Par Daniel Kadar, associé, et Caroline Gouraud, avocat, Reed Smith

A ce jour, les règles sont issues de la directive dite ePrivacy de 2002 (directive 2002/58/CE du 12 juillet 2002) modifiée en 2009. Les développements technologiques au cours de ces dernières années, et l’arrivée de nouveaux acteurs, ont posé la question de l’adaptation de cette dernière aux nouvelles problématiques émergentes. Le projet de règlement ePrivacy publié le 10 janvier 2017 présage de changements importants sur plusieurs volets.

Pourquoi d’abord un règlement ? C’est une norme européenne qui, contrairement à la directive qui doit être transposée, s’applique directement dans les Etats membres de l’Union européenne. Et quel calendrier ? L’idée est de venir compléter le fameux règlement européen de protection des données personnelles (RGPD, du 27 avril 2016) et de faire coïncider leur date d’entrée en vigueur en mai 2018.

En pratique, quelles sont les entreprises concernées ?

Il y a différents niveaux d’impact : les nouveaux acteurs dans le secteur des services de communications électroniques, tels que WhatsApp, Facebook Messenger, ou Skype voient leur business model remis en cause. Sont également particulièrement touchés les annonceurs publicitaires ou encore les éditeurs de site web. Mais en réalité, tous les acteurs sont impactés, qu’ils soient issus de l’économie traditionnelle ou de l’économie nouvelle.

Régulation des nouveaux acteurs concurrents des opérateurs de télécommunication traditionnels

Les nouveaux opérateurs dits «over the top» (OTT), tels que WhatsApp ou Skype vont être nouvellement appréhendés par la réglementation déjà applicable aux opérateurs de télécommunication dits traditionnels. A ce jour en effet, les opérateurs OTT ne sont pas soumis aux mêmes règles que les opérateurs traditionnels en matière de sécurité des réseaux ou de protection de la confidentialité des données. Ainsi, les opérateurs OTT peuvent par exemple exploiter les données de trafic et les métadonnées sans avoir à les anonymiser, ce qui leur ouvre un champ en termes d’opportunités marketing et de revenus qui est fermé aux opérateurs traditionnels. Le projet de règlement ePrivacy veut aligner le même régime pour tous les acteurs du marché des télécommunications.

Rappelons que la pression à l’égard des opérateurs OTT tels que Skype n’est pas nouvelle. En 2013, l’Autorité de régulation des communications électroniques et des postes (Arcep) avait enjoint à plusieurs reprises la société Skype à se déclarer auprès d’elle en tant qu’opérateur de télécommunications et à se soumettre aux obligations en découlant, puis avait saisi le Procureur de la République pour contraindre la société à se conformer à la réglementation. Cette plainte n’a pas donné lieu à des poursuites. Ceci est probablement lié au fait que la plainte est devenue sans objet du fait de la loi dite Macron du 6 août 2015 qui a investi l’Arcep du pouvoir de déclarer d’office un opérateur récalcitrant en tant qu’opérateur de télécommunications après l’avoir préalablement invité à le faire sans délai. L’Arcep n’a pas encore usé de ce nouveau pouvoir à ce jour, mais ceci ne saurait tarder.

Vers une utilisation simplifiée, restrictive et plus consensuelle des cookies

Les cookies sont des petits fichiers qui sont installés sur l’ordinateur de l’internaute lorsqu’il se connecte à un site dans le but de collecter des données personnelles afin par exemple de créer un profil d’utilisateur ou encore de réaliser de la publicité ciblée. A cet égard, l’internaute est constamment confronté aux bandeaux cookies sur lesquels il doit cliquer. Le but est de recueillir le consentement de l’internaute avant de recueillir ses données personnelles ainsi que l’exige la loi. En pratique, l’information de l’internaute quant à l’utilisation des cookies a été souvent critiquée par les autorités de régulation, CNIL en tête, soit parce qu’elle n’existait pas, soit parce qu’elle manquait de clarté à l’égard des consommateurs, soit parce que ces cookies pouvaient parfois déjà être installés dès la première visite avant même le recueil du consentement.

