{"id":4757,"date":"2017-08-20T14:17:21","date_gmt":"2017-08-20T12:17:21","guid":{"rendered":"https:\/\/fedil.lu\/?post_type=position&p=4757\/"},"modified":"2021-12-29T10:41:10","modified_gmt":"2021-12-29T09:41:10","slug":"avis-de-la-fedil-eprivacy","status":"publish","type":"position","link":"https:\/\/fedil.lu\/fr\/positions\/avis-de-la-fedil-eprivacy\/","title":{"rendered":"Avis de la FEDIL – ePrivacy"},"content":{"rendered":"

Position qui constitue l\u2019avis des membres FEDIL-ICT relatif \u00e0 la \u00ab proposition de r\u00e8glement du Parlement europ\u00e9en et du Conseil concernant le respect de la vie priv\u00e9e et la protection des donn\u00e9es \u00e0 caract\u00e8re personnel dans les communications \u00e9lectroniques et abrogeant la directive 2002\/58\/CE (r\u00e8glement \u00ab vie priv\u00e9e et communications \u00e9lectroniques \u00bb) \u00bb publi\u00e9e par le 10 janvier 2017.<\/strong><\/p>\n

Commentaires g\u00e9n\u00e9raux<\/u><\/em><\/strong><\/h1>\n

FEDIL-ICT accueille favorablement la proposition de la Commission europ\u00e9enne quant \u00e0 la r\u00e9vision de la directive \u00ab vie priv\u00e9e et communications \u00e9lectroniques \u00bb (2002\/58\/CE) qui vise, entre autres, \u00e0 garantir un niveau \u00e9lev\u00e9 de protection de la vie priv\u00e9e aux utilisateurs de services de communications \u00e9lectroniques mais \u00e9galement la confidentialit\u00e9 des informations \u00e9chang\u00e9es par voie \u00e9lectronique et ainsi renforcer la confiance des consommateurs dans ces services au niveau europ\u00e9en afin de promouvoir le d\u00e9veloppement d\u2019un v\u00e9ritable march\u00e9 int\u00e9rieur des communications \u00e9lectroniques dans l\u2019Union et ainsi renforcer la comp\u00e9titivit\u00e9 europ\u00e9enne.<\/p>\n

Nous comprenons \u00e9galement l\u2019objectif de la Commission de compl\u00e9ter le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD) par de nouvelles dispositions relatives aux communications \u00e9lectroniques qui ne sont pas couvertes par ce dernier. Il nous semble, en effet, n\u00e9cessaire de pr\u00e9ciser les droits et les obligations des fournisseurs de r\u00e9seaux et de services de communications \u00e9lectroniques notamment quant au traitement des donn\u00e9es, des m\u00e9tadonn\u00e9es et des contenus d\u00e9riv\u00e9s des communications \u00e9lectroniques.<\/p>\n

De plus, nous soutenons fermement la nature lex specialis<\/em> de la proposition et sa coh\u00e9rence avec le RGPD, ainsi que l\u2019entr\u00e9e en vigueur, \u00e0 la m\u00eame date, des deux r\u00e8glementations, cela va consid\u00e9rablement faciliter la transition vers le nouveau cadre en mati\u00e8re de protection des donn\u00e9es pour les entreprises dans le domaine des communications \u00e9lectroniques. Une telle proposition d\u2019\u00e9ch\u00e9ancier devrait \u00e9viter tout recoupement et incoh\u00e9rence entre le RGPD et l\u2019actuel r\u00e9gime ePrivacy.<\/p>\n

