ePrivacy : la faible proposition de la Commission annonce un âpre combat législatif

Posted on


Paris, 11 janvier 2017 — La Commission européenne a détaillé ce mardi 10 janvier une série de nouveaux textes relatifs à la protection des données personnelles dans l’Union européenne. Parmi eux figure le futur règlement ePrivacy qui encadre, entre autres, la confidentialité et la sécurité de nos communications électroniques ainsi que les fameux cookies sur internet. Avant même que le processus législatif ne commence, les lobbys de l’industrie du numérique et les opérateurs télécoms ont marché main dans la main pour affaiblir au maximum le projet de réforme censé apporter plus de sécurité et de confidentialité lors de toutes nos communications en ligne mais également censer redonner aux utilisateurs le contrôle de leurs données. Mais la société civile et les organisations de défense des libertés n’ont pas dit leur dernier mot. Les mois à venir promettent un âpre combat législatif pour qu’ePrivacy deviennent un règlement réellement ambitieux protecteur de nos droits et libertés.

Lorsqu’une première version du règlement ePrivacy avait fuité en décembre dernier1Voir la version fuitée de décembre 2016 : https://www.laquadrature.net/files/Leak-projet-r%C3%A8glement-ePrivacy%28d%C3%A9cembre%29.pdf, nous avions été nombreux à nous réjouir de l’orientation relativement courageuse prise par la Commission européenne. Alors que les télécoms et l’industrie du numérique réclamaient la pure et simple suppression du texte, la Commission avait – comme nous le recommandions– choisi de saisir l’opportunité de cette révision pour faire d’ePrivacy un texte résolument moderne, protecteur et finalement simplement en phase avec les attentes en matière de protection de la vie privée des européens. Ces attentes furent révélées tour à tour par une consultation des différentes parties prenantes sur ePrivacy au printemps 2016 et par un Eurobaromètre (sondage à l’échelle européenne) dont les résultats furent publiés il y a peu en décembre.2Plus de 9 répondants sur 10 disent qu’il est important que leurs informations personnelles (comme les photos, leurs listes de contacts etc.) sur leurs ordinateurs, leurs smartphones ou leurs tablettes, soient seulement accessibles avec leur permission et qu’il est important que la confidentialité de leurs emails et de leurs messageries instantanées en ligne soit garantie (92% pour les deux). En réalité, plus 7 personnes sur 10 pensent que ces aspets sont très importants. Plus de 8 sur 10 (82%) disent également qu’il est important que les outils de surveillance de leurs activités en ligne (comme les cookies) ne puissent être utilisés qu’avec leur permission (82%), et pour 56% cela est très important. Voir les résultats complets de l’Eurobaromètre : https://www.laquadrature.net/files/eurobarometer-privacy-2016-EN.pdf

Nous retrouvions alors dans cette version antérieure un certain nombre des recommandations que La Quadrature et de nombreuses autres organisations de défense des libertés poussaient depuis des mois :

  • La réaffirmation du principe de confidentialité comme caractéristique fondamentale des communications électroniques, autrement dit, le fait que le contenu et les données servant à l’acheminement de nos communications par mails, sms, téléphone ou tchat ne puissent être interceptés, stockés, écoutés ou surveillés (article 5)3Article 5 : « Electronic communications data shall be confidential. Any interference with electronic communications data, such as by listening, tapping, storing, monitoring, scanning or other kinds of interception, surveillance or processing of electronic communications data, by persons other than the end-users, shall be prohibited, except when permitted by this Regulation » ;
  • l’encadrement de nouvelles formes de tracking comme la collecte des informations que nos ordinateurs ou nos téléphones émettent automatiquement lorsqu’ils se connectent à d’autres appareils ou à des réseaux, comme par exemple la fingerprint de nos appareils (article 8.2)4Article 8.2 : « The collection of information emitted by terminal equipment to enable it to connect to another device and, or to network equipment shall be prohibited, except if: (a) it is done exclusively in order to, for the time necessary for, and for the purpose of establishing a connection; or (b) a clear and prominent notice is displayed informing of, at least, the modalities of the collection, its purpose, the person responsible for it and the other information required under Article 13 of Regulation (EU) 2016/679 where personal data are collected, as well as any measure the end-user of the terminal equipment can take to stop or minimise the collection » ;
  • les données de trafic et les données de localisation sont regroupées dans une même catégorie que sont les métadonnées. Leur utilisation autre que purement nécessaire à la fourniture du service est soumise au consentement préalable de l’utilisateur (article 6.2)5Article 6.2 : « Providers of electronic communications services may process electronic communications metadata if: […] (c) the end-user concerned has given his or her consent to the processing of his or her communications metadata for one or more specified purposes, including for the provision of specific services to such end-users, provided that the purpose or purposes concerned could not be fulfilled by processing information that is made anonymous »;
  • une réaffirmation de l’importance des outils de chiffrement pour protéger la sécurité et la confidentialité des communications. La Quadrature du Net estime que le règlement ePrivacy est une occasion parfaite pour mettre en avant les outils et techniques de chiffrement qui permettent d’atteindre l’objectif du règlement qu’est la confidentialité. En la matière, la proposition de la Commission reste timide mais elle a déjà le mérite de l’avoir inscrite (considérant 37)6Considérant 37 : « Service providers who offer electronic communications services should inform end-users of measures they can take to protect the security of their communications for instance by using specific types of software or encryption technologies […]. »

Ce document fuité en novembre a vraissemblablement provoqué la colère des opérateurs télécoms et autres acteurs de l’industrie du numérique qui ont intensifié leurs campagnes d’influence jusqu’à la toute fin décembre, autrement dit lors des derniers jours de rédaction de la proposition par la Commission européenne. Celle-ci a cédé sur un point central et a supprimé de sa copie7Voir la proposition de règlement définitive de la Commission européenne : https://www.laquadrature.net/files/Leak-projet-r%C3%A8glement-ePrivacy%28d%C3%A9cembre%29.pdf l’idée d’une configuration par défaut de nos outils empêchant les tiers de stocker ou d’accéder à des informations stockées sur nos appareils. Une telle mesure, que La Quadrature poussait depuis des mois, aurait signifié qu’en pratique les cookies tiers qui nous traquent pour revendre nos données à des régies publicitaires seraient par défaut désactivés dans les navigateurs (article 10). Dans la version actuelle, ce n’est plus le cas et ce ne serait qu’une option à cocher, donc activée uniquement chez les utilisateurs avertis.