Le règlement ePrivacy met en place d’une part une obligation plus stricte de recueillir le consentement systématique avant tout dépôt de cookies, y compris le «premier» cookie. D’autre part, la simplification des règles sur le recueil du consentement vise à assurer une meilleure transparence de l’information apportée à l’internaute : les internautes pourront désormais accepter ou refuser l’utilisation des cookies en configurant leurs paramètres de navigation. En parallèle, certains cookies peu intrusifs seront exemptés du recueil du consentement, comme les cookies de «panier d’achat» pour un site marchand. Sur ce dernier point, il est à noter que la CNIL est déjà en ligne avec le projet de règlement puisqu’elle opère la distinction entre les cookies nécessitant le recueil du consentement préalable et ceux qui en sont exemptés (délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs). Enfin s’agissant des cookies tiers – cookies ne contribuant pas au fonctionnement direct du site, mais visant à communiquer des données à des tiers par exemple à des fins publicitaires –, les navigateurs devront proposer une solution permettant de bloquer par défaut le dépôt de cookies.

Face à une situation où la publicité sur Internet dite «intelligente» a pu prospérer sans trop de contraintes jusqu’à présent, le règlement ePrivacy durcit donc considérablement les règles, en particulier pour les acteurs de la publicité ciblée en ligne.

Renforcement des règles en matière de prospection commerciale

Le projet de règlement ePrivacy propose ensuite de généraliser le principe dit de «l’opt-in» en matière de consentement préalable qui doit être obtenu avant toute opération de démarchage. Les recommandations de la CNIL sont à nouveau ici d’ores et déjà alignées sur les exigences du règlement. Le principe est que l’internaute doit activement cocher une case pour accepter de recevoir des communications commerciales par e-mail ou SMS. Il y a des exceptions, par exemple lorsque les produits ou services faisant l’objet de la prospection sont similaires ou analogues à ceux déjà fournis à l’utilisateur par l’entreprise.

Autre obligation : les entreprises qui démarcheront les particuliers devront être identifiables, ce qui leur interdit l’utilisation d’un numéro inconnu pour réaliser de la prospection commerciale par téléphone. Par ailleurs, les particuliers qui se seront activement inscrits sur une liste d’opposition ne pourront pas être contactés.

Les conséquences économiques de cette série de mesures visant à insuffler davantage de transparence pour le consommateur et à renforcer les règles en matière de respect de la vie privée ne doivent pas être sous-estimées. La volonté de faire coïncider l’entrée en vigueur du règlement ePrivacy avec le RGPD montre le souhait de soumettre ces nouvelles règles aux sanctions «massues» qui ont été adoptées dans le RGPD (deux plafonds maximum de 2 et 4 % du chiffre d’affaires mondial).

Mais le calendrier est très ambitieux : le Règlement ePrivacy n’est pas encore passé par le Parlement européen. Il faut donc s’attendre à une vraie confrontation – certains évoquent un bras de fer – avec les acteurs des médias électroniques : ce sont des pans entiers de leur business model qui sont ici impactés et restreints par défaut du fait des paramétrages de configuration plus restrictifs envisagés. Tous les acteurs économiques se transformant progressivement en acteurs des médias électroniques, le débat sera assurément nourri.

Il reste qu’en France, certaines de ces règles sont déjà mises en œuvre par anticipation par la CNIL qui en a fait un de ses domaines d’intervention clé. Si on y ajoute que depuis la loi pour une République numérique du 7 octobre 2016, les sanctions de la CNIL ont d’ores et déjà été multipliées par dix pour un maximum de 3 millions d’euros, on peut voir que la question de la conformité n’est plus seulement à échéance de mai 2018, mais bien d’aujourd’hui.