Commentaires sp\u00e9cifiques<\/u><\/em><\/strong><\/h1>\n

1. Extension du champ d\u2019application (article 4 (1))<\/h2>\n

L\u2019utilisation par les consommateurs et les entreprises des nouveaux services Internet permettant des communications interpersonnelles telles que la voix sur IP, la messagerie instantan\u00e9e et les services de courrier \u00e9lectronique bas\u00e9s sur le Web au lieu des services de communication traditionnels se d\u00e9mocratise alors qu\u2019ils ne sont, en g\u00e9n\u00e9ral, pas assujettis au cadre r\u00e9glementaire actuel de l’Union europ\u00e9enne en mati\u00e8re de communications \u00e9lectroniques. D\u00e8s lors, il est n\u00e9cessaire de soumettre ces services de communication par contournement (\u00ab OTT \u00bb) \u00e0 une r\u00e9glementation harmonis\u00e9e au niveau europ\u00e9en afin de renforcer la confiance des consommateurs dans ces services. En cons\u00e9quence, nous supportons la proposition de la Commission d\u2019\u00e9tendre le champ d\u2019application de du r\u00e8glement ePrivacy en mettant en place un certain nombre de dispositions et d\u2019obligations qui s\u2019adressent aux \u00ab OTT \u00bb afin d\u2019instaurer des conditions de concurrence \u00e9quitables (level playing field) pour tous les acteurs \u00e9conomiques proposant des services de communications \u00e9lectroniques \u00e9quivalents. Cela permettra, par ailleurs, d\u2019apporter une s\u00e9curit\u00e9 juridique quant \u00e0 la qualification des infractions commises via ces supports de communications \u00e9lectroniques qui n\u2019\u00e9taient jusqu\u2019alors pas soumis aux moyens d\u2019enqu\u00eates notamment.<\/p>\n

N\u00e9anmoins, nous remettons en question l\u2019utilisation des d\u00e9finitions de l\u2019article 2 points 1), 4), 5), 6), 7), 14), et 21) de la \u00ab Proposition de directive \u00e9tablissant le code des communications \u00e9lectroniques europ\u00e9en \u00bb dans l\u2019article 4 (1) b. En effet, cette proposition a \u00e9t\u00e9 adopt\u00e9e par la Commission europ\u00e9enne le 14 septembre 2016 et se trouve actuellement en processus l\u00e9gislatif au sein de la Commission Industrie, recherche et \u00e9nergie du Parlement europ\u00e9en. Ce texte n\u2019ayant donc pas \u00e9t\u00e9 vot\u00e9 et de nombreuses propositions d\u2019amendements ayant \u00e9t\u00e9 d\u00e9pos\u00e9es, il est, d\u00e8s lors, fort probable que les d\u00e9finitions soient r\u00e9vis\u00e9es. C\u2019est pourquoi, nous demandons \u00e0 la Commission de revoir le texte et de proposer des d\u00e9finitions propres au r\u00e8glement ePrivacy.<\/p>\n

2. Rationalisation et simplification des r\u00e8gles en termes d\u2019utilisation des cookies<\/h2>\n

FEDIL-ICT souhaite ici soulever la question de l\u2019obtention du consentement dans le cas de l\u2019acceptation des cookies tiers tel que cela est stipul\u00e9 dans l\u2019article 8 (1) b. L\u2019article 9 (2) pr\u00e9cise simplement \u00ab si cela est techniquement possible et r\u00e9alisable, aux fins de l\u2019article 8, paragraphe 1, le consentement peut \u00eatre exprim\u00e9 \u00e0 l\u2019aide des param\u00e8tres techniques appropri\u00e9s d\u2019une application logicielle permettant d\u2019acc\u00e9der \u00e0 Internet.<\/em> \u00bb. Cette formulation propos\u00e9e par la Commission nous parait relativement floue et ne r\u00e9sout pas les questions, d\u2019une part, du moyen d\u2019obtenir le consentement et d\u2019autre part, des possibilit\u00e9s de tra\u00e7abilit\u00e9 de ce consentement.<\/p>\n

En effet, pour \u00eatre conforme au RGPD, le responsable du traitement doit \u00eatre en mesure de prouver l\u2019obtention d\u2019un consentement \u00ab libre, sp\u00e9cifique, \u00e9clair\u00e9 et univoque \u00bb (article 4 (11) du RGPD). Or, lors de l\u2019installation des cookies tiers et des param\u00e8tres de confidentialit\u00e9, le responsable du traitement ne re\u00e7oit aucune information en provenance, par exemple, du moteur de recherche ou du site internet, sur les cookies qui ont \u00e9t\u00e9 accept\u00e9s ou non. Comment peut-il alors prouver que le consentement a \u00e9t\u00e9 donn\u00e9 pour la fourniture de l\u2019un ou l\u2019autre service ? Il nous parait l\u00e9gitime de demander \u00e0 la Commission de proposer des lignes directrices afin de pr\u00e9ciser les moyens techniques \u00e0 mettre en \u0153uvre pour assurer la tra\u00e7abilit\u00e9 du consentement permettant ainsi au responsable du traitement de remplir ses obligations l\u00e9gales et r\u00e9glementaires.<\/p>\n

