Onze jours à peine après son entrée en fonction, la Présidence autrichienne du Conseil de l'UE a présenté, mercredi 11 juillet, ses premières propositions sur le règlement ePrivacy. Sa proposition de compromis, axée sur l'innovation, suggère de faciliter davantage le traitement ultérieur des métadonnées issues des communications électroniques et envisage la suppression des dispositions liées au paramétrage (article 10).
Pour rappel, le projet de règlement vise à renforcer la confidentialité des échanges en ligne, y compris via des opérateurs par contournement, tout en permettant aux fournisseurs de services d’utiliser les données personnelles des clients qui y auraient donné leur consentement préalable (EUROPE 11700). Depuis le 26 octobre 2017, le Parlement européen attend d'entrer en négociation avec le Conseil (EUROPE 11892).
Dans ce contexte, la Présidence autrichienne a publié une nouvelle proposition de compromis sur les articles 6, 8 et 10 qui intègre les grandes lignes des résultats du Conseil 'Télécommunications' du 8 juin (EUROPE 12037). Ces propositions seront discutées en groupe de travail le 17 juillet.
Parmi les principaux changements, Vienne suggère de supprimer tout bonnement l'article 10 qui impose aux fournisseurs de logiciels permettant des communications électroniques d’aider l’utilisateur final à choisir efficacement ses paramètres de confidentialité.
Traitement ultérieur des métadonnées
Autre changement de taille : le traitement ultérieur des métadonnées (article 6). Le Conseil envisage d'autoriser le traitement des métadonnées issues des communications électroniques pour des cas de gestion ou optimisation du réseau, de facturation, pour protéger les intérêts vitaux d'une personne physique ou encore à des fins statistiques. Mais la Présidence autrichienne va plus loin en permettant le traitement ultérieur des métadonnées, à savoir pour un autre objectif que celui pour lequel elles ont été demandées. Le projet de compromis stipule que ce traitement ultérieur doit représenter une mesure « proportionnée et nécessaire dans une société démocratique », au regard du lien entre l'objectif initial et l'objectif ultérieur, du contexte, de la nature des métadonnées, des conséquences pour l'utilisateur final et de l'existence de sauvegardes appropriées. Le texte souligne qu'un tel traitement ultérieur est uniquement possible si et seulement si un tel traitement n'est pas possible à partir d'informations anonymes et que les métadonnées sont immédiatement supprimées ou rendues anonymes après leur utilisation, que le traitement est limité à des métadonnées mentionnant un pseudonyme et que l'objectif final n'est pas de faire du profilage (art. 6(2a)). Par ailleurs, comme dans les précédentes moutures, le texte prévoit que le fournisseur de réseau ou de service ne doit pas partager ces métadonnées (sauf si elles sont anonymes), doit vérifier l’impact du traitement et consulter l’autorité réglementaire, informer l’utilisateur et lui permettre de s’y opposer (art 6(2aa).
Cookies
On se souvient qu'au dernier Conseil 'Télécommunications', l'Allemagne avait très clairement indiqué son opposition aux dispositions de l'article 8 en raison de leur impact sur la publicité ciblée. Cet article est lié à la protection des appareils (tablettes, téléphones, ordinateurs).
Dans son projet de compromis, l'Autriche indique qu'à la demande d'une délégation, elle a introduit, au considérant 20, un changement pour clarifier cette question. Ledit considérant précise que « donner accès à du contenu sans paiement monétaire direct subordonné au consentement de l'utilisateur final pour le stockage et la lecture de cookies à des fins supplémentaires ne serait normalement pas considéré comme disproportionné, notamment si l'utilisateur final peut choisir entre une offre requérant d'accepter des cookies à des fins supplémentaires d'une part, et une offre équivalente par le même fournisseur qui n'implique pas de consentement, d'autre part ». Il stipule aussi qu'un site web proposant des services fournis par des autorités publiques ne peut pas interdire l'accès à son contenu sous prétexte que l'utilisateur n'a pas accepté les cookies. À noter enfin que cette version supprime le considérant 22 relatif au paramétrage du navigateur/d’une application et le considérant 24 sur le niveau de protection face aux cookies tiers. Le projet de compromis peut être consulté à la page : https://bit.ly/2JeheEF . (Sophie Petitjean)