1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
|
Titre: ePrivacy: décoder les contre-vérités des lobbys
Auteur: neurone648
Date: Thu 08 Dec 2016 16:38:10 +0100
Lien: https://www.laquadrature.net/fr/ePrivacy-decoder-les-contre-verites-des-lobbys%20
Paris, 8 décembre 2016 — La révision de la directive européenne ePrivacy[1] sur
la confidentialité des communications électroniques ne fait pas encore grand
bruit mais cela ne signifie pas que le travail d'influence et la lutte des
intérêts n'ont pas commencé. Au contraire, la proposition de texte de la
Commission européenne étant prévue pour être publiée en janvier 2017, les
groupes d'intérêts se pressent aux portes de l'exécutif européen pour tenter de
mettre leur grain de sel dans le futur texte.
Pour deviner la teneur des discussions qui se déroulent en haut lieu, il suffit
de lire les lettres ouvertes, les position papers et autres déclarations
communes[2] des ETNO[3], GSMA[4], DIGITALEUROPE[5] et autres lobbys de
l'industrie du numérique et des télécoms : tous appellent à l'abrogation pure
et simple de la directive.
De la même façon que lors des négociations du règlement général sur la
protection des données (RGDP), marteler nos arguments n'est pas suffisant face
à la force de frappe et aux moyens de l'industrie, il nous faut donc passer en
revue leurs arguments fallacieux et les examiner un par un.
Argument n°1 : La directive ePrivacy rajoute de la complexité juridique et
légale alors même qu'il faudrait « restaurer la confiance des utilisateurs en
réduisant la complexité règlementaire » [1[6]]
[image 7]
Nous avons ici affaire à la magie de l'argument de la « rationalisation ».
Cette logique sous-tend que l'environnement règlementaire est une trop grande
contrainte pour les entreprises et qu'il faudrait donc le simplifier. Mais
rappelons que « simplifier » ne doit jamais revenir à affaiblir », et encore
moins à « supprimer » des garanties pour les utilisateurs.
D'autre part, cette contrainte est nécessaire afin d'encadrer les pratiques des
entreprises pour qui nos données personnelles représentent une mine d'or et
sont souvent la base de leur modèle économique. Le « laisser-faire » et «
l'auto-régulation », toujours pronés par l'industrie, sont des leurres qui
n'ont jamais apporté plus de protection et de confidentialité aux individus. La
règlementation est là pour que les fournisseurs de services et autres acteurs
respectent des règles basiques en matières de sécurité, de confidentialité et
de vie privée. Partout où il n'y a pas de régulation claire, leurs pratiques
tendent à une plus grande exploitation de notre vie privée à des fins
lucratives. De même, les utilisateurs doivent pouvoir savoir globalement
quelles sont leurs garanties et leurs droits : en utilisant chaque jour des
dizaines de services différents, il est absolument nécessaire d'avoir une base
commune de garanties qui permette à l'utilisateur de savoir à quoi il peut
s'attendre.
------------------------------------------------------------------------------
Argument n°2 : La directive ePrivacy est rendue caduque par le nouveau
Règlement Général sur la Protection des Données Personnelles. [2[8]]
[image 9]
Voilà l'argument principal de l'indutrie : le nouveau règlement couvrirait déjà
presque intégralement toutes les dispositions de la directive ePrivacy et
celle-ci serait donc devenue inutile.
Pour rappel la directive ePrivacy est destinée à protéger la vie privée et la
confidentialité des données dans le secteur des communications électroniques.
C'est à dire qu'elle s'attache principalement aux communications du type
messageries instantanées, SMS, communications par VoIP telles que Skype,
emails, téléphonie, etc., pour lesquelles elle va fixer des obligations en
matière de sécurité et de confidentialité pour les fournisseurs de services. Le
Règlement général sur la protection des données adopté en avril 2016 et qui
entrera en application en mai 2018 s'occupe, pour sa part, d'assurer la
protection des données personnelles de chaque individu lors de l'utilisation de
ces données par des entreprises privées autant que par des autorités publiques.
Les dévelopements technologiques récents font que la majorité de la circulation
et des transferts de ces données personnelles se passe sur internet via les
nombreux sites et plateformes auxquels nous nous connectons.
