Le règlement général sur la protection des données (RGPD) était une réforme indispensable qui régule la manière dont l'Union européenne (UE) réglemente la confidentialité des données. Il s'agissait d'une étape massive, qui est encore en train d'être peaufinée aujourd'hui. Mais l'une des réformes essentielles du RGPD était la façon dont il s'attaquait aux cookies et aux technologies de suivi similaires, notamment en ce qui concerne le consentement aux cookies. Le règlement européen "ePrivacy" prolonge le RGPD, en se concentrant spécifiquement sur les cookies et autres technologies de suivi. Il devrait entrer en vigueur dès 2023 et promet d'être encore plus strict que le RGPD en matière de protection de la vie privée des internautes. Ce billet de blog explorera le règlement ePrivacy de l'UE et ce qu'il signifie pour les cookies et autres technologies de suivi. Nous aborderons également les mises à jour apportées à la loi depuis sa première proposition.
Qu'est-ce que le règlement "vie privée et communications électroniques"?
Le règlement "vie privée et communications électroniques" est une nouvelle loi européenne qui remplacera l'actuelle directive "vie privée et communications électroniques". Il renforce le droit des utilisateurs à la vie privée en ligne en leur donnant plus de contrôle sur leurs données personnelles. Il impose également des règles plus strictes aux entreprises qui collectent ou traitent ces données.
Le règlement "vie privée et communications électroniques" s'applique à tous les services et réseaux de communications électroniques accessibles au public et qui fournissent des services de communications électroniques accessibles au public, notamment les plateformes de médias sociaux, le courrier électronique, la messagerie instantanée et les appels VoIP. Il couvrira également les cookies et autres technologies de suivi utilisés par les sites web et les apps.
À l'instar du RGPD, sans relation commerciale préexistante, il sera difficile, dans le cadre du règlement "vie privée et communications électroniques", d'invoquer l'intérêt légitime pour l'envoi de messages dans un cadre interentreprises (B2B). Cela implique que l'envoi de publicités à des personnes qui n'en ont pas fait la demande peut être illégal.
Le règlement est actuellement en phase finale de négociation. Début 2022, les négociateurs sont parvenus à un accord sur un projet, mais celui-ci est susceptible d'être modifié. La mise en œuvre du règlement "vie privée et communications électroniques" n'est pas prévue avant 2023, et une période de grâce de 24 mois a été intégrée.
Que sont les cookies?
Les cookies sont de petits fichiers texte placés sur votre ordinateur ou votre appareil mobile par les sites web que vous visitez. Ils stockent des informations qui sont largement utilisées pour faire fonctionner les sites web plus efficacement et fournir des informations aux propriétaires des sites.
Le règlement européen "Vie privée et communications électroniques", qui devait initialement entrer en vigueur le 25 mai 2018, est appelé à remplacer la loi européenne sur les cookies ou la directive "Vie privée et communications électroniques" et vise à définir de nouvelles règles régissant l'utilisation des cookies et des technologies similaires. Le règlement s'applique à tous les fournisseurs de communications électroniques, y compris les opérateurs de sites web, les développeurs d'applications et les fournisseurs de plugins de navigateur.
En vertu de la nouvelle loi, les cookies ne peuvent être placés sur l'appareil d'un utilisateur qu'avec son consentement préalable. Cela signifie que les opérateurs de sites web doivent obtenir le consentement explicite des utilisateurs avant d'utiliser des cookies ou des technologies similaires à des fins telles que la collecte de données pour la publicité ciblée. Le consentement doit être obtenu la première fois qu'un utilisateur visite votre site, et les cookies s'en souviennent ensuite en attribuant un identifiant unique à cet utilisateur.
Le consentement n'est pas nécessaire si les cookies sont nécessaires à la mesure de l'audience (analytique), tant que la mesure est effectuée par le fournisseur du service demandé par l'utilisateur final ou par des cookies tiers pour le compte du fournisseur de services ou conjointement.
En outre, le règlement exige que les exploitants de sites web fournissent des informations claires et complètes sur leur utilisation des cookies et des technologies similaires. Il s'agit notamment de préciser les fins auxquelles les cookies seront utilisés et de fournir un lien vers le texte intégral de la politique de confidentialité.
Enfin, le règlement donne aux utilisateurs le droit de retirer leur consentement à tout moment et exige des opérateurs de sites web qu'ils suppriment toute donnée collectée par le biais de cookies en cas de retrait du consentement.
