La Présidence bulgare du Conseil de l'UE a soumis, vendredi 4 mai, une nouvelle proposition de compromis sur la confidentialité des communications électroniques, qui clarifie notamment la notion de communication « en transmission » et exclut « la sécurité nationale et la défense » du champ d'application du futur règlement. Elle sera discutée les 16 et 17 mai prochains, en groupes de travail (TELE et DAPIX).
Pour rappel, le projet de règlement sur la table vise à renforcer la confidentialité des échanges en ligne tout en permettant aux fournisseurs de services d’utiliser les données personnelles des clients qui auraient donné leur consentement préalable (EUROPE 11700). À ce stade, le Parlement européen a adopté sa position et le Conseil travaille toujours sur la sienne. Une discussion en groupe de travail 'TELE' est prévue le 16 mai prochain et le 17 mai en groupe conjoint 'TELE' et 'DAPIX' pour parler de la rétention des données. Un débat d'orientation est en outre attendu au Conseil 'Télécommunications' du 8 juin.
Le nouveau compromis à la loupe
La proposition de compromis aborde plusieurs questions sensibles, comme le traitement sans autorisation de données (article 6), la confidentialité des appareils (article 8) ou encore la conservation des données (article 11).
Article 6. Le document bulgare précise que le traitement de données peut être autorisé en cas de risques pour la sécurité (art. 6(1)(b)). Pour le traitement de métadonnées (art. 6(2)), elle introduit des sauvegardes pour les situations d'optimisation et de gestion du réseau, réduit les possibilités pour les cas de facturation et invite les États à réagir sur les motifs liés à la protection de l'intérêt vital.
Article 8. Le principal changement apporté aux dispositions relatives à la confidentialité des appareils concerne l'Internet des objets (IoT). Le texte stipule en effet que le consentement de l'utilisateur peut être contourné si l’utilisation des données est nécessaire pour la fourniture d'un service, y compris lié à l’Internet des objets (appareils connectés, comme des thermostats connectés), demandé par l’utilisateur final. Le document bulgare ajoute par ailleurs quelques précisions à l'article 10 qui concerne les informations et les options à fournir aux utilisateurs en ce qui concerne les paramètres de confidentialité. Il précise ainsi que cet article ne s'applique pas aux logiciels qui ne sont plus pris en charge et que le fournisseur peut dans tous les cas demander l'autorisation à l'utilisateur, quels que soient les paramètres de confidentialité choisis.
Article 11. Cet article, qui relève également du groupe de travail sur la protection des données (DAPIX), porte sur la conservation des données. La Commission propose de restreindre la portée des dispositions du règlement (article 5 à 8) sur base de certains motifs du règlement général sur la protection des données (2016/679). Dans sa proposition de compromis, la Présidence bulgare suggère d'ajouter à la liste la protection de la personne concernée ou des droits et libertés d'autrui et l'exécution des demandes de droit civil. Elle indique également de manière plus explicite, à l'article 2, que les activités liées à la défense et la sécurité nationale sont exclues du champ d'application. Parmi les autres changements, la nouvelle mouture stipule que le règlement ne s'applique pas aux communications de personnes décédées. Elle biffe également la référence aux « services auxiliaires ayant une fonctionnalité ayant trait à la communication ».
À noter aussi : la clarification du terme « en transmission », que la Présidence bulgare propose d'interpréter comme la période entre laquelle la personne A envoie un message et la personne B le lit réellement, plutôt que le mouvement physique du message. Le document peut être consulté à la page : https://bit.ly/2KJGQLy . (Sophie Petitjean)