Le règlement qui doit protéger les communications des internautes (via Facebook Messenger ou WhatsApp) avance au Parlement européen. La commission LIBE a arrêté une position pour les députés, pour les négociations à venir avec les États. Censé être appliqué en mai 2018, il représente une nouvelle épée de Damoclès pour les entreprises.

Le Parlement européen a enfin sa version du règlement ePrivacy. Hier, la commission LIBE (libertés civiles) a adopté le rapport qui doit être présenté la semaine prochaine en séance plénière, à 31 voix contre 24. Il doit compléter le Règlement général de protection des données (RGPD), en protégeant les communications et les métadonnées, et couvrir d'autres points précis, comme le consentement au dépôt de cookies sur le web.

Ces dernières semaines, les avis de plusieurs commissions se sont enchainés, triturant les détails du texte. Dans un article récent, la rapporteure Marju Lauristin insistait encore sur l'importance du règlement, qui doit aligner les obligations de protection des données des services de messagerie avec celles des opérateurs télécoms, tout en prenant en compte les communications entre machines (M2M).

Les débats autour d'ePrivacy, qui remplace une directive de 2009, ont été rudes. Le vote de la commission LIBE a été repoussé d'une semaine, en plein lobbying de la part des industriels et d'associations de défense des libertés. Début octobre, la Quadrature du Net s'inquiétait du relâchement du texte sur le traitement des métadonnées, soumis à moins de contraintes dans la version retravaillée par la commission ITRE (industrie).

Quelques associations satisfaites du compromis...

L'enjeu global reste de garantir le consentement explicite de l'internaute sur la collecte et le traitement de ses données, peu importe le domaine. Le rapport de Marju Lauristin pose certains principes, dont l'interdiction des murs de cookies (qui interdisent l'accès à un contenu au refus), du suivi physique d'un smartphone sans accord (par exemple dans un magasin) et l'obligation de paramètres protecteurs de la vie privée par défaut sur les services de messagerie.

Pour le Bureau européen des unions de consommateurs (BEUC), les députés ont bien défendu le renforcement de la vie privée en ligne, soulignant les avancées sur l'accord explicite pour la localisation et le refus des murs de cookies. « Il est alarmant que les entreprises du Net qui disent être les moteurs de l'économie numérique s'accrochent à un modèle publicitaire fondé sur l'espionnage des internautes. C'est un grand pas que le Parlement européen remette aujourd'hui les consommateurs aux manettes » estime l'organisation.

L'association European Digital Rights (EDRi) s'affirme aussi satisfaite, sur les mêmes bases que le BEUC. Face à eux, les mécontents sont pourtant nombreux.

Business Europe mécontent, la Quadrature du Net aussi

« C'est une opportunité manquée de donner aux Européens une chance d'étendre leur choix et de répondre à la demande pour des services innovants fondés sur les données des citoyens, en traitant les métadonnées dans le plein respect du secret des correspondances » se plaint pour sa part l'ETNO, le lobby des opérateurs européens. Sans surprise, il « regrette » ce vote.

L'organisation patronale Business Europe estime les eurodéputés divisés, sur un texte qui contredirait le RGPD sur certains points, alors qu'il est censé le compléter. Dans une lettre ouverte du 5 octobre, le lobby estime qu'ePrivacy doit se limiter à la confidentialité des communications pendant leur transit, et rien d'autre. Pas question de traiter le stockage des données. Le lobby tacle les discussions tardives sur le règlement, qui ajoute une couche de doute pour les entreprises en pleine préparation pour le RGPD. Autrement dit, ePrivacy en fait trop au mauvais moment.

Leur scepticisme est accompagné par celui de... la Quadrature du Net, qui a dégainé un communiqué déçu très rapidement après le vote. Pour l'association, le Parlement « échoue à protéger notre vie privée », en autorisant les mesures d'audience web sans consentement, ainsi que le pistage « de nos téléphones et autres appareils n'importe où, sans notre consentement ». Selon elle, Marju Lauristin, Jan Philipp Albrecht et Sophia in't Veld n'auraient pas tenté de défendre les internautes.

« L'annonce du Parlement est parfaitement fausse. Nos données de localisation pourront être collectées sans notre consentement, pour n'importe quelle raison pouvant être qualifiée de « statistique ». Et les données collectées ne seront anonymisées que lorsque les statistiques auront été réalisées. Si l'objet des statistiques est de savoir, sur une période de deux ans, combien de fois en moyenne chaque visiteur d'un magasin y revient, les données pourront être conservées deux ans avant d'être anonymisées » nous précise Arthur Messaud, juriste à la Quadrature, suite à la publication de l'article.

De nouveaux défis en perspective

La prochaine étape est un vote du rapport de la commission LIBE en séance plénière, en principe par l'ensemble des eurodéputés. Malgré la recherche claire d'un compromis, tout au long des travaux en commissions, l'arrivée en plénière pourrait être une nouvelle épreuve importante.

Selon Contexte, le Parti Populaire Européen (PPE) compte s'opposer au texte en plénière, même quand les autres députés étaient prêts à des concessions sur les murs de cookies ou le concept de privacy by design (vie privée dès la conception). Le PPE, plus à droite que le S&D et l'ALDE qui ont mené les travaux en commission, porte la voix de certains industriels dans le débat.

« Malgré des concessions majeures, des eurodéputés conservateurs ont refusé tout compromis, donnant priorité aux profits de grands groupes Internet face aux droits fondamentaux à la protection des données et à la vie privée » réagit d'ailleurs l'eurodéputé vert Jean Philipp Albrecht dans un communiqué.

Une fois cette étape parlementaire passée, le règlement doit encore être négocié avec le Conseil européen, où siègent les États membres. La version de la commission LIBE, si elle passe telle quelle, serait donc la position défendue par le Parlement dans ces discussions.

Dans tous les cas, le temps presse. Le texte doit tout de même être appliqué en mai, même si certaines rumeurs évoquent un report en novembre. Les entreprises, premières concernées par le futur règlement, ne sont pas prêtes

Pour les entreprises, la conformité au RGPD est l'urgence du moment. Les spécialistes de la sécurité mettent en avant leurs solutions pour une protection contre la future législation. Interrogés aux Assises de la sécurité de Monaco, plusieurs d'entre eux nous déclarent qu'ePrivacy n'est pas encore pris en compte par les entreprises, certains grands groupes très au fait du RGPD ne connaissant même pas son frère jumeau, censé s'appliquer dans quelques mois.