Quelles sont les modifications apportées au règlement "vie privée et communications électroniques" en 2022?
Le règlement européen sur la vie privée en ligne devrait être finalisé par le Conseil de l'UE en 2022 par le biais de trilogues afin d'inclure plusieurs changements. L'un des changements les plus notables est le renforcement de l'application de l'utilisation d'une bannière de cookies pour informer sur les cookies et obtenir le consentement.
Ce changement permet aux utilisateurs de mieux contrôler leurs droits en matière de protection de la vie privée et des données:
- Éviter de paramétrer des cookies avant d'en avoir reçu le consentement;
- Ajouter des options conviviales permettant d'accepter, de refuser (ou de tout rejeter) ou de choisir les préférences en matière de cookies;
- Faciliter le retrait du consentement de l'utilisateur pour l'utilisation des cookies;
- Exiger des sites web qu'ils fournissent des informations claires et concises sur leur politique en matière de cookies afin de divulguer des détails sur les cookies et la manière de les gérer;
- Interdire l'utilisation de ce que l'on appelle le "consentement forcé" ou les "cookies walls", qui obligent les utilisateurs à accepter les cookies pour accéder au contenu du site web;
- Éviter l'utilisation de cookies à d'autres fins non liées à l'objectif initial pour lequel le consentement a été obtenu;
- Clarifier les règles relatives au moment où le consentement est nécessaire pour le traitement des données personnelles;
- Renforcer les mécanismes d'application en donnant aux autorités nationales de protection des données (DPA) le pouvoir d'imposer des amendes.
Comment ces changements affecteront-ils les entreprises et les propriétaires de sites web?
Le nouveau règlement européen sur la vie privée et les communications électroniques aura un impact considérable sur les entreprises et les propriétaires de sites web. Le règlement exige que les sites web obtiennent le consentement explicite de leurs visiteurs avant d'utiliser des cookies ou d'autres technologies de suivi.
Les entreprises et les propriétaires de sites web doivent modifier la manière dont ils utilisent les cookies et les autres technologies de suivi. Ils devront également fournir aux visiteurs davantage d'informations sur l'utilisation de leurs données, comme les cookies strictement nécessaires (c'est-à-dire les cookies de session de première partie) et les cookies non essentiels (c'est-à-dire les cookies analytiques).
La bonne nouvelle est que le règlement prévoit une période de grâce d'un an, de sorte que les entreprises et les propriétaires de sites Web ont le temps d'apporter les changements nécessaires.
Si vous êtes une entreprise ou un propriétaire de site web, voici ce que vous devez savoir à propos du nouveau règlement européen sur la vie privée et les communications électroniques:
- Vous devrez obtenir le consentement explicite des visiteurs avant d'utiliser des cookies ou d'autres technologies de suivi.
- Vous devrez fournir aux visiteurs davantage d'informations sur l'utilisation de leurs données.
- Vous avez un an pour apporter les changements nécessaires, mais il est essentiel de commencer à planifier dès maintenant pour vous conformer au règlement.
Quelles mesures les propriétaires de sites web doivent-ils prendre pour se conformer au nouveau règlement?
Les propriétaires de sites Web doivent prendre les mesures suivantes pour éviter de ne pas se conformer au nouveau règlement:
- revoir la politique de cookies de leur site Web et la mettre à jour si nécessaire pour s'assurer qu'elle est conforme au nouveau règlement.
- s'assurer qu'ils disposent d'un mécanisme pour obtenir le consentement des utilisateurs pour l'utilisation de cookies sur leurs sites Web. Cela peut se faire par le biais d'une bannière popup ou d'une méthode de notification similaire.
- S'assurer qu'ils n'utilisent que les cookies nécessaires au fonctionnement de leur site web. Tous les autres cookies ne doivent être utilisés que si l'utilisateur a donné son consentement explicite à leur utilisation. Cela garantira la conformité de votre site web en matière de cookies.
- Gardez une trace de tous les consentements de l'utilisateur afin de pouvoir les retirer rapidement à tout moment si l'utilisateur change d'avis. Cela peut se faire rapidement à l'aide d'une plateforme de gestion des consentements, telle que Secure Privacy.
