[26 septembre 2017] Vous pensiez avoir fait le gros du boulot avec la GDPR ? Vous n’avez pas vu passer (ou fait semblant de ne pas voir…) le projet publié sur le site de la Commission Européenne le 10 janvier 2017 ? J’étais comme vous… Et puis, franchement, cette Directive 2002/58 « Vie privée et communication électronique«  modifiée en 2009 (Directive 2009/136)… ça ne concernait que les FAI et les opérateurs télécom, non ? Alors, pourquoi se soucier de (cet encore nouveau projet de Règlement/Directive) « e-Privacy métadonnées et contenus » ?

En synthèse ?  « e-Privacy métadonnées et contenus » = RGPD-GDPR spécial « communications électroniques »

Ce n’est pas moi qui le dit, c’est un résumé de ce projet de Règlement UE, annoncé comme tel dans… dans ? (roulement de tambours)… dans la la GDPR ! Et oui ! (dans le « considérant » n°173 pour celles et ceux qui voudraient vérifier).
Je vous montre juste QUI EST CONCERNE par ce (projet de) Règlement « e-Privacy » :

Mais pourquoi c’est encore sur vous (et moi) que ça tombe ?
Vu le sujet (protection de la vie privée liée aux communications électroniques), c’est le moment de s’y intéresser en détail… Et le détail est dans le slider juste en dessous de cette ligne.
[wonderplugin_gallery id= »111″]

Maintenant, ne vous réjouissez pas trop vite, si vous pensiez (si vous espérez) y échapper.

On sent bien dans le caractère épuré du style employé que le sens de l’humour a quitté Bruxelles sur le sujet. Pour nous juristes, ça n’a jamais fait l’ombre d’un doute, mais apparemment, pour d’autres, il y avait matière à discussion. Comme dirait la Commission Européenne (je cite de mémoire) : FAUT ARRETER DE JOUER. ET TOUT DE SUITE.
Je viens d’assurer avec deux complices une formation sur la législation cyber-sécurité. Le sujet « e-Privacy » a été évoqué (ben oui : quel impact sur l’obligation de sécurisation ?). Une participante doutait de la réalité de la conviction de la Commission sur le sujet. Moi, je crois que la plus grande fermeté (tentée d’un peu de zèle parfois) est en train d’être mise en oeuvre. Dans les 27 Etats membres de l’UE (on va pas chipoter pour 10 mois entre le 25 mai 2018 et le 29 mars 2019 [Brexit] ).
Mais le projet « e-Privacy » vient bien, BIEN plus loin encore.

« e-Privacy » spécial tracking/profilage et terminal de communications électroniques ???

Car dans le même projet « e-Privacy », il y a la règlementation de l’implantation de tout type de logiciel / cookie / pixel / fingerprint / etc. à des fins de profilage dans les terminaux (tous les terminaux) des utilisateurs finaux. C’est l’article 8. Vous allez vite retenir ce numéro, je vous le promets !
Cette règlementation sur l’utilisation « des capacités de traitement / stockage » des terminaux (quels qu’ils soient) des consommateurs (COMME DES PROFESSIONNELS) et le traitement des données « émises » ou « transmises » par le terminal fit l’objet d’une présentation à part.

Alors découvrons les notions essentielles du projet de Règlement « e-Privacy » et allons-y pas à pas…

Distinction « Réseau » / « Service » de communications électroniques

Commençons par le début (méthode empirique qui a prouvé son intérêt).

C’est un projet de définition très abouti qui fait partie du paquet « Code des communications électroniques européen » (oui… encore un projet… du 26 octobre 2016). Je trouve intelligente l’exclusion expresse du web marchand et presse. Mais ni les conseils de l’un ni les conseils de l’autre n’ont apparemment lu l’article 8 (qui va tempérer les première réactions de soulagement)… Poursuivons…

Qui est prestataire de « Service de communications électroniques« 

Qui ça concerne ? Qui serait prestataire ou opérateur de « Service de communications électroniques » ? Je vous remontre ma slide avec les flèches 1 à 4 (opérateurs de service de messagerie en tout genre, Internet des Objets…).

ça fait du monde… Plus que sous la (future défunte) Directive 2002/58 « vie privée et communications électroniques« . Ne cherchez plus, c’est effectivement le même titre. Encore une Directive remplacée par un Règlement… comme dire… vigoureux ?

e-Privacy métadonnées et contenus ?

Puis distinguons (enfin clairement) « Contenu » / « Métadonnées » de communications électroniques. C’est le point essentiel de cette étude « e-Privacy métadonnées et contenus ». ENFIN des définitions légales, qui s’imposeront même à la République française ! (va falloir réformer le Code des Postes et des Communications Electroniques… et la loi « Renseignement » ?)

Et puis, (i) selon la nature de l’opérateur (Réseau / Service) et (ii) selon la nature de la data (Contenu / Métadonnée), on va voir les traitements autorisés AVEC consentement préalable ou SANS consentement, les fameux traitements « nécessaires« … Comme dirait mon ami Frans « attention, slides qui piquent aux yeux« . Juste une parmi… Ah, oui… j’oubliais… Le principe de « e-Privacy » = les traitements sont INTERDITS. SAUF exception expressément prévue dans « e-Privacy ». Ne cherchez pas à avoir une idée originale, c’est NON dans tous les autres cas.

Je vous l’avais dit, depuis l’arrêt « Tele2 Sverige » de la CJUE, on sentait venir la « reprise en main » sur un business devenu fou depuis 1998.

—> projet de Règlement UE « e-Privacy » : le calendrier d’adoption

—> mise en application e-Privacy : en même temps que la GDPR-RGPD !

Non, Mesdames, Messieurs, ce n’est pas une plaisanterie. Si votre métiers approche ou touche les communications électroniques (je pense aux Directions Marketing ou aux prestataires de tracking…), je vous invite AVEC INSISTANCE à lire cette présentation . Car je vous parle ici de données vocales (conversations téléphoniques) et de data de messagerie (vocale ou écrite, y compris les messageries instantanées des réseaux sociaux, of course). Et cela concerne TOUS les terminaux : smartphone, tablette, ordinateur, montre connectée (tous les objets connectés de l’Internet des Objets).

Un marché unique des données ?

Et si vous croyez que ça va s’arrêter là… Hélas… Comment vous annoncer ce qui est annoncé publiquement par l’UE… La suite arrive (à la vitesse d’un ciblage marketing de Google – en moins précis bien sûr) : « Bruxelles pose les bases d’un marché unique des données » titre l’Usine Digitale le 14 septembre 2017. Où l’on parle déjà d’un Règlement de type « Network Information Security » alors que la Directive sur le sujet date de juillet 2016 et n’a toujours pas fait l’objet de transposition – à ma connaissance – dans aucun pays de l’Union Européenne. Sauf en France par anticipation (la fameuse Loi de Programmation Militaire de 2013 sur les Opérateurs d’Importance Vitale)…
Reste plus qu’à lire « e-Privacy métadonnées et contenus« …

Je ne vous lasse pas trop avec mes remerciements aux éditions Delcourt / Soleil ? J’espère que non, car c’est grâce à Sébastien Le Foll et Lucie Massena que vous et moi pouvons comprendre ces législations techniques qui organisent l’usage de ces outils électroniques dont nous ne pourrions plus nous passer aujourd’hui. Pour les fans de BD, « Horologiom » (Fabrice Lebeault) me sert à illustrer la GDPR, et « Badlands » (Corbeyran et Kowalski) tout ce qui touche aux communications électroniques. Et merci à Alice Gautron, Avocat au barreau de Paris, de sa relecture attentive.