Dans la continuité des efforts fournis pour une meilleure protection de la vie privée des utilisateurs et de leurs données personnelles, l’Union Européenne compte remettre une couche avec la Réglementation ePrivacy, quelques temps seulement après l’entrée en vigueur du RGPD, le 25 Mai 2018. Se voulant être un complément du RGPD, ePrivacy se concentre sur les données personnelles embarquées dans les communications électroniques. Son entrée en vigueur, prévue pour cette année, fait d’ores et déjà couler beaucoup d’encre.
ePrivacy en bref
ePrivacy, également appelé « Règlement vie privée et communications électroniques » est un règlement européen qui vise à renforcer la protection des données personnelles des consommateurs de services en ligne et de simplifier les règles relatives à la gestion des cookies, de manière à rendre transparent le marketing des entreprises. Ce règlement remplacera la directive, portant le même nom, en place depuis 2002. ePrivacy a pour objectif d’harmoniser les législations nationales de sorte qu’elles soient conformes au RGPD. Le règlement permettra de garantir la confidentialité de toutes les communications électroniques, notamment les nouvelles méthodes de communications, telles que Skype, WhatsApp, Messenger, etc. Il permettra aussi de réguler et simplifier l’utilisation des cookies. En outre, ePrivacy portera également sur la protection des métadonnées inhérentes aux communications. En effet, elles renferment des données pouvant révéler la géolocalisation, date et heure d’un appel ou le type de téléphone utilisé.
Que prévoit le règlement ?
Au-delà des sanctions déjà prévues par le RGPD, pouvant être de 4% du chiffre d’affaires mondial de l’entreprise ou de 20 millions d’euros, d’autres mesures sont provisionnées dans ePrivacy :
Le consentement préalable pour l’activation des cookies : Les cookies utilisés pour tracer les activités des consommateurs seront désormais sujets à un consentement préalable. Ce consentement sera configuré une seule fois et sera valable sur tous les sites. L’utilisateur devra explicitement accepter d’activer les cookies sur son navigateur, et son choix s’appliquera par défaut à tous les sites qu’il visite, contrairement à ce que préconise la loi en vigueur qui impose de cliquer sur une bannière de consentement, site par site, tout en sachant que la notion de consentement actuellement employée est opaque dans la mesure où un utilisateur qui ne clique pas sur la bannière est considéré comme ayant accepté les cookies.
La suppression des « Tracking-Walls » : Cette méthode largement utilisée aujourd’hui par les sites consiste à conditionner l’accès audit site selon l’acceptation ou non des cookies. Le règlement (article 18) considère cette pratique comme étant contraire au principe de liberté du consentement et entend l’interdire.
Une protection contre les spams : Sans consentement, les messages publicitaires non-sollicités seront proscrits. Cela concerne les SMS, les e-mails et les appels automatiques. De plus, les appels commerciaux ne pourront plus se faire en numéro masqué et devront être explicitement annoncés (par un indicatif réservé par exemple).
La Protection des métadonnées : Le règlement prévoit aussi la protection des métadonnées. Comme indiqué précédemment, les métadonnées renferment des données sur le type de téléphone, la localisation et les durées d’appels. Celles-ci devront être anonymisées ou supprimées sans consentement de l’utilisateur. Seules les métadonnées utilisées à des fins de facturation pourront être utilisées sans accord préalable de l’utilisateur.
La polémique ePrivacy
L’application prochaine d’ePrivacy n’est pas du goût de tout le monde, en particulier les sites se reposant en partie sur les cookies. Aujourd’hui, 93% des entreprises ont recours aux cookies pour cibler et atteindre les consommateurs. En offrant la possibilité d’un consentement plus explicite aux utilisateurs, les cookies peuvent être bloqués par défaut sur tous les sites, engendrant ainsi une perte de trafic sur lesdits sites, et inexorablement un déficit de données pour ces entreprises. Celles-ci dénoncent les mesures « anti-cookies » d’ePrivacy puisque l’expérience utilisateur n’en sera que moins personnalisée. De même, ils estiment que ce règlement fait la part belle aux GAFA dont le principe de ciblage repose non sur des cookies mais sur l’identifiant unique, et qu’il en résultera l’accroissement de l’emprise des géants du web sur Internet.
Ces tractations ont retardé l’adoption d’ePrivacy, qui devait entrer en vigueur en même temps que le RGPD. Cette réglementation est toujours en cours de discussion et devrait être adoptée dans le courant de l’année. Les entreprises auront alors un an pour se mettre en conformité avec ePrivacy, sous peine de subir les mêmes sanctions que le RGPD.
Mehdi