Pour compléter le règlement général sur les données adopté l'an dernier, la Commission européenne présente de nouvelles règles, censées couvrir les métadonnées, simplifier la gestion des cookies et ouvrir plus d'opportunités commerciales. Des orientations qui conviennent peu aux industriels et à la société civile.

Les textes sur la vie privée s'enchainent en Europe. Il y a quelques jours, la Commission européenne a proposé une première version de son règlement ePrivacy, qui vise à renforcer la protection des données des internautes en ligne. Comme certains des précédents textes, des outils comme les cookies et les métadonnées sont au centre des obligations prévues... Qui semblent peu convenir aux industriels européens du numérique. 

Ce nouveau texte vient compléter le règlement général sur les données personnelles (GDPR), adopté l'an dernier et appliqué en 2018. La différence ? Le GDPR ne couvre pas les communications entre entreprises et celles ne contenant pas de données personnelles, qu'ePrivacy se charge donc officiellement de protéger. 

Plus de règles sur les métadonnées

La première promesse du nouveau règlement est d'encadrer les métadonnées, en plus du contenu des communications. Sans autorisation de l'internaute, les métadonnées  « revêtant un caractère très privé » devront être anonymisées ou supprimées par l'entité qui les possède, sauf dans certains cas spécifiques, comme la facturation.

Sur les cookies, la Commission propose d'en finir avec les bandeaux s'affichant constamment sur les sites web, dont le respect par les sites eux-mêmes laisse à désirer (voir notre analyse). L'accord ne sera donc plus demandé à chaque visite, mais devra être appliqué à partir de réglages du navigateur ou de l'application utilisée, que les services devront respecter. Le texte permettra explicitement à un site web de demander à l'internaute de désactiver son bloqueur de publicités pour accéder au contenu. Les cookies statistiques ou pour faciliter la navigation (comme les historiques d'achats) ne seront plus concernés.

Dans l'autre sens, l'usage des données doit pouvoir être plus large, une fois le consentement de l'utilisateur obtenu. « Ils pourraient, par exemple, produire des cartes thermiques (« heat maps ») indiquant la présence de personnes et utiles aux pouvoirs publics et aux entreprises de transport pour l'élaboration de nouveaux projets d'infrastructures » promet la Commission. Tout un programme.

En troquant une directive, datant de 2002, par un règlement, l'Union européenne choisit de passer par un texte qui s'applique de lui-même, sans transposition en droit national. Ces règles doivent à la fois s'appliquer aux acteurs des télécoms et aux services en ligne, dont la Commission fournit une copieuse liste (« WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou Viber ») pour signifier l'importance du changement. Sous le feu des autorités européennes pour leur usage des données ces dernières années, les fournisseurs de services avaient peu de chances d'échapper à un tel texte.

Opérateurs, industriels et publicitaires veulent moins de règles

Les réactions correspondent à celles auxquelles les différents lobbies nous ont habitués. D'un côté, l'association des opérateurs européens (ETNO) demande plus de flexibilité. « Nous demanderons aux colégislateurs de corriger la nouvelle régulation ePrivacy et de s'assurer qu'il permet une approche favorable au consommateur et innovante pour capitaliser sur l'économie des données » écrit-elle.

Les opérateurs réclament que le texte s'aligne sur le règlement général sur les données (GDPR) et n'applique pas de régulation spécifique aux télécoms... Avec l'argument désormais éculé de la 5G, déjà utilisé pour tenter de contrer la neutralité du Net, sans succès.

Pour sa part, l'association patronale BusinessEurope demande à ne pas limiter les échanges de données entre pays. Elle exige même de supprimer les obligations d'hébergement de données dans un pays donné, comme c'est par exemple le cas pour les administrations françaises.

De son côté, l'industrie publicitaire, via IAB Europe, estime que le texte « échoue à améliorer les règles sur les cookies », estimant que l'ajout de règles arrive trop tôt après la GDPR, dont on n'a pas encore mesuré les conséquences. Interrogé par Challenges, la régie Audience Square affirme que ces futures règles risquent de « casser » le système publicitaire, notamment en bloquant le système nécessaire au retargeting (qui propose en publicité des produits déjà consultés dans un magasin en ligne). La solution : s'appuyer sur des acteurs chez qui l'internaute s'est déjà identifié de lui-même.

Des reculs et des regrets pour la Quadrature du Net

De l'autre côté, la Quadrature du Net estime que le texte ne va pas assez loin, notant même des renoncements face au brouillon qui avait fuité en novembre dernier. L'association regrette surtout la disparition des recours collectifs, l'exemption des métadonnées générées hors de communications et la possibilité de refuser l'accès à un site si un bloqueur de publicité est détecté.

Le règlement ePrivacy doit encore passer entre les mains du Parlement et du Conseil européen, pour une adoption souhaitée avant le 25 mai 2018. Après une consultation et de larges actions de lobbying, le chemin risque encore d'être long.