Soutenons La Quadrature du Net !

ePrivacy : une étape cruciale pour la vie privée

Paris, 13 juin 2017 — Le mois de juin sera décisif pour le futur de notre vie privée et la confidentialité de nos communications électroniques. Actuellement en débat au Parlement européen, le futur règlement « ePrivacy » divise et réveille de désagréables souvenirs du temps des négociations du Règlement général sur la protection des données personnelles (RGPD). Après la publication de deux rapports pour avis tirant dans des sens complètement opposés, tous les yeux sont à présent tournés vers la rapporteure principale, Marju Lauristin, qui devrait présenter son texte le 21 juin. Courage ou aveu de faiblesse face aux lobbys ? Libertés et modèles innovants ou exploitation et capitalisme de surveillance ? La Quadrature du Net a fait son choix et entend bien continuer à le défendre au cours de ces longs mois de négociation à venir.

Depuis un an maintenant, la question de la vie privée et de la confidentialité des communications électroniques est à l'agenda des institutions européennes.
À travers la révision d'une vieille directive de 2002, appelée « ePrivacy », l'Union européenne souhaite revoir les règles qui entourent la confidentialité de nos correspondances et de nos appareils (téléphone, ordinateurs etc.). Un sujet extrêmement sensible donc, puisqu'il vise à protéger notre vie privée à un moment où celle-ci est gravement mise en danger par la surveillance des États et le pistage incessant des acteurs privés, majoritairement à des fins commerciales.

Suite à la proposition de règlement de la Commission européenne en janvier, le dossier a été transmis au Parlement qui travaille à présent dessus. La Quadrature du Net - aux côtés d'autres organisations de défense des droits fondamentaux - est présente au sein du Parlement depuis le début de l'année pour faire valoir l'importance d'un règlement fort et ambitieux qui sort du status-quo et protège réellement les Européens. Malheureusement elle se heurte au lobbying acharné de l'industrie et à l'argument incontournable de « l'équilibre » qu'il faudrait trouver entre droits fondamentaux et business.

Cette rhétorique de « l'équilibre » est insupportable car elle vise à nous faire croire qu'aujourd'hui la balance penche en faveur de la protection de nos droits et libertés et qu'il faudrait rééquilibrer cela en favorisant d'avantage les industries et leur business. C'est un mensonge, les individus n'ont aucun pouvoir face aux fournisseurs de services. Leurs informations personnelles leur sont dérobées sans que leur consentement soit libre et informé, quand il n'est pas simplement ignoré. Cette création de richesse, qui se fait à l'insu des utilisateurs, continue pendant ce temps à alimenter d'énormes bases de données faisant le bonheur des États pour leur surveillance et des entreprises pour le contrôle social par le profilage et la publicité.

La responsabilité des parlementaires européens est grande car, à travers le règlement ePrivacy, ils et elles ont la possibilité de créer un cadre réellement protecteur de nos droits et libertés qui incitera les acteurs européens du numérique à investir dans des modèles plus vertueux et ainsi se démarquer - par le haut - du reste de leurs concurrents.

La rapporteure désignée par le Parlement en charge de rédiger une proposition de règlement est l'Estonienne social-démocrate Marju Lauristin. Son projet de rapport qui doit être présenté au sein delà commission des Libertés civiles (LIBE) le 21 juin est très attendu. Habituée de ces sujets, la rapporteure comprend bien les enjeux d'ePrivacy, mais il lui faudra rester ferme et résister à la puissance des lobbys de l'industrie, qui sont nombreux et surtout très divers (opérateurs télécoms, géants américains du net, industrie de la publicité en ligne, éditeurs de presse etc.).

Deux autres commissions ont souhaité donner leurs avis sur le dossier : la commission industrie, recherche et énergie (ITRE) et la commission marché intérieur et protection des consommateurs (IMCO).

