Le règlement qui doit protéger les communications des internautes (via Facebook Messenger ou WhatsApp) avance au Parlement européen. La commission LIBE a arrêté une position pour les députés, pour les négociations à venir avec les États. Censé être appliqué en mai 2018, il représente une nouvelle épée de Damoclès pour les entreprises.
Le Parlement européen a enfin sa version du règlement ePrivacy. Hier, la commission LIBE (libertés civiles) a adopté le rapport qui doit être présenté la semaine prochaine en séance plénière, à 31 voix contre 24. Il doit compléter le Règlement général de protection des données (RGPD), en protégeant les communications et les métadonnées, et couvrir d'autres points précis, comme le consentement au dépôt de cookies sur le web.
Ces dernières semaines, les avis de plusieurs commissions se sont enchainés, triturant les détails du texte. Dans un article récent, la rapporteure Marju Lauristin insistait encore sur l'importance du règlement, qui doit aligner les obligations de protection des données des services de messagerie avec celles des opérateurs télécoms, tout en prenant en compte les communications entre machines (M2M).
Les débats autour d'ePrivacy, qui remplace une directive de 2009, ont été rudes. Le vote de la commission LIBE a été repoussé d'une semaine, en plein lobbying de la part des industriels et d'associations de défense des libertés. Début octobre, la Quadrature du Net s'inquiétait du relâchement du texte sur le traitement des métadonnées, soumis à moins de contraintes dans la version retravaillée par la commission ITRE (industrie).
Quelques associations satisfaites du compromis...
L'enjeu global reste de garantir le consentement explicite de l'internaute sur la collecte et le traitement de ses données, peu importe le domaine. Le rapport de Marju Lauristin pose certains principes, dont l'interdiction des murs de cookies (qui interdisent l'accès à un contenu au refus), du suivi physique d'un smartphone sans accord (par exemple dans un magasin) et l'obligation de paramètres protecteurs de la vie privée par défaut sur les services de messagerie.
Pour le Bureau européen des unions de consommateurs (BEUC), les députés ont bien défendu le renforcement de la vie privée en ligne, soulignant les avancées sur l'accord explicite pour la localisation et le refus des murs de cookies. « Il est alarmant que les entreprises du Net qui disent être les moteurs de l'économie numérique s'accrochent à un modèle publicitaire fondé sur l'espionnage des internautes. C'est un grand pas que le Parlement européen remette aujourd'hui les consommateurs aux manettes » estime l'organisation.
L'association European Digital Rights (EDRi) s'affirme aussi satisfaite, sur les mêmes bases que le BEUC. Face à eux, les mécontents sont pourtant nombreux.
Business Europe mécontent, la Quadrature du Net aussi
« C'est une opportunité manquée de donner aux Européens une chance d'étendre leur choix et de répondre à la demande pour des services innovants fondés sur les données des citoyens, en traitant les métadonnées dans le plein respect du secret des correspondances » se plaint pour sa part l'ETNO, le lobby des opérateurs européens. Sans surprise, il « regrette » ce vote.
L'organisation patronale Business Europe estime les eurodéputés divisés, sur un texte qui contredirait le RGPD sur certains points, alors qu'il est censé le compléter. Dans une lettre ouverte du 5 octobre, le lobby estime qu'ePrivacy doit se limiter à la confidentialité des communications pendant leur transit, et rien d'autre. Pas question de traiter le stockage des données. Le lobby tacle les discussions tardives sur le règlement, qui ajoute une couche de doute pour les entreprises en pleine préparation pour le RGPD. Autrement dit, ePrivacy en fait trop au mauvais moment.
Leur scepticisme est accompagné par celui de... la Quadrature du Net, qui a dégainé un communiqué déçu très rapidement après le vote. Pour l'association, le Parlement « échoue à protéger notre vie privée », en autorisant les mesures d'audience web sans consentement, ainsi que le pistage « de nos téléphones et autres appareils n'importe où, sans notre consentement ». Selon elle, Marju Lauristin, Jan Philipp Albrecht et Sophia in't Veld n'auraient pas tenté de défendre les internautes.
« L'annonce du Parlement est parfaitement fausse. Nos données de localisation pourront être collectées sans notre consentement, pour n'importe quelle raison pouvant être qualifiée de « statistique ». Et les données collectées ne seront anonymisées que lorsque les statistiques auront été réalisées. Si l'objet des statistiques est de savoir, sur une période de deux ans, combien de fois en moyenne chaque visiteur d'un magasin y revient, les données pourront être conservées deux ans avant d'être anonymisées » nous précise Arthur Messaud, juriste à la Quadrature, suite à la publication de l'article.