De plus, lors de l\u2019installation des cookies tiers et des param\u00e8tres de confidentialit\u00e9, l\u2019exigence du consentement offre aux utilisateurs finaux l\u2019option de rejeter tous les cookies tiers alors qu\u2019aucun consentement n\u2019est requis pour les cookies propri\u00e9taires qui n\u2019entravent pas la vie priv\u00e9e. En effet, la proposition de r\u00e8glement indique dans l\u2019article 10 (1) et (2) que les logiciels offrent l\u2019option de rejeter tous les cookies tiers. Si une part importante d\u2019utilisateurs finaux opte pour rejeter ces cookies tiers, les petites et moyennes entreprises europ\u00e9ennes de l\u2019Internet, qui s\u2019appuient sur la publicit\u00e9 comportementale en ligne, seront impact\u00e9es de mani\u00e8re significative par rapport aux g\u00e9ants de l\u2019Internet qui peuvent fonctionner ind\u00e9pendamment des cookies tiers. Nous encourageons donc la Commission \u00e0 maintenir les dispositions actuelles en vertu de la directive \u00ab vie priv\u00e9e et communications \u00e9lectroniques \u00bb.<\/p>\n

3. Annuaires accessibles au public<\/h2>\n

Les paragraphes 1 et 3 de l\u2019article 15 introduisent une distinction entre les utilisateurs finaux qui sont soit des personnes physiques soit des personnes morales au regard de leur inclusion dans les annuaires accessibles au public. Cette distinction concerne principalement le consentement. En effet, les utilisateurs finaux qui sont des personnes physiques devront donner leur consentement explicite pour voir leurs informations r\u00e9pertori\u00e9es (opt-in) alors que les utilisateurs finaux qui sont des personnes morales verront leurs donn\u00e9es syst\u00e9matiquement publi\u00e9es sauf s\u2019ils \u00e9mettent une opposition formelle aupr\u00e8s du fournisseur d\u2019annuaire accessible au public (opt-out). Nous comprenons la volont\u00e9 de la Commission de renforcer la protection des utilisateurs finaux qui sont des personnes physiques. N\u00e9anmoins, certaines professions, telles que les avocats, b\u00e9n\u00e9ficient du statut d\u2019ind\u00e9pendant. Ces professionnels s\u2019enregistrent aupr\u00e8s du registre du commerce et des soci\u00e9t\u00e9s en leur nom propre. Seront-ils consid\u00e9r\u00e9s comme personnes physiques ou comme personnes morales ? Nous demandons \u00e0 la Commission d\u2019apporter des clarifications quant \u00e0 la cat\u00e9gorisation de ce type de professions.<\/p>\n

Par ailleurs, dans le cas des utilisateurs finaux qui sont des personnes morales, les fournisseurs d\u2019annuaires accessibles au public publient les informations g\u00e9n\u00e9rales de la soci\u00e9t\u00e9 telles que l\u2019adresse ou le num\u00e9ro de t\u00e9l\u00e9phone mais ils publient \u00e9galement les coordonn\u00e9es des dirigeants de ces soci\u00e9t\u00e9s. Nous comprenons que, d\u2019apr\u00e8s l\u2019article 15 (2), les fournisseurs d\u2019annuaires accessibles au public devront demander le consentement de ces dirigeants pour \u00eatre autoris\u00e9s \u00e0 les publier conjointement avec les informations de la soci\u00e9t\u00e9. Nous serions reconnaissants si la Commission pouvait confirmer notre compr\u00e9hension.<\/p>\n

