux métadonnées et s’applique désormais aux personnes physiques comme aux personnes morales. Il convient de souligner à nouveau que le projet a un double objectif: d’une part protéger les données à caractère personnel et d’autre part assurer la libre circulation des données et des services de communications électroniques au sein de l’Union européenne (article 1).

5.2.2.

Le CESE souligne que la volonté de protéger les données des personnes morales (article 1, paragraphe 2) va se heurter à d’autres textes d’où elle est absente: il n’y est pas clairement dit qu’ils devront s’appliquer à leur cas (voir le RGPD, les données dans les institutions européennes).

5.3.

Le CESE se demande si le véritable objectif de cette proposition n’est pas de mettre plus l’accent sur son article 1, paragraphe 2 à savoir garantir «la libre circulation des données de communications électroniques et des services de communications électroniques au sein de l’Union», qu’il ne limite ni interdit pour des motifs liés au respect de la vie privée et des communications des personnes physiques, plutôt que de garantir réellement ce qu’il annonce dans son article 1, paragraphe 1, à savoir «le droit au respect de la vie privée et des communications et la protection des personnes physiques et morales à l’égard du traitement de données à caractère personnel».

5.4.

Tout repose sur l’expression du consentement de la personne, physique ou morale. En conséquence, pour le CESE, les utilisateurs doivent être informés, formés, et rester prudents, car une fois leur consentement donné, le fournisseur pourra traiter davantage les contenus et les métadonnées pour obtenir le plus d’actions et de gains possible. Combien savent, avant de l’accepter, qu’un cookie est un traceur? L’éducation des utilisateurs à faire usage de leurs droits, tout comme l’anonymisation ou le chiffrement, devraient être des priorités liées à ce règlement.

6.1.

Les données privées ne devraient être collationnées que par des organismes respectant eux-mêmes des conditions très strictes et visant des objectifs connus et légitimes (RGPD).

6.2.

Le Comité regrette à nouveau «les trop nombreuses exceptions et limitations qui affectent les principes affirmés du droit à la protection des données personnelles (5)». L’équilibre entre liberté et sécurité devrait rester la marque de l’Union européenne, plutôt que l’équilibre entre droits fondamentaux de la personne et industrie. Le groupe de travail «article 29» a sévèrement indiqué, dans son analyse du projet de règlement (WP247 du 4.4.2017, avis 1/2017, pt.17), qu’il diminue le niveau de protection défini dans le RGPD, notamment à propos de la localisation du terminal, du manque de limitation du champ des données collectables, et ne met pas en place une protection de la vie privée par défaut (pt.19).

6.3.

Les données sont comme un prolongement de la personne, une identité fantôme, une «Shadow-ID». Les données appartiennent à la personne qui les génère, mais après leur traitement, elles échappent à son influence. Pour la conservation et les transferts de données, chaque État reste responsable et il n’y a pas d’harmonisation en raison des limitations possibles des droits ouvertes par le projet de texte. Le Comité souligne le risque de disparités lié au fait que la limitation des droits soit laissée à l’appréciation des États membres.

6.4.

Une question se pose tout particulièrement pour les personnes travaillant dans des entreprises: à qui appartiennent les données qu’elles génèrent en travaillant? Et comment sont-elles protégées?

6.5.

L’architecture du contrôle n’est pas très claire (6); malgré la supervision par le CEPD, les garanties contre l’arbitraire ne semblent pas suffisantes et le temps nécessaire pour que les procédures aboutissent à une sanction n’a pas été évalué.

6.6.

Le CESE plaide pour la création d’un portail européen, où seraient rassemblés et mis à jour tous les textes européens et nationaux, tous les droits, les voies de recours, les cas de jurisprudence, des éléments pratiques, pour aider les citoyens et les consommateurs à s’orienter dans la jungle des textes et des mises en œuvre, afin de pouvoir exercer leurs droits. Ce portail devrait s’inspirer au moins des prescriptions de la directive (UE) 2016/2102 du 26 octobre 2016 relative à l’accessibilité des sites internet et des applications mobiles des organismes du secteur public, et des principes repris aux considérants 12, 15 et 21 de la proposition de directive dite European Accessibility Act 2015/0278(COD) et offrir des contenus accessibles et compréhensibles à tous les utilisateurs finaux. Le CESE serait prêt à participer aux phases de définition de ce portail.

