Règlement Européen sur la vie privée et communications électroniques (ePR)
L'ePR : c'est quoi ?
En janvier 2017, la Commission Européenne a proposé un nouveau Règlement sur la vie privée et les communications électroniques (ePR) dans le cadre de sa stratégie pour un marché unique numérique.
L'ePR va remplacer la Directive sur la vie privée et les communications électroniques de 2002 (la ‘législation cookies’) et toute la législation des États membres qui la met en œuvre – notamment le règlement du Royaume Uni sur la vie privée et les communications électroniques (Directive UE) de 2003 (ePD).
L'ePD énonce des règles sur les communications électroniques, notamment les e-mails, fax, textes et appels téléphoniques de marketing ; l'usage des cookies suivant les informations des visiteurs de site Web ; la sécurité des services de communication électronique publics ; et la vie privée des utilisateurs finaux. Vous êtes dans le marketing par téléphone, e-mail, texte ou fax ? Vous utilisez des cookies ? Vous compilez des répertoires publics ? Le PECR s'applique actuellement.
Quelle est la différence entre l'ePR et l'ePD ?
L'ePR adopte une portée plus étendue et cherche à assurer une confidentialité renforcée de toutes les communications électroniques – notamment les prestataires de services de communication par contournement (OTT) comme les applications de messagerie instantanée et les plateformes employant le VoIP (Voice over Internet Protocol) ainsi que les communications machine-à-machine comme l'Internet des objets (IoT - Internet of Things).
L'ePR revêt le même champ d'application territorial que le Règlement Général Européen sur la Protection des Données (RGPD), entraîne un régime de pénalités similaire en cas de non-conformité et doit également entrer en vigueur le 25 mai 2018.
Néanmoins, nombre de commentateurs ont observé que le temps va manquer pour que l'ePR suive l'intégralité de la procédure législative ordinaire de l'Union Européenne à temps. Le réalisme de son échéance est donc encore en doute.
Dès novembre 2017, six mois avant que l'ePR ne doive entrer en vigueur, le processus en est seulement à la première version révisée, publiée le 8 septembre 2017. La synthèse suivante s'appuie sur cette version.
La différence entre les règlements et les directives de l'UE
L'UE comporte principalement deux types d'acte législatif : directives et règlements.
Les directives énoncent des objectifs communs que les États membres de l'UE doivent atteindre. Les États membres doivent concevoir leur propre législation nationale pour atteindre ces objectifs.
En revanche, les règlements sont des actes législatifs contraignants qui s'appliquent directement dans les États membres et ne nécessitent aucune loi nationale pour leur promulgation. L'ePR et le RGPD relèvent de cette catégorie.
En savoir plus sur le RGPD
Points clés du règlement proposé
Champ d'application matériel
L'ePR concerne :
- Le traitement du contenu des communications électroniques des transmissions et des métadonnées des communications électroniques effectué en relation avec la fourniture et l'utilisation de services de communications électroniques ;
- Les informations en relation avec /traitées par /émises par /conservées dans les équipements terminaux des utilisateurs finaux ;
- Le placement sur le marché de logiciels permettant des communications électroniques, notamment l'extraction et la présentation des informations sur Internet ;
- L'offre de répertoire disponible publiquement des utilisateurs finaux des services de communication électronique ; et
- L'envoi ou la présentation de communications de marketing direct aux utilisateurs finaux.
L'ePR ne concerne pas :
- Les activités qui ne relèvent pas du champ d’application du droit de l'Union ;
- Les activités des États membres qui relèvent du contrôle des frontières, du droit d'asile et de l'immigration ;
- Les communications électroniques qui ne sont pas accessibles au public (ex. réseaux d'entreprise en circuit fermé) ;
- Les activités menées par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales ; ou
- Les équipements radioélectriques – qui doivent respecter la Directive 2014/53/UE.
Champ d'application territorial
L'ePR concerne :
- La prestation de services de communications électroniques aux utilisateurs finaux dans l'UE ;
- Le traitement du contenu des communications électroniques des transmissions et des métadonnées des communications électroniques des utilisateurs finaux dans l'UE ;
- La protection des informations en relation avec /traitées par /émises par /conservées dans les équipements terminaux des utilisateurs finaux dans l'UE ;
- L'offre de répertoires disponibles publiquement des utilisateurs finaux des services de communication électronique dans l'UE ;
- Le placement sur le marché de logiciels permettant des communications électroniques ; et
- L'envoi /présentation de communications de marketing direct aux utilisateurs finaux dans l'UE.