De plus, de nombreux annuaires historiques accessibles au public qui b\u00e9n\u00e9ficient d\u2019un statut particulier, sont disponibles dans les \u00c9tats Membres. C\u2019est le cas, par exemple, de l\u2019annuaire g\u00e9r\u00e9 par Editus Luxembourg S.A. D\u2019apr\u00e8s notre compr\u00e9hension, pour \u00eatre conforme \u00e0 la proposition de la Commission, les fournisseurs d\u2019annuaires accessibles au public devront demander a posteriori le consentement de chacun de leurs clients qui sont des personnes physiques y figurant d\u00e9j\u00e0, ce qui repr\u00e9sente une charge de travail consid\u00e9rable. Au regard du statut sp\u00e9cial de ces annuaires historiques, nous demandons \u00e0 la Commission de pr\u00e9voir une d\u00e9rogation particuli\u00e8re permettant aux fournisseurs de ces annuaires de ne pas avoir \u00e0 demander le consentement de tous les utilisateurs finaux qui sont des personnes physiques figurant dans ces annuaires, mais plut\u00f4t de les informer que leurs donn\u00e9es personnelles sont publi\u00e9es dans ces annuaires et de leur permettre de demander le retrait de l\u2019annuaire (par le m\u00e9canisme de l\u2019opt-out).<\/p>\n

4. Protection contre les spams et les actes de phishing<\/h2>\n

D\u2019apr\u00e8s le consid\u00e9rant 19, l\u2019article 6 (3) b. de la proposition de r\u00e8glement, et sa lecture conjointe avec l\u2019article 36, point 2 et 3 du RGPD, impose des obligations drastiques aux fournisseurs et op\u00e9rateurs de communications \u00e9lectroniques pratiquement impossibles \u00e0 remplir pour pouvoir traiter le contenu des communications \u00e9lectroniques en transit avec le consentement \u00e9clair\u00e9 de tous les utilisateurs finaux concern\u00e9s. En effet, les attaques par emails \u00ab phishing \u00bb et \u00ab spam \u00bb ou SMS ont d\u00e9j\u00e0 fait trop de victimes, les consommateurs n\u2019ayant pas \u00e9t\u00e9 suffisamment sensibilis\u00e9s aux risques li\u00e9s \u00e0 ces attaques. Ces emails \u00ab phishing \u00bb et \u00ab spam \u00bb ou SMS surchargent le r\u00e9seau de communications \u00e9lectroniques et contiennent tr\u00e8s souvent un num\u00e9ro surtax\u00e9 \u00e0 rappeler ou un lien malicieux pour compromettre les t\u00e9l\u00e9phones mobiles et les appareils et lancer des attaques depuis ces appareils. Il nous semble d\u00e8s lors pertinent que les fournisseurs de services de communications \u00e9lectroniques aient la possibilit\u00e9 d\u2019analyser ces messages, de les mettre en quarantaine et d\u2019informer les utilisateurs finaux du statut particuliers de ces emails ou SMS. Il reste, cependant, de la responsabilit\u00e9 des utilisateurs finaux de valider le statut de ces communications \u00e9lectroniques. Pour ce faire, FEDIL-ICT plaide pour une d\u00e9marche volontaire de la part des utilisateurs finaux leur permettant de souscrire \u00e0 un service de \u00ab screening \u00bb du contenu de leurs communications \u00e9lectroniques afin de d\u00e9terminer s\u2019il s\u2019agit de \u00ab phishing \u00bb ou de \u00ab spam \u00bb. Il est \u00e9vident que cela n\u00e9cessitera l\u2019acc\u00e8s, par les fournisseurs de services de communications \u00e9lectroniques, \u00e0 la messagerie des utilisateurs finaux mais \u00e9galement au contenu de leurs communications \u00e9lectroniques. Suivant le texte actuel, les fournisseurs de services de communications \u00e9lectroniques devront obtenir le consentement de tous<\/u> les utilisateurs finaux en bonne et due forme conform\u00e9ment \u00e0 la d\u00e9finition de l\u2019article 9 (1) du RGPD. De plus, les fournisseurs devront consulter l\u2019autorit\u00e9 de contr\u00f4le au pr\u00e9alable lors du traitement de ce type de donn\u00e9es suivant les dispositions de l\u2019article 36 du RGPD.<\/p>\n

