La Présidence bulgare du Conseil de l’UE propose d’élargir les motifs permettant de traiter les données personnelles issues des communications électroniques. C’est ce qui ressort du nouveau document de compromis sur le respect de la vie privée dans les communications électroniques, qui sera présenté jeudi 19 avril aux experts nationaux.
Pour rappel, le projet de règlement sur la table vise à renforcer la confidentialité des échanges en ligne, tout en permettant aux fournisseurs de services d’utiliser les données personnelles des clients qui auraient donné leur consentement préalable (EUROPE 11700). Le Parlement européen a adopté sa position mi-octobre 2017 (EUROPE 11887). Au Conseil, les travaux prennent plus de temps.
Afin d'accélérer les discussions, la Présidence bulgare a publié vendredi 13 avril un nouveau document de travail portant sur les dispositions générales, la protection des personnes et des informations ainsi que le droit de regard sur les communications électroniques (chapitres 1 à 3).
Traitement autorisé des données personnelles
Le principal changement porte sur l'extension des motifs permettant de traiter les données personnelles qui résultent de communications électroniques (article 6). Sofia propose en effet d'autoriser le traitement des métadonnées en vue de « l'optimisation et la gestion du réseau » (article 6(2)(a)) et le « comptage statistique » ('statistical counting') (article 6(2)(f)).
La Présidence bulgare accompagne le motif de comptage statistique de certaines conditions, parmi lesquelles l'obligation d'anonymiser les données après 24 heures, par exemple. Elle l'assortit de certaines clauses de sauvegarde (article 6(3a)) qui permettent, par exemple, à l'utilisateur informé au préalable de s'opposer à un tel mécanisme.
Toujours sur l'article 6, la Présidence en exercice du Conseil a reformulé le motif permettant à un fournisseur de réseau ou de services de traiter des métadonnées lié à l' « intérêt vital ». Elle précise que ce motif doit être invoqué par une autorité compétente et ne peut pas relever du seul choix du fournisseur.
Protection des appareils
Sur la difficile question des traceurs (article 8), la Présidence bulgare apporte davantage de nuance que dans son précédent document (EUROPE 11988) : elle souligne que les « cookies walls », pratique selon laquelle un utilisateur refusant d'être tracé pourrait se voir empêcher d'accéder à un site Internet ou à une application, ne sont autorisés que s'ils poursuivent un intérêt légitime. Par exemple, juger de l'efficacité d'un service. Le nouveau document précise, dans un considérant 21, que ce n'est pas toujours le cas, notamment lorsqu'un cookie est recréé après sa suppression par l'utilisateur final.
Le nouveau texte clarifie également que la collecte d'informations liée à l'appareil est autorisée non seulement à des fins d'établissement d'une connexion, mais aussi d'entretien de cette connexion.
Paramètre de confidentialité
La troisième grosse question de cette réforme porte sur les paramètres de confidentialité d'un logiciel (article 10).
En guise de proposition, la Présidence bulgare suggère qu'« au moment de l'installation ou du premier usage, puis de chaque mise à jour, le logiciel informe l'utilisateur final des paramètres de confidentialité et le fasse naviguer à travers ces options ». Le texte précédent parlait, par exemple, d'intervalles de temps périodiques, plutôt que de mises à jour.
La Présidence ajoute, en outre, qu'elle réfléchit actuellement à comment répondre au mieux aux inquiétudes de certaines délégations concernant les logiciels placés sur le marché, mais qui ne sont plus mis à jour.
À noter aussi que, sur les annuaires publics (article 15), Sofia propose de faire du consentement la règle par défaut, tout en permettant aux États membres qui le souhaitent de légiférer sur cette question spécifique. Cela revient à prévoir un système d'opt-out, selon lequel les données personnelles des utilisateurs de services basés sur des numéros pourraient automatiquement être recensées dans un annuaire sauf si l'utilisateur s'y oppose explicitement.
Quant aux messages publicitaires non sollicités (article 16), le document introduit une possibilité pour les États membres de prévoir un délai maximal au cours duquel un vendeur pourrait utiliser les données personnelles de ses clients après un achat spécifique.
Le document bulgare de travail sera discuté le 19 avril lors du groupe de travail chargé des télécommunications et de la société de l'information.
Voir : https://bit.ly/2qzdU01 (Sophie Petitjean)