Explication sur la directive «vie privée et communications électroniques» de l’UE pour davantage de transparence sur Internet

Fin 2009, le parlement de l’UE a arrêté une révision de la directive «vie privée et communications électroniques» (2002/58/CE), en vue d’améliorer la transparence et la sécurité pour les utilisateurs de réseaux et de services de communication électronique. La mise en œuvre de la nouvelle directive 2009/136/CE devrait s’effectuer à partir de 2011, ce qui aura également des répercussions en Suisse.

La directive «vie privée et communications électroniques» a été modifiée pour tenir compte des défis que présentent les technologies numériques. Elle complète la directive de l'UE sur la protection des données personnelles et englobe l'ensemble des thèmes relatifs à la sphère privée dans le domaine des communications électroniques, le but étant d'améliorer la transparence et la sécurité de ces dernières au profit des utilisateurs.

L'utilisation des témoins de connexion (ou «cookies») est une des pierres d'angles de la réforme. Ces cookies peuvent stocker des identificateurs («login»), des mots de passe et des préférences, ce qui peut se révéler pratique pour l'utilisateur. Cependant, ils peuvent aussi servir à suivre le comporte­ment de navigation d'une personne sur Internet. Les distributeurs en ligne peuvent ainsi déterminer des profils d'utilisateurs à l'aide de cookies qu'ils disséminent sur diverses pages web et cibler leur publicité en conséquence. Cette procédure est connue sous le nom de «online behavioural advertising» (OBA).

Contenu de la directive

Le système d'«opt out» prévu par l'ancienne directive a été remplacé par une procédure de «con­sen­te­ment éclairé», c'est-à-dire par une option d'adhésion (ou «opt in»), l'utilisateur donnant son accord après avoir été informé en détail de la nature et du but du traitement des données. La disposition en question ne fait toutefois «pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications élec­tro­ni­ques», afin qu'un service expressément demandé puisse également être fourni aux utilisateurs (suivi de session ou «session cookies», lors de l'authentification pour un service donné, par exemple).

L'information préalable à l'option d'adhésion est exposée dans les considérants de la directive. Il en résulte que les méthodes retenues pour fournir des informations et offrir le droit de refuser les cookies «devraient être les plus conviviales possibles». Lorsque cela est techniquement possible et effectif, l'accord de l'utilisateur «peut être exprimé par l'utilisation des paramètres appropriés d'un navigateur ou d'une autre application». Les conséquences et la portée de ces considérants sont controversées. Ils peuvent signifier que les préférences relatives aux cookies, enregistrées par l'utilisateur dans son navigateur, peuvent valoir, selon le cas, comme octroi ou comme refus de l'autorisation d'acquérir des données. L'utilisateur ne devrait donner son accord spécifique qu'aux opérations du navigateur desti­nées à stocker des données utilisateur à l'aide du logiciel multimédia Flash, ainsi qu'aux tentatives de manipulation par des logiciels espions, qui interviennent à un niveau plus profond de l'architecture de l'ordinateur.

Entrée en vigueur de la nouvelle directive

Si certains Etats de l'UE ont déjà transposé les dispositions de la directive dans leur droit national, d'autres ont encore des difficultés. Il semble être délicat, en effet, de trouver une solution pratique qui réponde aux exigences légales du «consentement éclairé» sans trop réduire le confort de la navigation.

L'autorégulation comme solution?

Le secteur de la publicité en ligne plaide pour une autorégulation de la branche. L'organe européen d'autorégulation European Advertising Standards Alliance (EASA) et l'IAB Europe, réseau européen des publicitaires en ligne de l'Interactive Advertising Bureau, ont anticipé l'adoption d'une législation rigoureuse dans les Etats de l'UE et établi un code de conduite pour leurs membres. Ce code de conduite entend améliorer la transparence et permettre un meilleur contrôle par l'utilisateur. En cli­quant sur l'icône qui apparaît lors de la mise en œuvre de la procédure OBA, l'utilisateur doit pouvoir découvrir qui se cache derrière l'envoi publicitaire et ce qu'il advient de ses données utilisateur. Il a ainsi la possibilité de déclarer son refus et de bloquer les entreprises qui ont recours aux cookies de ce type. Une page web est en outre mise en place pour renseigner les consommateurs sur les OBA et sur les possibilités qu'ils ont d'effectuer un «opt out» (voir le site http://www.youronlinechoices.eu/). Les représentants du secteur de la publicité en ligne se sont donné pour objectif de mettre en oeuvre le système d'«opt out» décrit plus haut auprès d'au moins 70% des membres de toutes les organisations nationales d'autorégulation dans un délai d'un an.