FEDIL-ICT souhaite ici proposer une alternative \u00e0 la proposition actuelle : un syst\u00e8me de screening d\u00e9butant par une surveillance globale sans reconnaissance aucune d\u2019un destinataire ou toute analyse du contenu, ne n\u00e9cessitant de ce fait pas le consentement des utilisateurs finaux. Par la suite, l\u2019impl\u00e9mentation d\u2019une logique suivant la configuration d\u2019un arbre de d\u00e9cision conduira le syst\u00e8me \u00e0 d\u00e9clencher les op\u00e9rations permettant le blocage des emails ou SMS suspect\u00e9s en derni\u00e8re \u00e9tape.  C\u2019est avec la r\u00e9alisation de diff\u00e9rentes \u00e9tapes que des indices sur une activit\u00e9 pr\u00e9judiciable pour les utilisateurs finaux, et donc pour les op\u00e9rateurs eux-m\u00eames, sont d\u00e9couverts. Gr\u00e2ce aux indices en r\u00e9sultant, une activit\u00e9 anormalement \u00e9lev\u00e9e provenant d\u2019un seul et m\u00eame num\u00e9ro ou origine est d\u00e9cel\u00e9e et des mesures compl\u00e9mentaires de contr\u00f4le appropri\u00e9es seraient prises pour passer \u00e0 des stades de surveillance plus individualis\u00e9s. Ce ne serait qu\u2019au dernier stade indiquant que des envois sont malveillants, en g\u00e9n\u00e9ral, en raison du nombre extr\u00eamement important envoy\u00e9, qui ne peut \u00eatre que l\u2019\u0153uvre d\u2019une machine, que le contenu des communications \u00e9lectroniques est v\u00e9rifi\u00e9 pour \u00e9viter toute erreur. Si les emails ou SMS sont confirm\u00e9s comme \u00e9tant malveillants, l\u2019exp\u00e9diteur sera bloqu\u00e9 pour \u00e9viter un \u00e9talement de l\u2019impact \u00e0 l\u2019ensemble des clients avec transmission d\u2019un communiqu\u00e9 \u00e0 la client\u00e8le via le site web de l\u2019op\u00e9rateur ou du fournisseur de services ou par un autre canal.
\nFEDIL-ICT prie la Commission de bien vouloir prendre sa proposition en consid\u00e9ration et d\u2019apporter les modifications n\u00e9cessaires au texte permettant aux fournisseurs de services de communications \u00e9lectroniques de proc\u00e9der tel que d\u00e9crit ci-dessus.<\/p>\n

5. Consentement<\/h2>\n

Nous nous permettons de revenir sur la possibilit\u00e9 pour les utilisateurs finaux de retirer leur consentement \u00e0 tout moment conform\u00e9ment \u00e0 l\u2019article 7 (3). L\u2019article 9 (3) pr\u00e9cise que cette possibilit\u00e9 doit leur \u00eatre rappel\u00e9e tous les six mois. Or, que ce soit dans le cas d\u2019utilisateurs finaux qui sont soit des personnes physiques soit des personnes morales, si ceux-ci sont li\u00e9s aux fournisseurs de services de communications \u00e9lectroniques par un contrat qui court sur une certaine dur\u00e9e, qu\u2019advient-il de ce contrat lorsque les utilisateurs finaux souhaitent retirer leur consentement ?<\/p>\n

