Les perspectives d'avoir un accord au Conseil sous présidence bulgare sur la confidentialité des communications électroniques s'amenuisent au fur et à mesure que le temps passe. Deux réunions en groupe de travail sont prévues, à ce stade, les 13 et 28 mars, tandis qu'il faudrait un accord en groupe de travail à la mi-mai, si les ministres doivent se prononcer au Conseil de juin.
À l'heure actuelle, les questions les plus controversées - à savoir les articles 6, 8, 10 et 11 - sont en tout cas toujours ouvertes.
Pour rappel, le projet de règlement vise à renforcer la confidentialité des échanges en ligne tout en permettant aux fournisseurs de services d’utiliser les données personnelles des clients qui auraient donné leur consentement préalable (EUROPE 11700). Les questions les plus controversées portent sur le traitement des données sans consentement préalable (article 6), la protection des appareils (article 8), les paramètres de confidentialité (article 10) et les limitations (article 11).
État des travaux sous présidence bulgare
À ce stade, le Parlement a arrêté sa position le 19 octobre (EUROPE 11887), tandis que le Conseil examine toujours le projet. L'Estonie avait publié, en décembre, un projet de texte modifié (EUROPE 11919). La Bulgarie, qui a repris depuis la présidence tournante du Conseil, a publié trois documents de travail : un sur les articles 6 à 10 (EUROPE 11939), un autre sur les articles 12 à 16 (EUROPE 11948) et un dernier sur l'article 11. Les États membres sont invités à réagir par écrit sur ce dernier volet avant la mi-mars.
Exceptions au consentement obligatoire
Sur l'article 6, une grande majorité d'États membres souhaitent étendre la liste des situations dérogatoires permettant de traiter des données sans obtenir le consentement préalable de l'utilisateur. En janvier dernier, la Présidence bulgare listait plusieurs dérogations possibles, parmi lesquelles une pratique commerciale légale ou encore l'intérêt légitime. D'après nos informations, la Présidence pourrait s'orienter vers une solution intermédiaire « entre l'attribution de pseudonymes et une extension de la liste des exceptions pour le traitement des métadonnées ». Les motifs d'intérêt légitime seraient, pour leur part, abandonnés. La question devrait être discutée d'ici la fin du mois, voire au mois d'avril.
Traçage
Sur l'article 8, deux options (sur les cinq envisagées par la Présidence bulgare) auraient récolté le soutien des États membres : l'option 2, en faveur d'une approche fondée sur le risque (par exemple, en différenciant les traceurs ou des techniques similaires en fonction de leur niveau de menace), ou l'option 4, qui prévoit de subordonner l'accès au contenu de certains sites web à l'acceptation de certains traceurs, si cela est nécessaire pour un objectif légitime.
Sur l'article 10, la Présidence proposait les options suivantes : (1) confidentialité par défaut du logiciel, avec possibilité de modifier ce paramètre ultérieurement ; (2) le logiciel doit proposer les deux choix aux utilisateurs qui doivent être correctement informés ; (3) confidentialité par défaut, avec possibilité d'autoriser le traçage pour certains sites ; (4) toute autre solution. Le sujet, discuté une seule fois en janvier, pour le moment, devrait revenir sur la table en avril avec, comme compromis possible, l'idée que la confidentialité d'un logiciel ne doit pas être décidée à l'installation, mais seulement lors de la première utilisation, soit une sorte de « liste blanche » permettant à l'utilisateur d'autoriser les traceurs au cas par cas.
Conservation des données
Sur l'article 11, la Présidence bulgare a demandé aux experts de faire preuve de créativité dans le contexte de l'arrêt Télé2 (EUROPE 11694). Pour rappel, cet arrêt de 2016 faisant suite à l'affaire portée par Digital Rights Ireland précisait les critères à respecter en matière de conservation des données (interdisant par exemple la conservation massive) et en matière d’accès à ces données. Le dernier document de la Présidence bulgare, distribué en février, interroge les délégations sur le besoin de prévoir des sauvegardes supplémentaires par rapport à la proposition de la Commission, à savoir des limitations pour raisons d'intérêt général en référence à l'article 23 du règlement général sur la protection des données (2016/679 - points (a) à (e)). D'après la Présidence bulgare, les États membres semblent d'accord pour reconnaître que la proposition législative « ne constitue pas une base légale pour conserver des données ». Toutefois, de multiples questions restent ouvertes, par exemple l'accès par les services d'inspection, la durée de la conservation, etc. (Sophie Petitjean)