Qui ?
Guillaume Coulomb, Data Quality Lead chez fifty-five.
Quoi ?
[Article Partenaire] Une explication de texte pour éviter les amalgames et malentendus entre RGPD (Règlement Général sur la Protection des Données) et e-Privacy.
Comment ?
Directives de 1995 ou de 2002, Paquet Télécom de 2009 ou encore Privacy Shield de 2016, cette série de textes européens définit de véritables lignes de conduite pour les États membres, à qui il appartient de retranscrire le contenu des textes dans leur droit local. Ce sont ensuite les autorités de contrôle (regroupées dans une entité communément appelée le G29) qui sont en charge de faire appliquer ces lois. Les adaptations sont nombreuses et la fragmentation législative, forte. Par exemple, la notion de consentement préalable pour la pose des cookies diffère d’un pays à l’autre.
Dans ce contexte, deux nouveaux règlements (RGPD et e-Privacy), visent à harmoniser le cadre réglementaire portant sur les données personnelles et la vie privée des utilisateurs au sein de l’Union Européenne.
Le RGPD, ou comment protéger les données personnelles des résidents européens
Le règlement général sur la protection des données, qui entre en vigueur le 25 mai prochain, remplace la directive de 1995 et constitue ainsi le texte de référence en matière de protection des données à caractère personnel dans l’Union Européenne.
Les deux principes du RGPD sont d'accroître :
- les obligations des organisations (entreprises, associations, gouvernements, etc.) responsables de traitements de données à caractère personnel,
- les droits des personnes concernées par ces traitements (résidents de l’Union Européenne).
L’application des textes est extraterritoriale, ce qui signifie que le règlement s’applique à toute entreprise qui traite des données relatives aux résidents de l’Union Européenne, qu’elle soit établie au sein ou en dehors de l'UE. Ainsi les GAFA ou n’importe quelles entreprises qui s’adressent au marché européen sont concernées par ce règlement.
Le règlement e-Privacy, ou comment harmoniser la gestion des cookies dans l’Union Européenne
Le règlement e-Privacy, qui encadre les communications électroniques et plus particulièrement la protection de la vie privée lors de ces communications, est encore en cours d’examen au Parlement et au Conseil Européen.
Prévu initialement pour cette année, probablement décalé à 2019, le vote de ce règlement remplacera l’actuelle réforme Paquet Télécom de 2009 et sa directive 58 de 2002, qui visent à protéger la vie privée sur Internet (interdiction du spam, recueil du consentement pour les cookies, etc.).
Sont concernés :
- les fournisseurs d’accès à Internet (navigateurs, opérateurs télécom),
- les acteurs de l’IoT (Internet of Things),
- les OTT (Over the Top), fournisseurs d’application de messagerie (Whatsapp, Skype, Facebook Messenger, etc.),
- les services d’accès accessoires à Internet (bornes WiFi),
- les éditeurs de sites internet et applications,
- les entreprises du secteur AdTech.
Comme pour le RGPD, l’application des textes concerne tous les services adressés aux personnes situées sur le territoire de l’Union Européenne.
Les enjeux phares de ce règlement ?
- le principe de l’opt-out pour la pose de cookies sur un navigateur, toléré jusqu'à présent selon les pays, serait remplacé par l'opt-in, à savoir la nécessité d’obtenir un consentement préalable au dépôt des cookies, matérialisé par un acte positif
- le recueil du consentement devrait avoir lieu au niveau du navigateur (et non plus sur chaque site) lors de l’installation ou de la mise à jour du logiciel.
Ce point suscite de nombreux débats, certains y voient un renforcement de l’asymétrie des rapports de force entre les géants américains (GAFA, etc.) et les technologies européennes, notamment dans le secteur de l’adtech (Criteo, etc.). En effet, Google comme Facebook peuvent capitaliser sur un environnement logué (Chrome, Gmail, Facebook, YouTube, Whatsapp...), et donc se passer de l’utilisation des cookies pour proposer leurs services publicitaires, contrairement à la majorité de leurs concurrents.
La principale différence entre ces deux règlements réside donc dans leur périmètre. Le RGPD encadre le traitement des données à caractère personnel (qu’elles soient collectées en ligne ou hors ligne) , quand le règlement e-Privacy encadre les échanges d’information (métadonnées) qui transitent au sein des fournisseurs de services électroniques : navigateurs, SMS, emailing, mais également aux OTT comme Skype, Whatsapp, Facebook Messenger.
Résumé pour les cancres : pour le RPGD, pensez données personnelles, et pour l'e-Privacy, pensez cookies (et autres traceurs électroniques).
Guillaume Coulomb