Après quatre longues années de discussions, le Conseil de l'Union européenne pourrait enfin définir sa position sur le projet de règlement sur la confidentialité des communications électroniques. Lors de sa réunion du 10 février, le Comité des représentants permanents (Coreper) sera en effet invité à soutenir le projet de compromis préparé par la Présidence portugaise du Conseil (EUROPE 12630/12).
Quatre années de discussions
Cette proposition, présentée en janvier 2017, vise à remplacer l'actuelle directive sur la confidentialité des communications électroniques (e-Privacy) pour englober les services d'appel ou de messagerie instantanée comme WhatsApp (EUROPE 11700/1).
Elle précise et complète les dispositions sur la protection des données, en traduisant notamment les principes du règlement général sur la protection des données (RGPD - règlement 2016/679) en des règles spécifiques applicables aux communications en ligne. Elle identifie en particulier les bases juridiques permettant un traitement licite des contenus, des données et des métadonnées liés aux communications en ligne.
À l'origine, ce texte avait vocation à s'appliquer en même temps que le règlement général sur la protection des données, en mai 2019, mais, vu le retard pris au Conseil, la Présidence portugaise suggère un délai d'application de « 24 mois ».
Encore faudra-t-il pour cela trouver un accord avec le Parlement européen qui a adopté sa position en octobre 2017, sachant que ce dernier défend une ligne beaucoup plus stricte que le Conseil (EUROPE 11887/8).
Le terrain bien déblayé par la Présidence finlandaise
Le projet de compromis portugais s'appuie sur les travaux de huit Présidences tournantes du Conseil. Il s'inspire tout particulièrement du texte soumis au Coreper fin 2019 par la Finlande, mais qui avait été rejeté par 14 délégations (EUROPE 12375/11).
Les propositions allemandes, très en faveur de la confidentialité, et les engagements pris par la Commission européenne sur la lutte contre la pédopornographie ont en effet poussé les États membres à revenir aux versions antérieures (EUROPE 12557/13).
« Le changement le plus important proposé par la Présidence portugaise est la réintroduction de la possibilité de traiter les métadonnées des communications électroniques et d'utiliser les capacités de traitement et de stockage de l'équipement terminal des utilisateurs finaux, y compris la collecte d'informations pour un traitement compatible ultérieur », explique d'ailleurs la Présidence portugaise dans son texte d'introduction.
Le traitement compatible ultérieur, précédemment retiré par la Présidence allemande, autorise les traitements pour d'autres motifs que ceux prévus initialement, à condition de procéder à une anonymisation avant toute utilisation. Le texte recommande aussi de tenir compte de l'objectif premier, du contexte, de la nature des métadonnées sous pseudonyme, des conséquences possibles d'un tel traitement et de l'existence de sauvegardes.
À quelques jours de la réunion du Coreper, les uns et les autres se veulent relativement optimistes. La principale difficulté, nous dit-on, pourrait porter sur la question de la conservation des métadonnées pour des raisons de sécurité publique. Eu égard au récent arrêt de la Cour, le compromis portugais autorise une telle conservation "pour une période limitée qui peut être prolongée si les menaces à la sécurité publique de l'Union ou d'un État membre persistent" (EUROPE 12575/13).
Cookie walls et 'fatigue du consentement'
Le projet de mandat défend en outre une position moins stricte que le Parlement sur les cookie walls, une pratique selon laquelle un utilisateur ne peut accéder à un service sans avoir préalablement accepté d'être tracé. Là où le Parlement suggère une interdiction, le texte du Conseil estime que cette pratique peut tout à fait continuer à exister, à condition que l'utilisateur dispose d'un vrai choix entre une offre payante et une offre gratuite avec des cookies. Il souligne toutefois que tel n'est pas le cas quand un acteur est dans une position dominante.
À la différence de ce que proposait la Commission, le projet portugais supprime les dispositions sur le paramétrage de la confidentialité par l'intermédiaire du navigateur (article 10). Pour éviter que l'utilisateur soit contraint de donner continuellement son consentement pour accepter les cookies, il soutient par contre l'idée de listes blanches dans les paramètres du logiciel (considérant 20a) qu'avait introduit l'ex-Présidence finlandaise. Il prévoit en outre que l'utilisateur se voie rappeler au maximum chaque année la possibilité de retirer son consentement.
Pour le reste, dans ce texte, les États membres sont encouragés à introduire un code spécifique ou un préfixe pour aider les utilisateurs à identifier les appels commerciaux et, en cas de violation du principe de confidentialité ou de la limite temporelle pour effacer les données, le projet du Conseil suggère une amende administrative pouvant aller jusqu'à 20 millions ou 4% du chiffre d'affaires mondial annuel de l'entreprise.
Lien vers le projet de mandat du Conseil : http://bit.ly/39ZND27 (Sophie Petitjean)