Le Conseil de l’UE publie une nouvelle version preliminaire du règlement ePrivacy

Le Conseil de l’Union européenne a publié le 5 janvier 2021 une nouvelle version préliminaire du règlement ePrivacy, qui est censé remplacer la directive ePrivacy.

Cette version du projet a été publiée après que le Portugal a assumé la présidence du Conseil de l’Europe pour les 6 mois à venir. Il s’agit de la 14e version du projet depuis publication de la 1re en 2017.

Une fois approuvé, le règlement ePrivacy définira les exigences et les limites applicables aux fournisseurs de services de communication électronique accessibles au public qui traitent les données de personnes physiques et morales qui se trouvent dans l’Union européenne ou qui accèdent à des dispositifs appartenant à ces personnes.

Le règlement vise à protéger la vie privée des utilisateurs finaux, la confidentialité de leurs communications et l’intégrité de leurs appareils. Ces exigences et limitations s’appliqueront uniformément dans tous les États membres de l’UE.

Toutefois, les États membres de l’UE auront le pouvoir de restreindre la portée de ces obligations et restrictions lorsqu’il s’agit d’une « mesure nécessaire, appropriée et proportionnée, dans une société démocratique, pour sauvegarder un ou plusieurs intérêts publics généraux ».

Le projet du règlement est divisé en cinq chapitres :

• Le premier chapitre définit le champ d’application matériel, subjectif et territorial du projet de règlement (y compris l’obligation de désigner un représentant pour les prestataires de services hors EEE), définit les notions utilisées dans le règlement et établit la norme en matière de consentement ;

• Le deuxième chapitre définit les exigences et les limites d’accès aux données sur les dispositifs des utilisateurs finaux (par exemple, par moyen de cookies et de pixels), ainsi que des exigences et des limites supplémentaires pour le traitement du contenu des communications électroniques, des métadonnées de communications électroniques, des données relatives aux dispositifs des utilisateurs finaux (y compris les logiciels et le hardware) ; le chapitre II restreint également l’utilisation des capacités de traitement et de stockage des dispositifs des utilisateurs finaux ;

• Le troisième chapitre énonce les exigences et les limites applicables aux services de communications interpersonnelles téléphoniques, y compris l’offre d’annuaires publics, et aux communications de marketing direct (par exemple, les courriels et autres messages électroniques) ;

• Le quatrième chapitre identifie les autorités chargées de l’application du règlement et leurs pouvoirs ;

• Le cinquième chapitre décrit les recours, la responsabilité et les sanctions.

Similairement à la directive ePrivacy, le règlement ePrivacy comprendra des dispositions qui s’appliqueront, parallèlement à celles de la GDPR, au traitement des données personnelles collectées par les fournisseurs de services de communication électronique.

Cela explique la nécessité d’aligner certaines des dispositions du règlement ePrivacy avec le RGPD. Toutefois, les normes relatives au règlement ePrivacy sont plus larges que celles du RGPD car elles ne s’appliquent pas seulement au traitement des données à caractère personnel. Plus précisément, elles s’appliquent au traitement de toutes les données de communications électroniques (et autres données collectées à partir des appareils de l’utilisateur final), qu’elles soient personnelles ou pas.

Enfin, cette différence entre les deux règlements a rendu plus difficile la tâche du Conseil d’Europe qui doit, d’une part, veiller à ce que le règlement ePrivacy soit conforme au RGPD et, d’autre part, s’assurer que certaines de ses dispositions puissent être autonomes et indépendantes du RGPD.