Les clauses contractuelles r\u00e9gissent, en effet, la relation entre les utilisateurs finaux et les fournisseurs de services de communications \u00e9lectroniques pour une dur\u00e9e d\u00e9finie au pr\u00e9alable dans ce contrat. Nous estimons que le droit de retrait du consentement ne doit pas se faire au pr\u00e9judice de la r\u00e9alisation contractuelle de ce qui est d\u00fb initialement. Nous demandons \u00e0 la Commission de pr\u00e9ciser qu\u2019un contrat \u00e9tabli pour une dur\u00e9e d\u00e9termin\u00e9e entre les utilisateurs finaux et les fournisseurs de services de communications \u00e9lectroniques ne puisse pas \u00eatre rompu pour la cause de retrait du consentement tel que stipul\u00e9 \u00e0 l\u2019article 9 (3). Il sera alors toujours n\u00e9cessaire pour les fournisseurs de services de communications \u00e9lectroniques d\u2019obtenir le consentement pour les cas de traitements autoris\u00e9s de donn\u00e9es et de contenu de communications \u00e9lectroniques selon l\u2019article 6 (2) c. et (3) a. et b. Cependant, nous demandons \u00e0 la Commission la possibilit\u00e9 de stipuler dans le contrat que ce consentement est obtenu pour la dur\u00e9e contractuelle.<\/p>\n

En outre, cela pose la question de la nature des r\u00e8gles propos\u00e9es \u00e0 savoir si elles sont d\u2019ordre public ou non. En effet, si tel est le cas, nous demandons \u00e0 la Commission d\u2019autoriser les utilisateurs finaux \u00e0 renoncer \u00e0 ces r\u00e8gles par le biais de l\u2019introduction de conditions g\u00e9n\u00e9rales de vente (CGV), bien entendu suffisamment exhaustives, leur permettant de donner leur consentement de mani\u00e8re libre, sp\u00e9cifique, \u00e9clair\u00e9e et univoque pour la fourniture des services de communications \u00e9lectroniques prest\u00e9s par le fournisseur. Ces CGV r\u00e9giraient la relation pour la dur\u00e9e du contrat et l\u00e8veraient, entre autres, la possibilit\u00e9 de retirer son consentement \u00e0 tout moment. L\u2019id\u00e9e derri\u00e8re cette proposition, est d\u2019\u00e9tablir, d\u00e8s le d\u00e9but de la relation commerciale entre les utilisateurs finaux et les fournisseurs de services de communications \u00e9lectroniques, ce que souhaitent ou non les utilisateurs finaux et de ne plus revenir dessus par la suite tant que la relation commerciale perdure et que le traitement se poursuit. Au regard de la proposition actuelle, nous comprenons que les fournisseurs de services de communications \u00e9lectroniques ne seront plus en mesure de prester les services d\u00e8s lors que le consentement est retir\u00e9. Qu\u2019en est-il alors du respect des d\u00e9lais de pr\u00e9avis \u00e9tablis dans le contrat ? Nous serions reconnaissants si la Commission pouvait apporter des clarifications sur ce point.<\/p>\n","protected":false},"excerpt":{"rendered":"

Position qui constitue l\u2019avis des membres FEDIL-ICT relatif \u00e0 la \u00ab proposition de r\u00e8glement du Parlement europ\u00e9en et du Conseil concernant le respect de la vie priv\u00e9e et la protection des donn\u00e9es \u00e0 caract\u00e8re personnel dans les communications \u00e9lectroniques et abrogeant la directive 2002\/58\/CE (r\u00e8glement \u00ab vie priv\u00e9e et communications \u00e9lectroniques \u00bb) \u00bb publi\u00e9e par le 10 janvier 2017…. Read more »<\/a><\/p>\n","protected":false},"author":16,"featured_media":0,"template":"","class_list":["post-4757","position","type-position","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/fedil.lu\/fr\/wp-json\/wp\/v2\/position\/4757","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fedil.lu\/fr\/wp-json\/wp\/v2\/position"}],"about":[{"href":"https:\/\/fedil.lu\/fr\/wp-json\/wp\/v2\/types\/position"}],"author":[{"embeddable":true,"href":"https:\/\/fedil.lu\/fr\/wp-json\/wp\/v2\/users\/16"}],"version-history":[{"count":2,"href":"https:\/\/fedil.lu\/fr\/wp-json\/wp\/v2\/position\/4757\/revisions"}],"predecessor-version":[{"id":36849,"href":"https:\/\/fedil.lu\/fr\/wp-json\/wp\/v2\/position\/4757\/revisions\/36849"}],"wp:attachment":[{"href":"https:\/\/fedil.lu\/fr\/wp-json\/wp\/v2\/media?parent=4757"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}