Telecoms Package ePrivacy Parliament First Reading/fr

Paquet télécom: Directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (vie privée et communications électroniques 2002/58/CE) − Parlement européen Première lecture − 2008-09-24

Article 1
(26 bis) La directive 2002/58/CE prévoit l'harmonisation des dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et des libertés fondamentaux, et notamment du droit à la vie privée et du droit à la confidentialité et à la sécurité des systèmes des technologies de l'information, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.

Article 2
Article 2 − Définitions

Sauf disposition contraire, les définitions figurant dans la directive 95/46/CE et dans la directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et les services de communications électroniques (directive "cadre") (JO L 108 du 24.4.2002, p. 33.) s'appliquent aux fins de la présente directive.

Les définitions suivantes sont aussi applicables:

a) “utilisateur”: toute personne physique utilisant un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service;

b) “données relatives au trafic”: toutes les données traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques ou de sa facturation;

c) “données de localisation”: toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service de communications électroniques accessible au public;

d) “communication”: toute information échangée ou acheminée entre un nombre fini de parties au moyen d'un service de communications électroniques accessible au public. Cela ne comprend pas les informations qui sont acheminées dans le cadre d'un service de radiodiffusion au public par l'intermédiaire d'un réseau de communications électroniques, sauf dans la mesure où un lien peut être établi entre l'information et l'abonné ou utilisateur identifiable qui la reçoit;

e) “appel”: une connexion établie au moyen d'un service téléphonique accessible au public permettant une communication bidirectionnelle;

f) le “consentement” d'un utilisateur ou d'un abonné correspond au “consentement de la personne concernée” figurant dans la directive 95/46/CE;

g) “service à valeur ajoutée”: tout service qui exige le traitement de données relatives au trafic ou à la localisation, à l'exclusion des données qui ne sont pas indispensables pour la transmission d'une communication ou sa facturation;

h) “courrier électronique”: tout message sous forme de texte, de voix, de son ou d'image envoyé par un réseau public de communications qui peut être stocké dans le réseau ou dans l'équipement terminal du destinataire jusqu'à ce que ce dernier le récupère.

Article 3
''(27 bis) Les adresses IP sont essentielles au fonctionnement de l'internet. Elles identifient par un numéro les matériels qui interviennent dans le réseau, tels que les ordinateurs ou les dispositifs mobiles intelligents. Étant donné que les adresses IP sont utilisées dans différents scénarios, et que les technologies connexes évoluent rapidement, des questions se posent quant à leur utilisation à titre de données à caractère personnel dans certaines circonstances. La Commission devrait dès lors réaliser une étude sur les adresses IP et leur utilisation et présenter des propositions appropriées en la matière.''

''(28) Le progrès technologique permet le développement de nouvelles applications fondées sur des appareils de collecte de données et d'identification, qui peuvent être des dispositifs sans contact exploitant les radiofréquences. Par exemple, les dispositifs d'identification par radiofréquence (RFID) utilisent les fréquences radio pour saisir les données provenant d'étiquettes identifiées de manière unique, qui peuvent ensuite être transférées via les réseaux de communications existants. Une large utilisation de ces technologies peut générer des avantages économiques et sociaux considérables et partant, apporter une contribution précieuse au marché intérieur, pour autant que cette utilisation soit acceptable pour la population. À cet effet, il est nécessaire de garantir que tous les droits fondamentaux des individus, y compris le droit à la vie privée et à la protection des données à caractère personnel, sont protégés. Lorsque ces dispositifs sont connectés à des réseaux de communications électroniques accessibles au public, ou font usage de services de communications électroniques en tant qu'infrastructure de base, les dispositions pertinentes de la directive 2002/58/CE, notamment celles sur la sécurité, sur les données relatives au trafic et les données de localisation et sur la confidentialité, devraient s'appliquer.''

Article 4
Article 4 − Sécurité du traitement

1. Le fournisseur d'un service de communications électroniques accessible au public prend les mesures d'ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec le fournisseur du réseau public de communications en ce qui concerne la sécurité du réseau. Compte tenu des possibilités techniques les plus récentes et du coût de leur mise en oeuvre, ces mesures garantissent un degré de sécurité adapté au risque existant.

