path: root/ePrivacy_dcoder_les_contrevrits_des_lobbys_.txt

Titre: ePrivacy: décoder les contre-vérités des lobbys 
Auteur: neurone648
Date: Thu 08 Dec 2016 16:38:10 +0100
Lien: https://www.laquadrature.net/fr/ePrivacy-decoder-les-contre-verites-des-lobbys%20

Paris, 8 décembre 2016 — La révision de la directive européenne ePrivacy[1] sur
la confidentialité des communications électroniques ne fait pas encore grand 
bruit mais cela ne signifie pas que le travail d'influence et la lutte des 
intérêts n'ont pas commencé. Au contraire, la proposition de texte de la 
Commission européenne étant prévue pour être publiée en janvier 2017, les 
groupes d'intérêts se pressent aux portes de l'exécutif européen pour tenter de
mettre leur grain de sel dans le futur texte.

Pour deviner la teneur des discussions qui se déroulent en haut lieu, il suffit
de lire les lettres ouvertes, les position papers et autres déclarations 
communes[2] des ETNO[3], GSMA[4], DIGITALEUROPE[5] et autres lobbys de 
l'industrie du numérique et des télécoms : tous appellent à l'abrogation pure 
et simple de la directive.

De la même façon que lors des négociations du règlement général sur la 
protection des données (RGDP), marteler nos arguments n'est pas suffisant face 
à la force de frappe et aux moyens de l'industrie, il nous faut donc passer en 
revue leurs arguments fallacieux et les examiner un par un. 

Argument n°1 : La directive ePrivacy rajoute de la complexité juridique et 
légale alors même qu'il faudrait « restaurer la confiance des utilisateurs en 
réduisant la complexité règlementaire » [1[6]]

[image 7]

Nous avons ici affaire à la magie de l'argument de la « rationalisation ». 
Cette logique sous-tend que l'environnement règlementaire est une trop grande 
contrainte pour les entreprises et qu'il faudrait donc le simplifier. Mais 
rappelons que « simplifier » ne doit jamais revenir à affaiblir », et encore 
moins à « supprimer » des garanties pour les utilisateurs. 

D'autre part, cette contrainte est nécessaire afin d'encadrer les pratiques des
entreprises pour qui nos données personnelles représentent une mine d'or et 
sont souvent la base de leur modèle économique. Le « laisser-faire » et « 
l'auto-régulation », toujours pronés par l'industrie, sont des leurres qui 
n'ont jamais apporté plus de protection et de confidentialité aux individus. La
règlementation est là pour que les fournisseurs de services et autres acteurs 
respectent des règles basiques en matières de sécurité, de confidentialité et 
de vie privée. Partout où il n'y a pas de régulation claire, leurs pratiques 
tendent à une plus grande exploitation de notre vie privée à des fins 
lucratives. De même, les utilisateurs doivent pouvoir savoir globalement 
quelles sont leurs garanties et leurs droits : en utilisant chaque jour des 
dizaines de services différents, il est absolument nécessaire d'avoir une base 
commune de garanties qui permette à l'utilisateur de savoir à quoi il peut 
s'attendre. 
 ------------------------------------------------------------------------------ 

Argument n°2 : La directive ePrivacy est rendue caduque par le nouveau 
Règlement Général sur la Protection des Données Personnelles. [2[8]]

[image 9]

Voilà l'argument principal de l'indutrie : le nouveau règlement couvrirait déjà
presque intégralement toutes les dispositions de la directive ePrivacy et 
celle-ci serait donc devenue inutile. 

Pour rappel la directive ePrivacy est destinée à protéger la vie privée et la 
confidentialité des données dans le secteur des communications électroniques. 
C'est à dire qu'elle s'attache principalement aux communications du type 
messageries instantanées, SMS, communications par VoIP telles que Skype, 
emails, téléphonie, etc., pour lesquelles elle va fixer des obligations en 
matière de sécurité et de confidentialité pour les fournisseurs de services. Le
Règlement général sur la protection des données adopté en avril 2016 et qui 
entrera en application en mai 2018 s'occupe, pour sa part, d'assurer la 
protection des données personnelles de chaque individu lors de l'utilisation de
ces données par des entreprises privées autant que par des autorités publiques.
Les dévelopements technologiques récents font que la majorité de la circulation
et des transferts de ces données personnelles se passe sur internet via les 
nombreux sites et plateformes auxquels nous nous connectons.
Les deux textes ne sont donc pas équivalents : l'un (le Règlement) s'attache à 
des données personnelles qui sont produites par notre utilisation des services,
l'autre (la directive ePrivacy) se concentre sur le respect de la vie privée et
la confidentialité dans nos échanges avec d'autres correspondants.