De nouveaux défis en perspective
La prochaine étape est un vote du rapport de la commission LIBE en séance plénière, en principe par l'ensemble des eurodéputés. Malgré la recherche claire d'un compromis, tout au long des travaux en commissions, l'arrivée en plénière pourrait être une nouvelle épreuve importante.
Selon Contexte, le Parti Populaire Européen (PPE) compte s'opposer au texte en plénière, même quand les autres députés étaient prêts à des concessions sur les murs de cookies ou le concept de privacy by design (vie privée dès la conception). Le PPE, plus à droite que le S&D et l'ALDE qui ont mené les travaux en commission, porte la voix de certains industriels dans le débat.
« Malgré des concessions majeures, des eurodéputés conservateurs ont refusé tout compromis, donnant priorité aux profits de grands groupes Internet face aux droits fondamentaux à la protection des données et à la vie privée » réagit d'ailleurs l'eurodéputé vert Jean Philipp Albrecht dans un communiqué.
Une fois cette étape parlementaire passée, le règlement doit encore être négocié avec le Conseil européen, où siègent les États membres. La version de la commission LIBE, si elle passe telle quelle, serait donc la position défendue par le Parlement dans ces discussions.
Dans tous les cas, le temps presse. Le texte doit tout de même être appliqué en mai, même si certaines rumeurs évoquent un report en novembre. Les entreprises, premières concernées par le futur règlement, ne sont pas prêtes
Pour les entreprises, la conformité au RGPD est l'urgence du moment. Les spécialistes de la sécurité mettent en avant leurs solutions pour une protection contre la future législation. Interrogés aux Assises de la sécurité de Monaco, plusieurs d'entre eux nous déclarent qu'ePrivacy n'est pas encore pris en compte par les entreprises, certains grands groupes très au fait du RGPD ne connaissant même pas son frère jumeau, censé s'appliquer dans quelques mois.
Commentaires (14)
“eChamailleries” Ce n’est pas très rassurant
eThunes
Je ne comprends pas la position de la QdN… Leurs propos sont en contradiction avec le début de l’article
" />
“Business Europe mécontent, la Quadrature du Net aussi”
" /> (ce qui veut dire que l’Europe choisit un mode intermédiaire qui ne satisfait ni l’un ni l’autre)
Ce qu’ils revendiquent sont certainement différents
Un beau sac de nœuds… quelques têtes aussi, même si j’ai du mal à savoir qui.
Autant BusinessEurope je comprends, on les empêche de faire joujou avec nos données. Mais la QdN, je ne comprends pas.
le Parlement « échoue à protéger notre vie privée », en autorisant les mesures d’audience web sans consentement, ainsi que le pistage « de nos téléphones et autres appareils n’importe où, sans notre consentement »
Or quelques lignes plus haut :
Le rapport de Marju Lauristin pose certains principes, dont
l’interdiction des murs de cookies (qui interdisent l’accès à un contenu
au refus), du suivi physique d’un smartphone sans accord (par exemple
dans un magasin) et l’obligation de paramètres protecteurs de la vie
privée par défaut sur les services de messagerie.
Donc le Parlement “interdit le suivi physique d’un smartphone sans accord”, mais la QdN râle parce que “le Parlement autorise le pistale des téléphones”.
Faudrait savoir, là c’est complètement le contraire ! Qui dit vrai ?
Pareil, j’aurais aimé que l’article dise qui a raison sur ce point.
Tu te rends compte déjà des taxes pour Amazon & co, l’affaire FB, l’affaire FBI, les accords avec le Canada qui de son côté ouvre une porte aux Etats Unis. Ils doivent décider sur des choses qui pourraient faire tout capoter, car chacun reste sur des positions différentes, qui serait content de devoir suivre une ligne instable (en ajoutant les problèmes liées à la sécurité mondiale)
C’est pas faux !
" />)
(je vois pas le rapport avec mon propos, mais pas grave
certains principes, dont l’interdiction des murs de cookies (qui interdisent l’accès à un contenu au refus)
donc ce serait la fin du “en utilisant ce site, vous acceptez l’utilisation de cookies…”? C’est une super bonne nouvelle, ça.
« C’est une opportunité manquée de donner aux Européens une chance d’étendre leur choix et de répondre à la demande pour des services innovants fondés sur les données des citoyens, en traitant les métadonnées dans le plein respect du secret des correspondances » se plaint pour sa part l’ETNO, le lobby des opérateurs européens.
Ce morceau de langue de bois c’est monstrueux.
Pour info, j’ai ajouté la réaction de la Quadrature à l’article, qui interprète bien différemment les mesures prises sur le tracking Wi-Fi.