Mais d’autres fâcheuses surprises sont apparues dans cette proposition de règlement et certains points fort négatifs ont persisté et feront l’objet de nos futures batailles :

  • les dispositions sur les recours collectifs ont été supprimées. Le recours collectif (l’équivalent des « class actions » américains) permet à un individu de mandater une association ou plus généralement un organisme sans but lucratif afin que celui-ci dépose une plainte en son nom (article 21) ;
  • les données de localisation générées autrement que dans le contexte de communications électroniques ne sont – dans la proposition de la Commission – pas considérées comme des métadonnées et peuvent donc être utilisées sans le consentement préalable de l’utilisateur (considérant 17) ;
  • la Commission n’a pas osé aller assez loin et face aux pressions de l’industrie de la publicité a maintenu la possibilité pour un site Internet de refuser l’accès à son service ou à son site si l’utilisateur ne donne pas son consentement à être traqué. La Quadrature continuera à se battre dans les mois qui viennent auprès des eurodéputés et des États membres pour que les utilisateurs ne soient plus obligés d’accepter d’être traqués pour accéder aux services, et plus généralement pour le développement d’autres modèles économiques qui n’obligent plus les utilisateurs à brader leurs données personnelles.

Ces quelques points ne sont que les plus grosses failles qui nous sautent au yeux après une première lecture, mais nous compléterons cette liste si nécessaire après une analyse approfondie du texte. Cette proposition de règlement a certes intégré certains élements intéressants mais elle ne remet en rien en question le modèle économique de l’industrie du numérique basé sur l’exploitation des données personnelles. Ainsi, les concessions de dernière minute accordées aux publicitaires et aux télécoms sont déjà bien trop grandes considérant qu’il reste des mois de négociations, au cours desquels les lobbys de l’industrie auront tout le temps de continuer de détricoter le texte. À l’heure actuelle cette proposition ne répond donc pas aux attentes des européens en matière de protection de leurs communications électroniques.

Mais la société civile – et parmi elle La Quadrature du Net – a donc bien l’intention de renverser la balance en continuant son action auprès des institutions mais également du grand public afin de faire du règlement ePrivacy un texte fort, apportant de vraies réponses aux enjeux de sécurité et de vie privée que le développement des communications électroniques pose.

Cette proposition de règlement sera discutée et amendée dans les prochains mois au Parlement européen et par les États membres au sein du Conseil de l’UE. Affaire à suivre …

References

References
1 Voir la version fuitée de décembre 2016 : https://www.laquadrature.net/files/Leak-projet-r%C3%A8glement-ePrivacy%28d%C3%A9cembre%29.pdf
2 Plus de 9 répondants sur 10 disent qu’il est important que leurs informations personnelles (comme les photos, leurs listes de contacts etc.) sur leurs ordinateurs, leurs smartphones ou leurs tablettes, soient seulement accessibles avec leur permission et qu’il est important que la confidentialité de leurs emails et de leurs messageries instantanées en ligne soit garantie (92% pour les deux). En réalité, plus 7 personnes sur 10 pensent que ces aspets sont très importants. Plus de 8 sur 10 (82%) disent également qu’il est important que les outils de surveillance de leurs activités en ligne (comme les cookies) ne puissent être utilisés qu’avec leur permission (82%), et pour 56% cela est très important. Voir les résultats complets de l’Eurobaromètre : https://www.laquadrature.net/files/eurobarometer-privacy-2016-EN.pdf
3 Article 5 : « Electronic communications data shall be confidential. Any interference with electronic communications data, such as by listening, tapping, storing, monitoring, scanning or other kinds of interception, surveillance or processing of electronic communications data, by persons other than the end-users, shall be prohibited, except when permitted by this Regulation »
4 Article 8.2 : « The collection of information emitted by terminal equipment to enable it to connect to another device and, or to network equipment shall be prohibited, except if: (a) it is done exclusively in order to, for the time necessary for, and for the purpose of establishing a connection; or (b) a clear and prominent notice is displayed informing of, at least, the modalities of the collection, its purpose, the person responsible for it and the other information required under Article 13 of Regulation (EU) 2016/679 where personal data are collected, as well as any measure the end-user of the terminal equipment can take to stop or minimise the collection »
5 Article 6.2 : « Providers of electronic communications services may process electronic communications metadata if: […] (c) the end-user concerned has given his or her consent to the processing of his or her communications metadata for one or more specified purposes, including for the provision of specific services to such end-users, provided that the purpose or purposes concerned could not be fulfilled by processing information that is made anonymous »
6 Considérant 37 : « Service providers who offer electronic communications services should inform end-users of measures they can take to protect the security of their communications for instance by using specific types of software or encryption technologies […]. »
7 Voir la proposition de règlement définitive de la Commission européenne : https://www.laquadrature.net/files/Leak-projet-r%C3%A8glement-ePrivacy%28d%C3%A9cembre%29.pdf

Posted in