L'adoption du nouveau règlement en avril 2016 ne rend donc en rien l'existence 
de la directive ePrivacy inutile. En effet il ne couvre pas directement 
certains droits fondamentaux comme le droit à la liberté de communication, le 
droit à la vie privée. D'autre part, la directive ePrivacy couvre des sujets 
qui vont au delà des données personnelles et qui ne sont donc pas couverts par 
le Règlement. C'est le cas par exemple des communications non sollicitées, 
telles que les spams ou la prospection directe. 

Parce qu'elles sont omniprésentes dans notre quotidien et parce que les 
informations qu'elles véhiculent sont d'une grande valeur, les communications 
électroniques requièrent un régime de confidentialité et de sécurité spécifique
qui soit le plus protecteur possible. La révision de la directive est une 
formidable opportunité de renforcer cette protection et ce tout en restant 
parfaitement cohérent avec la législation générale inscrite dans le futur 
Règlement. 
 ------------------------------------------------------------------------------ 

Argument n°3 : La protection de la vie privée des utilisateurs est déjà 
garantie par le Règlement, il n'est donc pas nécessaire de conserver l'article 
5.3 sur la confidentialité relative à votre appareil. [3[10]]

[image 11]

La directive ePrivacy fut amendée en 2009 et un 3ème alinéa sur la 
confidentialité de « l'appareil terminal » ajouté (donc de votre téléphone - 
intelligent ou non - ou de votre ordinateur) . Celui-ci encadre le « stockage 
d'informations » et « l'accès à des informations déjà stockées sur l'appareil 
terminal » (comme par exemple les cookies), en les soumettant au consentement 
de l'utilisateur. 

Il est aujourd'hui mal mis en oeuvre par les fournisseurs de services qui 
rendent le consentement non seulement obligatoire pour accéder à un service (ce
qui supprime la nature « libre » du consentement ; il est indispensable de 
banir cette pratique) mais également non éclairé car noyé dans une quantité 
incompréhensible d'informations. En cela, l'article 5.3 a certes échoué à 
redonner le contrôle de ses données à l'utilisateur mais il reste un outil non 
seulement essentiel pour limiter les effets du tracking sur internet mais 
également unique car rien de semblable n'existe dans le Règlement général. 

Cet article sur la confidentialité et l'intégrité de l'appareil terminal est 
donc à reformuler afin d'améliorer sa mise en oeuvre mais il doit également 
être élargi pour y faire rentrer les cas où l'appareil produit des informations
par défaut, comme par exemple le tracking par fingerprint[12].

En somme, la protection de la vie privée passant également pas la 
confidentialité et l'intégrité de l'appareil de l'utilisateur, cet article est 
donc essentiel mais peut être rendu plus actuel et plus efficace en élargissant
son contenu et en renforçant les garanties pour l'utilisateur (c'est bien cela 
dont les industries ne veulent pas). 
 ------------------------------------------------------------------------------ 

Argument n°4 : Tous les services ne sont pas couverts par la directive. Or, 
selon les opérateurs télécoms : Il faut construire une situation équitable afin
qu'ils ne soient désavantagés face aux méchants américains. [4[13]]

[image 14]

Il est vrai que certains services, aujourd'hui omniprésents comme les 
fournisseurs de services de messagerie en ligne tels que Whatsapp, Signal, 
Viber (appelés aussi « OTT » : services over-the-top) n'existaient pas lorsque 
la directive ePrivacy fut adoptée en 2002 et ne sont pas soumis aux obligations
en matière de sécurité et de confidentialité exigées par la directive ePrivacy.

Sur cette question, les opérateurs télécoms et les lobbys de l'industrie 
numérique ont développé une opposition de façade. Lorsque les opérateurs 
dénoncent une injustice face à ces nouveaux services en ligne, ceux-ci 
rétorquent qu'ils sont déjà couverts par le règlement général. En réalité, loin
de s'opposer, tous tendent vers une conclusion commune : la nécessaire 
abrogation de la directive. Belle manœuvre de leur part mais finalement assez 
vaine puisque cette question du champ d'application de la directive devrait 
être réglée en amont par le nouveau code européen en matière de communications 
électroniques[5], actuellement débattu au parlement européen. Celui-ci prévoit 
de modifier la définition de « service de communications électroniques » pour y
intégrer les nouveaux acteurs comme les services de messagerie en ligne.