- Assurez-vous que les utilisateurs peuvent facilement désactiver l'utilisation des cookies sur leurs sites Web. Cela doit être clairement indiqué dans la politique de cookies du site web et mis en œuvre via un outil de gestion des cookies facile à utiliser.
Quelle est la différence entre le règlement "vie privée et communications électroniques" et la directive "vie privée et communications électroniques" ?
Le règlement ePrivacy (UE) 2016/679 est un règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Elle n'est pas entrée en vigueur en octobre 2022.
La directive ePrivacy (2002/58/CE) était une directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. La loi sur les cookies a été remplacée par le règlement général sur la protection des données (RGPD).
Quelle est la différence entre le règlement "vie privée et communications électroniques" et le RGPD?
Le RGPD et le règlement ePrivacy sont conçus pour protéger la vie privée des individus dans les États membres de l'Europe. La principale différence entre les deux est que le RGPD s'applique à toutes les activités de traitement des données, tandis que le règlement ePrivacy se concentre explicitement sur les communications électroniques.
Le règlement ePrivacy couvre diverses communications électroniques, notamment le courrier électronique, la messagerie instantanée, la VoIP et les cookies. Il exige que toutes les organisations traitant des communications électroniques prennent des mesures pour protéger la confidentialité de ces communications. En outre, le règlement sur la protection de la vie privée en ligne impose des exigences strictes sur l'utilisation des cookies et autres technologies de suivi.
Les organisations soumises au RGPD et au règlement sur la protection de la vie privée en ligne doivent se conformer aux deux séries de règlements. Cependant, les organisations doivent être conscientes de certaines différences importantes entre les deux. Par exemple, le RGPD doit obtenir le consentement pour toutes les activités de traitement des données. Cependant, en vertu du règlement sur la vie privée en ligne, le consentement n'est requis que pour certains types de communications électroniques (tels que les cookies).
Les organisations doivent également savoir que chaque règlement dispose de mécanismes d'application différents. Les violations du RGPD peuvent entraîner des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus élevé étant retenu). En comparaison, les violations du règlement ePrivacy peuvent entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).
Quand le règlement "vie privée et communications électroniques" sera-t-il finalisé?
Le règlement est encore au stade de la proposition et n'a pas encore été finalisé. Le Conseil de l'UE travaille actuellement à la finalisation du règlement sur la protection de la vie privée en ligne, qui devrait être publié au plus tôt en 2023. Ce règlement remplacera l'actuelle directive "vie privée et communications électroniques" et comprendra de nouvelles dispositions sur les cookies et autres traceurs.
Avis du CEPD sur le projet de règlement "vie privée et communications électroniques
Le Conseil européen de la protection des données (EDPB) a publié son avis sur le projet de règlement "vie privée et communications électroniques", que la Commission européenne est en train d'élaborer. L'avis de l'EDPB est positif et soutient le projet de règlement, qui vise à remplacer l'actuelle directive "vie privée et communications électroniques" par un cadre plus moderne et plus complet.
L'EDPB note que le projet de règlement renforcerait considérablement les droits des personnes en matière de vie privée dans les communications électroniques, notamment en introduisant de nouvelles règles sur les cookies et autres technologies de suivi.
L'EDPB soutient également les dispositions du projet de règlement relatives à la protection des données dès la conception et par défaut, ainsi que l'obligation pour les entreprises de fournir des informations claires et concises aux utilisateurs sur leurs droits et sur la manière dont leurs données seront utilisées. Dans l'ensemble, l'EDPB estime que le projet de règlement sur la vie privée en ligne améliorerait considérablement la protection de la vie privée des personnes dans l'UE. Il exhorte la Commission européenne à poursuivre son travail sur cette question importante.
Conclusion
Lorsque les nouvelles mises à jour du règlement "vie privée et communications électroniques" entreront en vigueur, elles auront un impact significatif sur la manière dont les entreprises utilisent et collectent les cookies. Le règlement est conçu pour suivre l'évolution d'autres lois sur la protection de la vie privée, telles que la California Consumer Privacy Act (CCPA) et l'Information Commissioner's Office (ICO) du Royaume-Uni, qui donnent aux utilisateurs un plus grand contrôle sur leurs données et obligent les entreprises à obtenir le consentement explicite des utilisateurs avant de collecter ou d'utiliser leurs données. Il s'agit d'une avancée positive pour le droit à la vie privée, et nous espérons que d'autres pays suivront en adoptant des réglementations similaires.