Position du groupe de travail Article 29

Comme le code de conduite établi par le secteur de la publicité en ligne prévoit pour l'essentiel un mé­canisme d'«opt out» pour l'enregistrement du comportement de navigation de l'utilisateur, le groupe de travail Article 29, organe consultatif européen indépendant sur la protection des données, a rap­pelé, dans un document publié en décembre 2011, que les mesures d'autorégulation proposées ne répondaient pas aux exigences de la directive. Il a notamment souligné qu'il fallait améliorer l'informa­tion et la transparence dans la mise en œuvre des instruments OBA. Il a indiqué en outre que le mécanisme d'«opt out» contre la publicité ciblée sur Internet était incompatible avec la disposition sur l'«opt in» de la directive de l'UE.

Vous trouverez le texte complet (il n'existe qu'en anglais) du groupe de travail Article 29 à droite, ainsi qu'un résumé du document.

Répercussions en Suisse

La Suisse n'étant pas membre de l'UE, le droit communautaire ne s'y applique en principe que lorsqu'elle en décide explicitement ainsi. Quoi qu'il en soit, les régulations abordées ici ne resteront pas sans conséquences pour les fournisseurs et les utilisateurs de prestations en ligne domiciliés en Suisse. Il faut attendre de voir comment la nouvelle directive sera transposée en détail dans le droit national des Etats membres de l'UE. Ce n'est qu'alors que les conséquences concrètes pour les entreprises suisses pourront être évaluées.

Le Préposé fédéral à la protection des données et à la transparence soutient les initiatives privées visant à améliorer la protection de la sphère privée dans le domaine du marketing en ligne et suit de très près les évolutions en Suisse et à l'étranger. On ne peut bien entendu envisager d'exception suisse, ne serait-ce que parce que les sites web des prestataires et des réseaux d'annonces suisses ne connaissent pas les frontières nationales. Les tendances au développement d'un marketing en ligne plus favorable à la protection des données qui sont observées en Europe doivent être saluées. Il faut toutefois que la mise en œuvre soit conviviale et facile à gérer. La nécessité de garantir la transparence et l'informations lors de l'utilisation d'outils de pistage doit être garantie également en Suisse. Selon que les données personnelles traitées son sensibles ou non, des exigences plus élevées sont fixées en matière de devoirs d'information et il faut que l'utilisateur concerné ait donné expressément son accord pour qu'un tel traitement des données soit autorisé.

Pour des renseignements complémentaires:

Outre la directive «vie privée et communications électroniques» de l'UE, diverses initiatives officielles ou privées concernant la protection des données sont présentes sur Internet. En voici un échantillon:

1.) Enclencher la fonction «do not track» sur votre navigateur

La génération actuelle du navigateur Firefox, de Mozilla, vous offre une fonction qui vous permet «d'indiquer aux sites que vous ne voulez pas être pisté». Apple a annoncé qu'il allait intégrer une option «do not track» du même type à son navigateur standard Safari. Internet Explorer 9 bloque lui aussi les cookies lorsque l'utilisateur enclenche cette option.

2.) Naviguer en privé

La plupart des navigateurs offrent également un mécanisme de protection supplémentaire avec la fonction «private browsing». Lorsque cette fonction est enclenchée, aucune donnée (comme les pages visitées, les cookies et autres) ne sera stockée. L'utilisateur navigue sans laisser de traces locales.

3.) Législation états-unienne

Facebook, Google et Yahoo, de même que plusieurs associations économiques des Etats-Unis, se sont exprimés contre l'imposition de prescriptions spécifiques concernant la protection des données sur Internet. Il n'empêche que l'obligation de pourvoir les navigateurs web de la fonction de protection des données «do not track» pourrait bientôt être inscrite dans la loi américaine. Le sénateur démocrate John D. Rockefeller IV a soumis au sénat américain un projet de loi (http://commerce.senate.gov/public/?a=Files.Serve&File_id=85b45cce-63b3-4241-99f1-0bc57c5c1cff) qui prévoit de charger la Federal Trade Commission d'élaborer des directives sur la protection des données contraignantes pour les publicitaires en ligne. Pour des informations actualisées à ce sujet, cf.: http://epic.org/privacy/consumer/online_tracking_and_behavioral.html.

Liens:

Directive 2009/136/CE:
Directive 2002/58/CE:
IAB Switzerland: http://www.iabschweiz.ch/
European Advertising Standards Alliance (EASA): http://www.easa-alliance.org/Home/page.aspx/81
Code de conduite de l'IAB relatif à la procédure OBA: http://www.iab.net/public_policy/codeofconduct

Instructions pour la suppression de cookies

Informations complémentaires

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/vie-privee-et-communications-electroniques--transparence-sur-int/explication-sur-la-directive--vie-privee-et-communications-elect.html