Les obligations en matière de sécurité et de confidentialité doivent 
s'appliquer à tous les fournisseurs de services et ce de manière équivalente. 
Une égalité de traitement entre opérateurs, nouveaux services en ligne et 
futurs services à venir est nécessaire afin de pouvoir développer des règles 
plus ambitieuses pour la confidentialité et la sécurité de nos communications 
électroniques. 
 ------------------------------------------------------------------------------ 

Argument n°5 : Les dérogations relatives à la sécurité nationale laissées aux 
États membres sont trop larges et mettraient en danger certaines pratiques des 
fournisseurs de services, comme la fourniture de services de messagerie 
chiffrés de bout en bout. [5[15]]

[image 14]

Les États membres ont en effet grâce à l'article 15.1 de la directive ePrivacy 
la possibilité de déroger aux exigences prévues par la directive en matière de 
sécurité et de confidentialité pour des motifs de sécurité nationale, de 
défense et de sécurité publique. Ils peuvent ainsi adopter des mesures 
prévoyant, par exemple, la conservation des données (en France, c'est le cas 
avec l'article 6 de la Loi pour la Confiance en l'Économie Numérique de 2004 et
le décret n°2011-219 du 25 février 2011) qui sont non seulement contraire à 
l'arrêt Digital Rights Ireland[5] du 8 avril 2014 de la CJUE mais qui sont 
également susceptibles d'entrer en conflit avec certaines technologies mises en
place par les fournisseurs de services tels que le chiffrement de bout en bout.
Ces dérogations extrêmement larges laissées aux États membres sont donc 
incompatibles avec une exigence de sécurité et de confidentialité de nos 
communications électroniques. 

Cela peut expliquer que les lobbys de l'industrie du numérique, tels que 
DIGITALEUROPE, s'opposent à l'élargissement du champ d'application du texte aux
OTT car, du fait de l'article 15.1, cela reviendrait à compromettre la capacité
de ces services à garantir la sécurité et la confidentialité des communications
grâce au chiffrement. 

Il y a donc un réel besoin de questionner ces larges dérogations laissées aux 
États membres pour des motifs aussi vastes que « sécurité nationale » et de 
drastiquement réduire le champ de l'article 15.1. Pour cela, la mention faite à
la conservation des données doit être supprimée et il est indispensable de 
préciser que toute mesure nationale de surveillance relevant de ces exceptions 
devra être ciblée et effectuée sous le contrôle préalable d'une autorité 
judiciaire.
Afin de renforcer l'affirmation du droit à la vie privée et de rassurer les 
fournisseurs de services et les utilisateurs, La Quadrature du Net préconise 
également l'introduction d'un article à part entière sur l'importance des 
technologies de chiffrement. Celui-ci pourrait évoquer d'une part le rôle 
essentiel du chiffrement pour la sécurité et la confidentialité des 
communications électroniques et d'autre part rappeler aux fournisseurs de 
services ainsi qu'aux États membres leurs responsabilités en matière de 
promotion de ces techniques. 
 ------------------------------------------------------------------------------ 

Argument n°6 : Vous allez tuer la compétitivité !!! [6[16]]

[image 7]

Cet argument, d'une banalité sans nom dans le jargon des lobbyistes de 
l'industrie, sous-entend qu'interdire le développement de certaines pratiques 
ou certaines technologies considérées comme intrusives pour la vie privée 
désavantagerait l'Union européenne car les autres États ne disposent pas de 
réglementations aussi contraignantes. 

Sauf qu'aujourd'hui les utilisateurs prennent de plus en plus conscience de ce 
que leurs données personnelles représentent pour eux et certains se tournent 
vers de services plus respectueux de la vie privée. Inutile d'espérer être 
compétitif en faisant la course aux modèles de trackings les plus intrusifs, il
faut relever le défi qui se présente et voir en une règlementation ambitieuse 
et protectrice de la vie privée, l'incitation nécessaire à la fameuse 
innovation tant recherchée. 

Mais ce changement d'orientation et ce changement de modèle économique des 
entreprises ne se fera pas grâce à la libre concurrence du marché. Sans une 
règlementation forte et ambitieuse, les entreprises n'accepteront jamais de 
risquer leurs profits immédiats. La révision de la directive ePrivacy est 
l'occasion révée pour promouvoir ce tournant idéologique dont l'économie 
numérique à tant besoin.