1 bis. Sans préjudice des dispositions de la directive 95/46/CE et de la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications (JO L 105 du 13.4.2006, p. 54.), ces mesures comprennent:

- des mesures d'ordre technique et organisationnel appropriées visant à garantir que seules des personnes autorisées puissent avoir accès aux données à caractère personnel, à des fins légalement autorisées, et visant à protéger les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès ou la divulgation non autorisés ou illicites;

- des mesures d'ordre technique et organisationnel appropriées visant à protéger le réseau et les services contre une utilisation accidentelle, illicite ou non autorisée, ou contre les interférences ou les entraves préjudiciables à leur fonctionnement ou leur disponibilité;

- une politique de sécurité relative au traitement des données à caractère personnel;

- un mécanisme d'identification et d'évaluation des situations de vulnérabilité raisonnablement prévisibles dans les systèmes des fournisseurs de services de communications électroniques, qui comprendra un suivi régulier des violations de la sécurité; et

- un mécanisme permettant de prendre des mesures de prévention, de correction et d'atténuation contre toute situation de vulnérabilité découverte grâce au mécanisme décrit au quatrième tiret et un mécanisme permettant de prendre des mesures de prévention, de correction et d'atténuation contre les incidents de sécurité susceptibles de provoquer une violation de la sécurité.

1 ter. Les autorités réglementaires nationales sont habilitées à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public et de services de la société de l'information, ainsi qu'à émettre des recommandations sur les meilleures pratiques et les indicateurs de résultats concernant le degré de sécurité que ces mesures devraient atteindre.

2. Lorsqu'il existe un risque particulier de violation de la sécurité du réseau, le fournisseur d'un service de communications électroniques accessible au public informe les abonnés de ce risque et, si les mesures que peut prendre le fournisseur du service ne permettent pas de l'écarter, de tout moyen éventuel d'y remédier, y compris en en indiquant le coût probable.

3. En cas de violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications accessibles au public dans la Communauté, le fournisseur de services de communications électroniques accessibles au public et toute entreprise fournissant des services aux consommateurs via l'internet et qui est le contrôleur des données et le fournisseur de services de la société de l'information informent sans retard indu l'autorité réglementaire nationale ou l'autorité compétente en vertu du droit national de l'État membre de cette violation. La notification faite à l'autorité compétente décrit au minimum la nature de la violation et recommande des mesures à prendre pour en atténuer les conséquences négatives possibles. Ladite notification décrit en outre les conséquences de la violation et les mesures prises par le fournisseur pour y remédier.

Le fournisseur de services de communications électroniques accessibles au public et toute entreprise fournissant des services aux consommateurs via l'internet, qui est le contrôleur des données et le fournisseur de services de la société de l'information, informent préalablement leurs utilisateurs pour éviter un danger imminent et direct pour les droits et les intérêts des consommateurs.

La notification d'une violation de sécurité à un abonné ou un particulier n'est pas nécessaire si le fournisseur a prouvé à l'autorité compétente qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

''(29) Une violation de la sécurité entraînant la perte de données à caractère personnel d'un abonné ou d'un particulier ou compromettant celles-ci, risque, si elle n'est pas traitée à temps et de manière appropriée, d'engendrer des dommages substantiels pour les utilisateurs. Par conséquent, l'autorité réglementaire nationale ou une autre autorité nationale compétente devraient être averties sans retard, par le fournisseur de services pertinent, de toute violation de sécurité. L'autorité compétente devrait définir le degré de gravité de la violation et exiger, s'il y a lieu, des fournisseurs de services concernés qu'ils avertissent sans délai indu et de manière appropriée les personnes touchées par la violation. De plus, dans les cas où un danger imminent et direct se pose pour les droits et les intérêts des consommateurs (comme en cas d'accès non autorisé au contenu de messages électroniques, à des données relatives à des transactions par cartes de crédit, etc.), les fournisseurs de services pertinents devraient, en plus des autorités nationales compétentes, en avertir immédiatement et directement les utilisateurs concernés. Enfin, les fournisseurs devraient informer, sur une base annuelle, les utilisateurs concernés de toutes les violations de sécurité, au sens de la présente directive, qui sont survenues au cours de la période de référence. Cet avertissement à l'intention des autorités nationales et des utilisateurs devrait comprendre des informations sur les mesures prises par le fournisseur pour remédier à cette violation, ainsi que des recommandations pour la protection des utilisateurs touchés.''