Les deux textes ne sont donc pas équivalents : l'un (le Règlement) s'attache à
des données personnelles qui sont produites par notre utilisation des services,
l'autre (la directive ePrivacy) se concentre sur le respect de la vie privée et
la confidentialité dans nos échanges avec d'autres correspondants.
L'adoption du nouveau règlement en avril 2016 ne rend donc en rien l'existence
de la directive ePrivacy inutile. En effet il ne couvre pas directement
certains droits fondamentaux comme le droit à la liberté de communication, le
droit à la vie privée. D'autre part, la directive ePrivacy couvre des sujets
qui vont au delà des données personnelles et qui ne sont donc pas couverts par
le Règlement. C'est le cas par exemple des communications non sollicitées,
telles que les spams ou la prospection directe.
Parce qu'elles sont omniprésentes dans notre quotidien et parce que les
informations qu'elles véhiculent sont d'une grande valeur, les communications
électroniques requièrent un régime de confidentialité et de sécurité spécifique
qui soit le plus protecteur possible. La révision de la directive est une
formidable opportunité de renforcer cette protection et ce tout en restant
parfaitement cohérent avec la législation générale inscrite dans le futur
Règlement.
------------------------------------------------------------------------------
Argument n°3 : La protection de la vie privée des utilisateurs est déjà
garantie par le Règlement, il n'est donc pas nécessaire de conserver l'article
5.3 sur la confidentialité relative à votre appareil. [3[10]]
[image 11]
La directive ePrivacy fut amendée en 2009 et un 3ème alinéa sur la
confidentialité de « l'appareil terminal » ajouté (donc de votre téléphone -
intelligent ou non - ou de votre ordinateur) . Celui-ci encadre le « stockage
d'informations » et « l'accès à des informations déjà stockées sur l'appareil
terminal » (comme par exemple les cookies), en les soumettant au consentement
de l'utilisateur.
Il est aujourd'hui mal mis en oeuvre par les fournisseurs de services qui
rendent le consentement non seulement obligatoire pour accéder à un service (ce
qui supprime la nature « libre » du consentement ; il est indispensable de
banir cette pratique) mais également non éclairé car noyé dans une quantité
incompréhensible d'informations. En cela, l'article 5.3 a certes échoué à
redonner le contrôle de ses données à l'utilisateur mais il reste un outil non
seulement essentiel pour limiter les effets du tracking sur internet mais
également unique car rien de semblable n'existe dans le Règlement général.
Cet article sur la confidentialité et l'intégrité de l'appareil terminal est
donc à reformuler afin d'améliorer sa mise en oeuvre mais il doit également
être élargi pour y faire rentrer les cas où l'appareil produit des informations
par défaut, comme par exemple le tracking par fingerprint[12].
En somme, la protection de la vie privée passant également pas la
confidentialité et l'intégrité de l'appareil de l'utilisateur, cet article est
donc essentiel mais peut être rendu plus actuel et plus efficace en élargissant
son contenu et en renforçant les garanties pour l'utilisateur (c'est bien cela
dont les industries ne veulent pas).
------------------------------------------------------------------------------
Argument n°4 : Tous les services ne sont pas couverts par la directive. Or,
selon les opérateurs télécoms : Il faut construire une situation équitable afin
qu'ils ne soient désavantagés face aux méchants américains. [4[13]]
[image 14]
Il est vrai que certains services, aujourd'hui omniprésents comme les
fournisseurs de services de messagerie en ligne tels que Whatsapp, Signal,
Viber (appelés aussi « OTT » : services over-the-top) n'existaient pas lorsque
la directive ePrivacy fut adoptée en 2002 et ne sont pas soumis aux obligations
en matière de sécurité et de confidentialité exigées par la directive ePrivacy.
Sur cette question, les opérateurs télécoms et les lobbys de l'industrie
numérique ont développé une opposition de façade. Lorsque les opérateurs
dénoncent une injustice face à ces nouveaux services en ligne, ceux-ci
rétorquent qu'ils sont déjà couverts par le règlement général. En réalité, loin
de s'opposer, tous tendent vers une conclusion commune : la nécessaire
abrogation de la directive. Belle manœuvre de leur part mais finalement assez
vaine puisque cette question du champ d'application de la directive devrait
être réglée en amont par le nouveau code européen en matière de communications
électroniques[5], actuellement débattu au parlement européen. Celui-ci prévoit
de modifier la définition de « service de communications électroniques » pour y
intégrer les nouveaux acteurs comme les services de messagerie en ligne.
