ePrivacy : les eurodéputés cherchent un compromis sur le traitement des données de communication
Après des mois de stagnation des débats sur le règlement « vie privée et communications électroniques », les eurodéputés et les diplomates de l’UE ont entamé les discussions sur la question du traitement des données, métadonnées et contenus des communications électroniques.
Après des mois de stagnation des débats sur le règlement « vie privée et communications électroniques » (ePrivacy Regulation), les eurodéputés et les diplomates de l’UE ont entamé les discussions sur la question sensible du traitement des données, métadonnées et contenus des communications électroniques.
Des représentants du Parlement européen et du Conseil de l’UE se sont réunis le 10 novembre dans le cadre d’une discussion technique sur le règlement « vie privée et communications électroniques », une initiative législative très controversée au point mort depuis des années.
Les États membres de l’UE ne sont parvenus à une position commune qu’en février 2021, soit quatre ans après la présentation de la proposition. Depuis lors, les équipes de négociation des deux institutions n’ont guère réalisé de progrès, les discussions techniques portant sur les parties les moins controversées des propositions.
Un document officieux de la rapporteure du Parlement Birgit Sippel et de la présidence tchèque du Conseil de l’UE, débattu la semaine dernière et consulté par EURACTIV, a marqué un tournant dans les discussions. Il aborde en effet la partie critique de la protection des communications électroniques.
La réunion technique n’a pas été concluante, mais le texte pose les bases des futures discussions. Les groupes politiques du Parlement ont jusqu’à vendredi (18 novembre) pour soumettre des commentaires écrits à la rapporteure.
Données relatives aux communications électroniques
Au cœur de la discussion se trouvait l’article définissant les conditions dans lesquelles les données de communications électroniques peuvent être traitées, à savoir uniquement dans la mesure où cela est strictement nécessaire pour réaliser la transmission de la communication et assurer la sécurité des réseaux de communication.
« La nécessité du traitement des données de communications électroniques aux fins prévues par le présent règlement ne devrait être évaluée que sur la base d’exigences techniques objectives, et ne pas être fondée sur des considérations commerciales », peut-on lire dans un nouveau paragraphe proposé en préambule du texte.
Une précision supplémentaire a été introduite pour couvrir les cas spécifiques pour lesquels la conservation de la communication électronique transmise fait partie de la demande de communication des utilisateurs. Ainsi, pour les services de courrier électronique, les courriels sont stockés sur un serveur cloud dans lequel l’utilisateur peut les retrouver ultérieurement.
En ce qui concerne l’aspect relatif à la sécurité, les responsables politiques de l’UE ont proposé de préciser que les fournisseurs de services ne peuvent pas traiter les données stockées dans ou émises par les appareils des utilisateurs afin de détecter les défauts et les erreurs techniques. Cette proposition constitue une tentative de compromis avec les eurodéputés qui ont quant à eux supprimé ce point.
La question de la conservation des données, une autre question délicate, a été mise en suspens pour le moment.
Métadonnées des communications électroniques
Un autre point critique du règlement « vie privée et communications électroniques » concerne les métadonnées, c’est-à-dire les informations relatives à qui communique et comment (heure, localisation ou encore adresse IP). Le traitement des métadonnées ne peut être autorisé que dans des situations spécifiques prévues par le texte de compromis.
C’est notamment le cas lorsque les utilisateurs donnent leur consentement explicite pour un ou plusieurs objectifs qui ne peuvent être atteints sans ces métadonnées. Toutefois, en cas de risque élevé pour les droits et libertés des utilisateurs, une analyse d’impact sur la protection des données devra être réalisée au préalable.
Le traitement des métadonnées peut également être autorisé lorsque ce traitement est strictement nécessaire pour assurer la facturation, déterminer la redevance d’interconnexion et détecter ou faire cesser les utilisations frauduleuses ou abusives des services de communications électroniques.
Une troisième possibilité réside dans le fait que l’analyse des métadonnées est indispensable au secteur des télécommunications afin de se conformer au Code européen des communications électroniques, d’éviter la congestion du réseau conformément au règlement sur l’internet ouvert ou d’optimiser les performances du réseau.
« Le traitement des métadonnées de communication à des fins d’optimisation du réseau ne devrait être autorisé que si les métadonnées nécessaires sont agrégées à un niveau significatif et selon des méthodes de pointe avant que tout autre traitement ne soit lancé », peut-on lire dans le paragraphe explicatif.
Pour les données de localisation spécifiquement, l’idée est d’autoriser le traitement dans la mesure où il est strictement nécessaire de protéger l’intérêt vital d’une personne en cas d’urgence, et uniquement lorsque la personne concernée ne peut pas donner son consentement.
Par ailleurs, les données de localisation peuvent être stockées à la demande d’une autorité publique ou sur la base d’une obligation contractuelle spécifique pour des analyses statistiques. Dans ce cas, les données de localisation devraient être immédiatement pseudonymisées, agrégées dès que possible, cryptées pendant leur stockage et effacées lorsqu’elles ne sont plus nécessaires.
Contenu des communications électroniques
Le document officieux indique les conditions dans lesquelles les fournisseurs de services de communication peuvent traiter le contenu. L’une des possibilités est que tous les utilisateurs finaux concernés aient donné leur consentement au traitement du contenu de la communication à une ou plusieurs fins spécifiques.
Une deuxième possibilité est qu’un utilisateur individuel demande un service de communication qui ne peut être fourni sans traitement du contenu de la communication, « à condition que ce traitement ne porte pas atteinte aux droits et intérêts fondamentaux d’une autre personne concernée ».
Dans ce cas également, le fournisseur de services devra procéder à une analyse d’impact sur la protection des données.
Traitement compatible des métadonnées des communications électroniques
Avant que ce document officieux devienne un effort conjoint avec la rapporteure du Parlement, la présidence tchèque avait fait circuler une version qui incluait l’article du Conseil sur le traitement compatible des métadonnées des communications électroniques.
Selon les informations obtenues par EURACTIV, cet article a été retiré en raison de l’opposition de la rapporteure Birgit Sippel, qui estime qu’il ouvrirait la porte à un traitement supplémentaire des métadonnées à des fins autres que celles indiquées dans le règlement.
Le cabinet de Mme Sippel a décliné notre demande de commentaires sur la question.
[Édité par Anne-Sophie Gayet]