3 bis. L'autorité compétente examine la violation et en détermine la gravité. Si la violation est jugée grave, l'autorité compétente demande au fournisseur de services de communications électroniques accessibles au public et au fournisseur de services de la société de l'information d'avertir, d'une manière appropriée et sans délai indu, les personnes affectées par la violation. Cette notification contient les informations visées au paragraphe 3.

La notification d'une violation grave peut être retardée lorsqu'elle risque d'entraver l'avancement d'une enquête pénale relative à cette violation.

Les fournisseurs notifient chaque année aux utilisateurs affectés toutes les violations de la sécurité qui ont entraîné accidentellement ou de manière illicite la destruction, la perte ou l'altération, ou la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications accessibles au public dans la Communauté.

Les autorités réglementaires nationales vérifient également si les entreprises se sont conformées à leurs obligations de notification au titre du présent article et imposent les sanctions appropriées, y compris la publication, s'il y a lieu, en cas de non-respect de ces obligations.

3 ter. La gravité d'une violation nécessitant sa notification aux abonnés est déterminée en fonction des circonstances de la violation, comme le risque qu'elle représente pour les données à caractère personnel concernées, le type de données concernées, le nombre d'abonnés impliqués et les conséquences immédiates ou potentielles de la violation sur la fourniture des services.

4. Afin d'assurer une mise en œuvre cohérente des mesures visées aux paragraphes 1 à 3 ter, la Commission recommande, après consultation du contrôleur européen de la protection des données, des parties prenantes concernées et de l'ENISA, des mesures de mise en œuvre techniques concernant notamment les mesures décrites au paragraphe 1 bis et les circonstances, le format et les procédures applicables aux exigences en matière d'information et de notification visées aux paragraphes 3 bis et 3 ter.

La Commission associe toutes les parties prenantes concernées, notamment afin de s'informer des meilleures méthodes techniques et économiques disponibles aptes à améliorer la mise en œuvre de la présente directive.

Ces mesures, qui visent à modifier des éléments non essentiels de la présente directive en la complétant, sont arrêtées conformément à la procédure de réglementation avec contrôle visée à l'article 14 bis, paragraphe 2. Pour des raisons d'urgence impérieuses, la Commission peut avoir recours à la procédure d'urgence visée à l'article 14 bis, paragraphe 3.

Article 5
Article 5 − Confidentialité des communications

1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d'un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l'article 15, paragraphe 1. Le présent paragraphe n'empêche pas le stockage technique nécessaire à l'acheminement d'une communication, sans préjudice du principe de confidentialité.

2. Le paragraphe 1 n'affecte pas l'enregistrement légalement autorisé de communications et des données relatives au trafic y afférentes, lorsqu'il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d'une transaction commerciale ou de toute autre communication commerciale.

3. Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur, soit directement, soit indirectement au moyen de tout type de support de stockage, est interdit, sauf si l'abonné ou l'utilisateur concerné a donné son consentement préalable, sachant que la fixation de paramètres du navigateur constitue un consentement préalable, et qu'il reçoit, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement, et que le droit de refuser un tel traitement lui est donné par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

Article 6
Article 6 − Données relatives au trafic

1. Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d'un réseau public de communications ou d'un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu'elles ne sont plus nécessaires à la transmission d'une communication sans préjudice des paragraphes 2, 3 et 5, du présent article ainsi que de l'article 15, paragraphe 1.

2. Les données relatives au trafic qui sont nécessaires pour établir les factures des abonnés et les paiements pour interconnexion peuvent être traitées. Un tel traitement n'est autorisé que jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement.