Les prestataires de services de communications électroniques qui ne sont pas implantés dans l'UE doivent désigner un représentant dans un État membres de l'UE où se trouvent les utilisateurs finaux de ses services.
Date d'entrée en vigueur
L'ePR est entré en vigueur le 25 mai 2018, le même jour que le RGPD et la Directive sur la sécurité des réseaux et des systèmes d'information (Directive NIS) de l'UE.
Consentement aux cookies
Selon l'ePR, de nombreux cookies ne vont plus nécessiter le consentement de l'utilisateur final. En lieu et place, les paramètres du navigateur étendus devraient contrôler le partage des informations utilisateur. En d'autres termes, il devrait y avoir moins de bannières de cookies.
Marketing direct
Les communications de prospection directe – soit « toute forme de publicité, tant écrite qu'orale, envoyée à un ou plusieurs utilisateurs finaux, identifiés ou identifiables, de services de communications électroniques, y compris au moyen de systèmes de communication et d'appel automatisés, avec ou sans intervention humaine, par courrier électronique, par SMS, etc. » – nécessitent aussi un consentement de l'utilisateur final.
De plus, si les utilisateurs finaux ont consenti à recevoir des communications de marketing direct, ils devraient pouvoir retirer facilement ce consentement à tout moment.
Contenu et métadonnées
L'ePR couvre les métadonnées de communications électroniques (« données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l'échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l'appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication ») mais aussi leur contenu dans la transmission.
Les prestataires de services de communications électroniques peuvent traiter le contenu des communications électroniques uniquement :
- À la seule fin de fournir un service spécifique à un utilisateur final s'il a donné son consentement et si le service ne peut pas être procuré sans traitement du contenu ; ou
- Si tous les utilisateurs finaux concernés ont consenti au traitement pour des fins spécifiées qui ne peuvent être accomplies par un traitement des informations anonymisées et si le prestataire a consulté l'autorité de contrôle – l'Information Commissioner’s Office (ICO) au RU.
Les prestataires de services de communications électroniques doivent effacer ou anonymiser le contenu des communications électroniques après leur réception par les destinataires prévus.
Les prestataires de services de communications électroniques peuvent traiter les métadonnées des communications électroniques si :
- Il est nécessaire de satisfaire aux « prescriptions obligatoires en matière de qualité de service » ;
- Il est « nécessaire pour établir les factures, calculer les paiements pour interconnexion, détecter ou faire cesser les fraudes à l'usage et à l'abonnement en matière de services de communications électroniques » ; ou
- L'utilisateur final a donné son consentement au traitement à condition que la ou les fins du traitement ne puissent pas être atteintes par un traitement des données anonymisées.
Les prestataires des services de communications électroniques doivent effacer ou anonymiser les métadonnées des communications électroniques dès qu'elles ne sont plus nécessaires aux fins de transmission d'une communication.
Si le traitement des métadonnées est nécessaire à des fins de facturation, les métadonnées pertinentes peuvent être conservées jusqu'à la fin de la période durant laquelle la facturation peut être légalement remise en question ou un paiement être recherché.
Amendes pour défaut de conformité
Comme pour le RGPD, un régime d'amendes à deux niveaux impose un maximum de 20 millions d’euros ou 4% du chiffre d’affaires global annuel – selon le montant le plus élevé.
Les utilisateurs finaux qui subissent un « dommage matériel ou moral » résultant d'une infraction à l'ePR ont aussi droit à une compensation de la part du contrevenant.
Au RU, l'ICO est responsable de l'exécution de l'ePR. Comme le Règlement est encore à l'état de projet, l'ICO n'a, pour le moment, pas émis de consignes de conformité. Nous mettrons cette page à jour dès que ces conseils seront publiés.
L'ePR et le RGPD
Le RGPD – et la nouvelle loi relative à la protection des données qui le transposera au RU – concerne le traitement des informations personnelles. L'ePR a été conçu pour le compléter en prévoyant des règles spécifiques « relatives à la protection des libertés et droits fondamentaux des personnes physiques et morales en ce qui concerne la fourniture et l’utilisation de services de communications électroniques ».
Les obligations de sécurité dans le RGPD et dans la proposition de Code des communications électroniques européen (CCEE) concerne les prestataires de services de communications électroniques.
Cliquez ici pour en savoir plus sur le RGPD >>
Nous sommes là pour vous aider
Veuillez nous contacter pour en savoir plus ou afin de discuter avec un expert.