Les obligations en matière de sécurité et de confidentialité doivent
s'appliquer à tous les fournisseurs de services et ce de manière équivalente.
Une égalité de traitement entre opérateurs, nouveaux services en ligne et
futurs services à venir est nécessaire afin de pouvoir développer des règles
plus ambitieuses pour la confidentialité et la sécurité de nos communications
électroniques.
------------------------------------------------------------------------------
Argument n°5 : Les dérogations relatives à la sécurité nationale laissées aux
États membres sont trop larges et mettraient en danger certaines pratiques des
fournisseurs de services, comme la fourniture de services de messagerie
chiffrés de bout en bout. [5[15]]
[image 14]
Les États membres ont en effet grâce à l'article 15.1 de la directive ePrivacy
la possibilité de déroger aux exigences prévues par la directive en matière de
sécurité et de confidentialité pour des motifs de sécurité nationale, de
défense et de sécurité publique. Ils peuvent ainsi adopter des mesures
prévoyant, par exemple, la conservation des données (en France, c'est le cas
avec l'article 6 de la Loi pour la Confiance en l'Économie Numérique de 2004 et
le décret n°2011-219 du 25 février 2011) qui sont non seulement contraire à
l'arrêt Digital Rights Ireland[5] du 8 avril 2014 de la CJUE mais qui sont
également susceptibles d'entrer en conflit avec certaines technologies mises en
place par les fournisseurs de services tels que le chiffrement de bout en bout.
Ces dérogations extrêmement larges laissées aux États membres sont donc
incompatibles avec une exigence de sécurité et de confidentialité de nos
communications électroniques.
Cela peut expliquer que les lobbys de l'industrie du numérique, tels que
DIGITALEUROPE, s'opposent à l'élargissement du champ d'application du texte aux
OTT car, du fait de l'article 15.1, cela reviendrait à compromettre la capacité
de ces services à garantir la sécurité et la confidentialité des communications
grâce au chiffrement.
Il y a donc un réel besoin de questionner ces larges dérogations laissées aux
États membres pour des motifs aussi vastes que « sécurité nationale » et de
drastiquement réduire le champ de l'article 15.1. Pour cela, la mention faite à
la conservation des données doit être supprimée et il est indispensable de
préciser que toute mesure nationale de surveillance relevant de ces exceptions
devra être ciblée et effectuée sous le contrôle préalable d'une autorité
judiciaire.
Afin de renforcer l'affirmation du droit à la vie privée et de rassurer les
fournisseurs de services et les utilisateurs, La Quadrature du Net préconise
également l'introduction d'un article à part entière sur l'importance des
technologies de chiffrement. Celui-ci pourrait évoquer d'une part le rôle
essentiel du chiffrement pour la sécurité et la confidentialité des
communications électroniques et d'autre part rappeler aux fournisseurs de
services ainsi qu'aux États membres leurs responsabilités en matière de
promotion de ces techniques.
------------------------------------------------------------------------------
Argument n°6 : Vous allez tuer la compétitivité !!! [6[16]]
[image 7]
Cet argument, d'une banalité sans nom dans le jargon des lobbyistes de
l'industrie, sous-entend qu'interdire le développement de certaines pratiques
ou certaines technologies considérées comme intrusives pour la vie privée
désavantagerait l'Union européenne car les autres États ne disposent pas de
réglementations aussi contraignantes.
Sauf qu'aujourd'hui les utilisateurs prennent de plus en plus conscience de ce
que leurs données personnelles représentent pour eux et certains se tournent
vers de services plus respectueux de la vie privée. Inutile d'espérer être
compétitif en faisant la course aux modèles de trackings les plus intrusifs, il
faut relever le défi qui se présente et voir en une règlementation ambitieuse
et protectrice de la vie privée, l'incitation nécessaire à la fameuse
innovation tant recherchée.
Mais ce changement d'orientation et ce changement de modèle économique des
entreprises ne se fera pas grâce à la libre concurrence du marché. Sans une
règlementation forte et ambitieuse, les entreprises n'accepteront jamais de
risquer leurs profits immédiats. La révision de la directive ePrivacy est
l'occasion révée pour promouvoir ce tournant idéologique dont l'économie
numérique à tant besoin.