3. Afin de commercialiser ses services de communications électroniques ou de fournir des services à valeur ajoutée, le fournisseur d'un service de communications électroniques accessible au public peut traiter les données visées au paragraphe 1 dans la mesure et pour la durée nécessaires à la fourniture ou à la commercialisation de ces services, pour autant que l'abonné ou l'utilisateur que concernent ces données ait donné son consentement préalable. Les utilisateurs ou abonnés ont la possibilité de retirer à tout moment leur consentement pour le traitement des données relatives au trafic.

4. Le fournisseur de service doit informer l'abonné ou l'utilisateur des types de données relatives au trafic qui sont traités ainsi que de la durée de ce traitement aux fins visées au paragraphe 2 et, avant d'obtenir leur consentement, aux fins visées au paragraphe 3.

5. Le traitement des données relatives au trafic effectué conformément aux dispositions des paragraphes 1, 2, 3 et 4 doit être restreint aux personnes agissant sous l'autorité des fournisseurs de réseaux publics de communications et de services de communications électroniques accessibles au public qui sont chargées d'assurer la facturation ou la gestion du trafic, de répondre aux demandes de la clientèle, de détecter les fraudes et de commercialiser les services de communications électroniques ou de fournir un service à valeur ajoutée; ce traitement doit se limiter à ce qui est nécessaire à de telles activités.

6. Les paragraphes 1, 2, 3 et 5 s'appliquent sans préjudice de la possibilité qu'ont les organes compétents de se faire communiquer des données relatives au trafic conformément à la législation en vigueur dans le but de régler des litiges, notamment en matière d'interconnexion ou de facturation.

6 bis. Sans préjudice du respect des dispositions autres que celles figurant à l'article 7 de la directive 95/46/CE et à l'article 5 de la présente directive, les données relatives au trafic peuvent être traitées dans l'intérêt légitime du contrôleur de données à des fins de mise en œuvre de mesures techniques propres à garantir la sécurité des réseaux et de l'information, au sens de l'article 4, point c), du règlement (CE) n° 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information (JO L 77 du 13.3.2004, p. 1.), d'un service public de communications électroniques, d'un réseau public ou privé de communications électroniques, d'un service de la société de l'information ou de tout équipement terminal et de communication électronique y afférent, sauf lorsque les droits fondamentaux et les libertés de la personne concernée prévalent sur ledit intérêt. Ce traitement doit se limiter au strict nécessaire pour l'accomplissement de ce type d'action de sécurité.

''(26 ter) Le traitement des données relatives au trafic à des fins liées à la sécurité des réseaux et de l'information, garantissant l'accessibilité, l'authenticité, l'intégrité et la confidentialité des données stockées ou transmises permettra le traitement de ces données dans l'intérêt légitime du contrôleur de données afin d'éviter l'accès non autorisé et la distribution de codes malveillants, ainsi que de mettre fin aux attaques par déni de service et aux dommages touchant les systèmes de communication informatiques et électroniques. L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) devrait publier régulièrement des études afin d'illustrer par des exemples les différents types de traitements autorisés au titre de l'article 6 de la présente directive.''

Article 14
Article 14 − Caractéristiques techniques et normalisation

1. Lors de la mise en oeuvre des dispositions de la présente directive, les États membres veillent, sous réserve des paragraphes 2 et 3, à ce qu'aucune exigence relative à des caractéristiques techniques spécifiques ne soit imposée aux terminaux ou à d'autres équipements de communications électroniques si elle risque d'entraver la mise sur le marché d'équipements et la libre circulation de ces équipements dans les États membres et entre ces derniers.

2. Lorsque des dispositions de la présente directive ne peuvent être mises en oeuvre qu'en imposant des caractéristiques techniques spécifiques aux réseaux de communications électroniques, les États membres en informent la Commission, conformément aux procédures prévues par la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information (JO L 204 du 21.7.1998, p. 37. Directive modifiée par la directive 98/48/CE (JO L 217 du 5.8.1998, p. 18).).

