Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Communications électroniques: service universel, droits des utilisateurs de réseaux et services, données personnelles, protection de la vie privée, coopération en matière de protection des consommateurs. "Paquet Télécom"

2007/0248(COD)

AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES sur la proposition de directive du Parlement européen et du Conseil modifiant, entre autres, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques»).

La Commission a adressé la proposition au CEPD le 16 novembre 2007. Préalablement à l'adoption de la proposition, la Commission avait consulté le CEPD de façon informelle sur le projet de proposition.

La proposition vise à renforcer la protection de la vie privée et des données à caractère personnel dans le secteur des communications électroniques, non pas en transformant entièrement la directive «vie privée et communications électroniques» actuelle, mais plutôt en proposant d'y apporter des modifications appropriées, destinées essentiellement à renforcer les dispositions liées à la sécurité et à améliorer les mécanismes coercitifs.

Le présent avis traite des questions suivantes: i) le champ d'application de la directive «vie privée et communications électroniques», en particulier les services concernés; ii) la notification des violations de la sécurité; iii) les dispositions relatives aux témoins de connexion (cookies), logiciels espions et dispositifs analogues; iv) les actions en justice engagées par des fournisseurs de services de communications électroniques et d'autres personnes morales et v) le renforcement des dispositions relatives au contrôle de l'application.

Le CEPD est totalement favorable à cette proposition. Les modifications proposées renforcent la protection de la vie privée et des données à caractère personnel dans le secteur des communications électroniques sans faire peser de charges injustifiées et inutiles sur les organisations. Plus précisément, le CEPD estime que la plupart des modifications proposées ne devraient pas être remaniées dans la mesure où elles répondent bien à l'objectif visé.

Les modifications dont le CEPD souhaiterait vivement qu'elles restent inchangées sont les suivantes:

  • Dispositifs d'identification par radiofréquence (RFID): la modification proposée précisant que les réseaux de communications électroniques comprennent les «réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d'identification», est jugée pleinement satisfaisante. Cette disposition est très positive car elle précise qu'un certain nombre d'applications RFID doivent être conformes à la directive «vie privée et communications électroniques», ce qui atténue l'insécurité juridique sur ce point.
  • Cookies/logiciels espions: grâce à la modification proposée, l'obligation d'informer et d'accorder le droit de refuser le stockage de cookies ou de logiciels espions dans son équipement terminal sera également applicable lorsque ces dispositifs sont installés via des supports de stockage de données externes tels que des CDROM ou des clés USB. Néanmoins, le CEPD suggère d'apporter une légère modification à la dernière partie de l'article 5, paragraphe 3, en supprimant de la phrase le mot «faciliter».
  • Choix de la procédure de comité avec consultation du CEPD, et détermination des conditions/restrictions dont doit être assortie l'obligation de notification: la modification proposée prévoit que les questions complexes relatives aux circonstances, au format et aux procédures applicables au système de notification des violations de la sécurité seront tranchées dans le cadre de la procédure de comité, après consultation du CEPD. Ce dernier est extrêmement favorable à cette approche unifiée. Le CEPD est farouchement opposé à l’approche consistant à prévoir des dérogations à l'obligation de notifier les violations de la sécurité comme le demandent certaines parties prenantes.
  • Contrôle de l'application: le CEPD est favorable aux nouvelles dispositions qui renforcent les pouvoirs d'enquête des autorités réglementaires nationales et confèrent auxdites autorités le pouvoir d'ordonner la cessation des infractions.

Si son avis est globalement positif, le CEPD considère néanmoins qu'il convient d'améliorer certaines des modifications proposées, afin qu'elles assurent une réelle protection des données à caractère personnel et de la vie privée. C'est notamment le cas des dispositions relatives à la notification des violations de la sécurité et de celles qui portent sur les actions en justice engagées par des fournisseurs de services de communications électroniques pour violation des dispositions relatives au pollupostage. Par ailleurs, le CEPD regrette que la proposition n'omette pas certaines questions qui ne sont pas correctement traitées dans la directive en vigueur, et qu'elle manque ainsi l'occasion - offerte par cet exercice de réexamen - de résoudre les problèmes en suspens.

Les modifications figurant dans la proposition que le CEPD souhaiterait vivement voir remaniées sont les suivantes:

  • Notification des violations de la sécurité: la modification proposée s'applique aux fournisseurs de services de communications électroniques publics accessibles sur les réseaux publics (fournisseurs de services Internet, opérateurs de réseaux) qui sont tenus, en cas de violation de la sécurité, d'en informer les autorités réglementaires nationales et leurs clients. Le CEPD souscrit sans réserve à cette obligation. Il estime cependant qu'elle devrait également s'appliquer aux prestataires de services de la société de l'information qui traitent souvent des informations à caractère personnel sensibles (ex : banques et assureurs en ligne, fournisseurs de services de santé en ligne).
  • Actions en justice engagées par des fournisseurs de services de communications électroniques publics accessibles sur les réseaux publics: la modification proposée introduit la possibilité pour toute personne physique ou morale, en particulier les fournisseurs de services de communications électroniques, de former un recours civil contre les infractions à l'article 13 de la directive «vie privée et communications électroniques» relatif au pollupostage. Le CEPD accueille favorablement cette disposition. Toutefois, il ne comprend pas pourquoi cette nouvelle possibilité est limitée à la violation de l'article 13. Il suggère de donner aux personnes morales la possibilité de saisir la justice en cas de violation de toute disposition de la directive «vie privée et communications électroniques.
  • Enfin, le fait que le champ d'application de la directive «vie privée et communications électroniques» soit actuellement limité aux fournisseurs de réseaux de communications électroniques publics est, parmi les questions ignorées par la proposition, l'une des plus préoccupantes. Le CEPD estime qu'il convient de modifier la directive afin d'en étendre l'application aux fournisseurs de services de communications électroniques accessibles sur des réseaux mixtes (privés/publics) et des réseaux privés.