* 1.[17] “Building consumer trust by reducing regulatory complexity”. ETNO,
août 2016, page 15 :
https://etno.eu/datas/publications/studies/DPTS_Study_DLA_04082016_ePrivacy_Final.pdf[18]
* 2.[19] “DIGITALEUROPE therefore believes that the GDPR creates the ideal
scenario for the European Commission to achieve its stated objective”.
DIGITALEUROPE, octobre 2016, page 2 :
http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353[20]
* 3.[21] "DIGITALEUROPE does not believe that maintaining Article 5(3) is
necessary to achieve the high level protection of consumers privacy,
already guaranteed by the GDPR". DIGITALEUROPE, octobre 2016, page 5 :
http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353[20]
* 4.[22] “telecom providers are subject to the GDPR and the sector - specific
rules ofthe ePrivacy Directive as regards the processing of personal data
(notably location and traffic data ), whereas the – mainly US-based–
over-the-top players that are offering functionally equivalent services
(such as Whatsapp and Skype) are only subject to the GDPR,and not to the
ePrivacy Directive.” ETNO, août 2016, page 4 :
https://etno.eu/datas/publications/studies/DPTS_Study_DLA_04082016_ePrivacy_Final.pdf[18]
* 5.[23] "Lastly, we highlighted that an expansion of the ePD to cover OTT
services could undermine the very privacy it is seeking to protect. Many of
these services are engineered to applyt he best possible encryption
technology, but the ePD could have the absurd effect of undermining their
ability to guarantee the security and confidentially of the communication
through the use encryption due to the fact the Article 15 (1) allows Member
States to restrict this right." DIGITALEUROPE, juillet 2016 :
http://www.digitaleurope.org/Digital-Headlines/Story/newsID/501[24]
* 6.[25] « This would not only disproportionately interfere with the freedom
to conduct a business and the freedom of contract, but also undercut the
EU’s competitiveness in the data-driven and knowledge-based digital
economy. » DIGITALEUROPE, octobre 2016, page 7 :
http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353[20]
Liens:
[1]: http://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:32002L0058 (lien)
[2]: https://www.telefonica.com/en/web/public-policy/blog/article/-/blogs/joint-industry-statement-empowering-trust-and-innovation-by-repealing-the-e-privacy-directive (lien)
[3]: https://etno.eu/ (lien)
[4]: http://www.gsma.com/ (lien)
[5]: https://www.laquadrature.net/fr/href (lien)
[6]: https://www.laquadrature.net/fr/rss.xml#footnote1_kqlggaz (lien)
[7]: https://www.laquadrature.net/files/picard3.png (image)
[8]: https://www.laquadrature.net/fr/rss.xml#footnote2_hl8abxl (lien)
[9]: https://www.laquadrature.net/files/picard.png (image)
[10]: https://www.laquadrature.net/fr/rss.xml#footnote3_w9ifpzl (lien)
[11]: https://www.laquadrature.net/fr/src (image)
[12]: https://fr.wikipedia.org/wiki/Canvas_fingerprinting (lien)
[13]: https://www.laquadrature.net/fr/rss.xml#footnote4_nkcxokd (lien)
[14]: https://www.laquadrature.net/files/picard2FR.png (image)
[15]: https://www.laquadrature.net/fr/rss.xml#footnote5_keouu22 (lien)
[16]: https://www.laquadrature.net/fr/rss.xml#footnote6_32qadnb (lien)
[17]: https://www.laquadrature.net/fr/rss.xml#footnoteref1_kqlggaz (lien)
[18]: https://etno.eu/datas/publications/studies/DPTS_Study_DLA_04082016_ePrivacy_Final.pdf (lien)
[19]: https://www.laquadrature.net/fr/rss.xml#footnoteref2_hl8abxl (lien)
[20]: http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353 (lien)
[21]: https://www.laquadrature.net/fr/rss.xml#footnoteref3_w9ifpzl (lien)
[22]: https://www.laquadrature.net/fr/rss.xml#footnoteref4_nkcxokd (lien)
[23]: https://www.laquadrature.net/fr/rss.xml#footnoteref5_keouu22 (lien)
[24]: http://www.digitaleurope.org/Digital-Headlines/Story/newsID/501 (lien)
[25]: https://www.laquadrature.net/fr/rss.xml#footnoteref6_32qadnb (lien)
|