  * 1.[17] “Building consumer trust by reducing regulatory complexity”. ETNO, 
    août 2016, page 15 : 
    https://etno.eu/datas/publications/studies/DPTS_Study_DLA_04082016_ePrivacy_Final.pdf[18]
  * 2.[19] “DIGITALEUROPE therefore believes that the GDPR creates the ideal 
    scenario for the European Commission to achieve its stated objective”. 
    DIGITALEUROPE, octobre 2016, page 2 : 
    http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353[20]
  * 3.[21] "DIGITALEUROPE does not believe that maintaining Article 5(3) is 
    necessary to achieve the high level protection of consumers privacy, 
    already guaranteed by the GDPR". DIGITALEUROPE, octobre 2016, page 5 : 
    http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353[20]
  * 4.[22] “telecom providers are subject to the GDPR and the sector - specific
    rules ofthe ePrivacy Directive as regards the processing of personal data 
    (notably location and traffic data ), whereas the – mainly US-based– 
    over-the-top players that are offering functionally equivalent services 
    (such as Whatsapp and Skype) are only subject to the GDPR,and not to the 
    ePrivacy Directive.” ETNO, août 2016, page 4 : 
    https://etno.eu/datas/publications/studies/DPTS_Study_DLA_04082016_ePrivacy_Final.pdf[18]
  * 5.[23] "Lastly, we highlighted that an expansion of the ePD to cover OTT 
    services could undermine the very privacy it is seeking to protect. Many of
    these services are engineered to applyt he best possible encryption 
    technology, but the ePD could have the absurd effect of undermining their 
    ability to guarantee the security and confidentially of the communication 
    through the use encryption due to the fact the Article 15 (1) allows Member
    States to restrict this right." DIGITALEUROPE, juillet 2016 : 
    http://www.digitaleurope.org/Digital-Headlines/Story/newsID/501[24]
  * 6.[25] « This would not only disproportionately interfere with the freedom 
    to conduct a business and the freedom of contract, but also undercut the 
    EU’s competitiveness in the data-driven and knowledge-based digital 
    economy. » DIGITALEUROPE, octobre 2016, page 7 : 
    http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353[20]


Liens:
[1]: http://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:32002L0058 (lien)
[2]: https://www.telefonica.com/en/web/public-policy/blog/article/-/blogs/joint-industry-statement-empowering-trust-and-innovation-by-repealing-the-e-privacy-directive (lien)
[3]: https://etno.eu/ (lien)
[4]: http://www.gsma.com/ (lien)
[5]: https://www.laquadrature.net/fr/href (lien)
[6]: https://www.laquadrature.net/fr/rss.xml#footnote1_kqlggaz (lien)
[7]: https://www.laquadrature.net/files/picard3.png (image)
[8]: https://www.laquadrature.net/fr/rss.xml#footnote2_hl8abxl (lien)
[9]: https://www.laquadrature.net/files/picard.png (image)
[10]: https://www.laquadrature.net/fr/rss.xml#footnote3_w9ifpzl (lien)
[11]: https://www.laquadrature.net/fr/src (image)
[12]: https://fr.wikipedia.org/wiki/Canvas_fingerprinting (lien)
[13]: https://www.laquadrature.net/fr/rss.xml#footnote4_nkcxokd (lien)
[14]: https://www.laquadrature.net/files/picard2FR.png (image)
[15]: https://www.laquadrature.net/fr/rss.xml#footnote5_keouu22 (lien)
[16]: https://www.laquadrature.net/fr/rss.xml#footnote6_32qadnb (lien)
[17]: https://www.laquadrature.net/fr/rss.xml#footnoteref1_kqlggaz (lien)
[18]: https://etno.eu/datas/publications/studies/DPTS_Study_DLA_04082016_ePrivacy_Final.pdf (lien)
[19]: https://www.laquadrature.net/fr/rss.xml#footnoteref2_hl8abxl (lien)
[20]: http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2306&language=en-US&PortalId=0&TabId=353 (lien)
[21]: https://www.laquadrature.net/fr/rss.xml#footnoteref3_w9ifpzl (lien)
[22]: https://www.laquadrature.net/fr/rss.xml#footnoteref4_nkcxokd (lien)
[23]: https://www.laquadrature.net/fr/rss.xml#footnoteref5_keouu22 (lien)
[24]: http://www.digitaleurope.org/Digital-Headlines/Story/newsID/501 (lien)
[25]: https://www.laquadrature.net/fr/rss.xml#footnoteref6_32qadnb (lien)