En ITRE, la libérale Kaja Kallas a sorti un avis en demi teinte. Elle n'affaiblit pas la proposition initiale de la Commission et l'améliore même sur certains points 

  • le consentement doit-être libre et ne peut donc pas être une contrepartie imposée pour accéder à un service (autrement dit, on ne peut pas vous interdire l'accès à un service dont le modèle économique serait exclusivement basé sur la publicité ciblée au seul motif que vous refusiez que vos données personnelles soient exploitées) ;
  • le pistage de nos appareils hors-ligne doit-être soumis au consentement ;
  • les dérogations laissées aux États membres doivent-être réduites ;
  • le chiffrement de bout-en-bout doit être encouragé et les portes dérobées interdites.

Malheureusement, le rapport de Mme Kallas ne cherche en rien à encadrer ou limiter le blanc-seing donné aux fournisseurs de services pour exploiter les données de communications électroniques. Contrairement à ce que La Quadrature recommandait, le consentement d'un seul des utilisateurs engagés dans une communication serait suffisant, d'après elle, pour que les données propre à cette communication (métadonnées ou contenu) puissent être exploitées. Par ailleurs, Kaja Kallas n'a pas souhaité introduire dans son rapport la possibilité de recours collectifs véritablement effectifs pour les utilisateurs et n'a pas augmenté les sanctions pour les entreprises violant les règles en matière de confidentialité de l'appareil terminal.

En IMCO, Eva Maydell (PPE) est très claire sur son orientation business et il n'y a rien à garder de son rapport pour avis. Il ne sera pas ici listé tous les points qu'il faudrait amender mais, en résumé, le rapport Maydell :

  • refuse de considérer que le secteur des communications électroniques requiert une protection spécifique et renforcée et mais, à la place, introduit des exceptions pour contourner le consentement des utilisateurs, comme les finalités ultérieures ;
  • s'oppose à ce que l'ensemble des utilisateurs d'une communication doivent consentir afin que le fournisseur de service puisse être autorisé à traiter les métadonnées ou le contenu des correspondances ;
  • supprime éhontément tout l'article 7 qui oblige les fournisseurs de services à effacer ou à rendre anonymes le contenu des communications acheminées, ainsi que les métadonnées qui ne sont plus nécessaires pour assurer l'acheminement de la communication ou sa facturation.

Ces quelques exemples - s'ils étaient adoptés en commission IMCO ou, pire, repris plus tard par la commission LIBE - affaibliraient considérablement la proposition déjà peu ambitieuse de la Commission européenne. La Quadrature appelle les eurodéputé-e-s de la commission IMCO à massivement rejeter cet inacceptable et dangereux rapport d'Eva Maydell.

Après ces deux rapports pour avis, la proposition de la rapporteure Marju Lauristin sera décisive, puisqu'elle pointera un curseur autour duquel les futures discussions et amendements s'organiseront. Devrons-nous continuer à défendre les rares choses qui avaient été gagnées par l'adoption en 2016 du Règlement général sur la protection des données (comme le fait qu'un consentement au traitement de données personnelles ne peut être la condition de l'accès à un service) et nous battre pour ne pas descendre en deçà de ce que nous avions avec l'ancienne directive ePrivacy de 2002 (avec par exemple le consentement comme seule base légale de traitement) ? Ou bien pourrons-nous enfin quitter cette posture défensive, nous tourner vers le futur et être force de proposition pour un règlement ePrivacy réellement innovant ? Pour l'instant, l'offensive des lobbys, les positions de certains États membres et le rapport pour avis d'IMCO nous font pencher pour la première option, mais la proposition de la rapporteure Lauristin pourrait - avec un peu de courage - renverser la balance.

Retrouvez aussi :

  • la réaction de La Quadrature au projet de rapport de la Commission européenne (janvier 2017) ;
  • les recommandations aux eurodéputé-e-s sur ePrivacy (mars 2017). De nouvelles recommandations plus actuelles sont en préparation ;
  • le wiki de LQDN sur le projet de règlement ePrivacy.