6.7.

Il manque, dans l’article 22, une référence aux «actions de groupe» comme le CESE l’a déjà fait observer dans son avis sur le code des communications électroniques européen.

6.8.

La limitation du champ d’application matériel (article 2, paragraphe 2), l’extension du pouvoir de traitement des données sans le consentement du titulaire (article 6, paragraphes 1 et 2), et la notion improbable d’obtention du consentement de TOUS les utilisateurs concernés (point 3 alinéa b) et articles 8, paragraphes 1, 2 et 3), les limitations aux droits que peuvent apporter les États membres s’ils estiment qu’elles constituent des mesures «nécessaires, appropriées et proportionnées», sont autant de règles dont le contenu est susceptible de tant d’interprétations qu’il se révèle contraire à une vraie protection de la vie privée. Une attention particulière doit en outre être accordée à la protection des données relatives aux mineurs.

6.9.

Le CESE se réjouit du droit de regard évoqué à l’article 12, mais relève sa formulation particulièrement hermétique, semblant privilégier l’utilisation d’appels téléphoniques «inconnus» ou «cachés», comme si l’anonymat était recommandé, alors que le principe devrait être l’identification des appels.

6.10.

Les communications non sollicitées (article 16) et la prospection directe font déjà l’objet de la directive «pratiques commerciales déloyales (7)». Le régime par défaut devrait être l’opt-in (acceptation) et non l’opt-out (refus).

6.11.

L’évaluation par la Commission est prévue tous les trois ans, or, dans le domaine du numérique, ce délai est trop long. Après deux évaluations, le monde du numérique aura complètement changé. Cependant, la délégation (article 25), qui pourra être élargie, devrait avoir une durée déterminée, éventuellement renouvelable.

6.12.

La législation doit préserver les droits des utilisateurs (article 3 du TUE), tout en garantissant la stabilité juridique nécessaire à l’activité commerciale. Le CESE regrette que la circulation des données de machine à machine (M2M) ne figure pas dans la proposition: il faut se reporter au code des communications électroniques européen (proposition de directive, articles 2 et 4).

6.12.1.

L’internet des objets (IoT) (8) va conduire le «BigData» (mégadonnées) au «Huge Data» puis au «All Data». C’est une clé pour les futures vagues d’innovation. Et les machines, petites ou grandes, communiquent et véhiculent des données privées entre elles (votre montre enregistre les battements de votre cœur, qu’elle envoie à l’ordinateur de votre médecin, etc.). De nombreux acteurs du numérique ont lancé leur propre plateforme réservée aux objets connectés: Amazon, Microsoft, Intel ou, en France, Orange et La Poste.

6.12.2.

L’IoT du quotidien peut facilement faire l’objet d’intrusions malveillantes, la quantité d’informations personnelles qui peuvent être récoltées à distance est en augmentation (géolocalisation, données de santé, flux vidéos et audios). Les brèches dans la protection des données intéressent, entre autres, les compagnies d’assurance qui commencent à proposer à leurs clients de se doter d’objets connectés et de responsabiliser leur comportement.

6.13.

Nombre de géants de l’internet tentent de faire évoluer leur application d’origine vers une plateforme: ainsi convient-il de distinguer l’application Facebook de la plateforme Facebook, qui permet à des développeurs de concevoir des applications accessibles depuis les profils des utilisateurs. Amazon, de son côté, était une application web spécialisée dans la vente en ligne. Aujourd’hui, elle est devenue une plateforme, permettant ainsi à des tiers — des particuliers aux grands groupes — de commercialiser leurs produits en bénéficiant des ressources d’Amazon: la réputation, la logistique, etc. Tout ceci passe par des transferts de données personnelles.

6.14.

L’économie collaborative voit la prolifération des plateformes: «une plate-forme qui, notamment par des moyens électroniques, met en contact, d’une part, plusieurs acteurs disposant de biens ou de services et, d’autre part, une pluralité d’utilisateurs (9)». Alors qu’elles sont recherchées pour l’activité et les emplois qu’elles procurent, le CESE se demande comment les transferts de données qu’elles génèrent pourront être contrôlés, tant dans l’application du RGPD que dans celle de ce règlement.