3. Au besoin, des mesures sont adoptées afin de garantir que les équipements terminaux soient construits de manière compatibles avec le droit des utilisateurs de protéger et de contrôler l'utilisation de leurs données à caractère personnel, conformément à la directive 1999/5/CE et à la décision 87/95/CEE du Conseil du 22 décembre 1986 relative à la normalisation dans le domaine des technologies de l'information et des télécommunications. Ces mesures doivent être conformes au principe de neutralité technologique.

Article 15
Article 15 − Application de certaines dispositions de la directive 95/46/CE

1. Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l'article 8, paragraphes 1, 2, 3 et 4, et à l'article 9 de la présente directive lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques, comme le prévoit l'article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l'article 6, paragraphes 1 et 2, du traité sur l'Union européenne.

1 ter. Les fournisseurs de services de communications accessibles au public et les fournisseurs de services de la société d'information informent sans retard indu les autorités indépendantes en matière de protection des données de toute demande d'accès à des données à caractère personnel relatives à des utilisateurs reçue conformément au paragraphe 1, en précisant la justification légale invoquée et la procédure juridique suivie pour chaque demande; l'autorité indépendante concernée en matière de protection des données informe les autorités judiciaires compétentes des cas dans lesquels elle estime que les dispositions pertinentes de la législation nationale n'ont pas été respectées.

2. Les dispositions du chapitre III de la directive 95/46/CE relatif aux recours juridictionnels, à la responsabilité et aux sanctions sont applicables aux dispositions nationales adoptées en application de la présente directive ainsi qu'aux droits individuels résultant de la présente directive.

3. Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive 95/46/CE, remplit aussi les tâches visées à l'article 30 de ladite directive en ce qui concerne les matières couvertes par la présente directive, à savoir la protection des droits et des libertés fondamentaux ainsi que des intérêts légitimes dans le secteur des communications électroniques.

Article 15a
Article 15 bis − Mise en œuvre et contrôle de l'application

1. Les États membres déterminent le régime des sanctions applicables, y compris des sanctions pénales s'il y a lieu, aux violations des dispositions nationales prises en application de la présente directive et prennent toute mesure nécessaire pour assurer la mise en œuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives. Les États membres notifient ces dispositions à la Commission au plus tard [à la date limite pour la mise en œuvre de l'acte modificatif] et toute modification ultérieure les concernant dans les meilleurs délais.

2. Sans préjudice de tout recours judiciaire qui peut être disponible, les États membres veillent à ce que l'autorité réglementaire nationale ait le pouvoir d'ordonner la cessation des infractions visées au paragraphe 1.

3. Les États membres veillent à ce que les autorités réglementaires nationales disposent de tous les pouvoirs d'enquête et des ressources nécessaires, et notamment de la possibilité d'obtenir toute information pertinente dont elles peuvent avoir besoin, afin de surveiller et contrôler le respect des dispositions nationales adoptées en application de la présente directive.

4. Afin d'assurer une coopération transfrontalière effective dans le contrôle de l'application des législations nationales adoptées en application de la présente directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers, la Commission peut adopter des mesures de mise en œuvre techniques, après consultation de l'ENISA, du groupe de travail "Article 29" et des autorités réglementaires compétentes.

Ces mesures, qui visent à modifier des éléments non essentiels de la présente directive en la complétant, sont arrêtées conformément à la procédure de réglementation avec contrôle visée à l'article 14 bis, paragraphe 2. Pour des raisons d'urgence impérieuses, la Commission peut avoir recours à la procédure d'urgence visée à l'article 14 bis, paragraphe 3.

(26 quater) Lors de la définition des mesures d'exécution relatives à la sécurité du traitement, conformément à la procédure de réglementation avec contrôle, la Commission devrait consulter toutes les autorités et organisations européennes pertinentes (ENISA, contrôleur européen de la protection des données et groupe de travail "Article 29"), ainsi que toutes les autres parties prenantes concernées, notamment afin de s'informer des meilleures méthodes techniques et économiques disponibles aptes à améliorer la mise en œuvre de la directive 2002/58/CE.

(30 bis) Lors de la mise en œuvre des mesures de transposition de la directive 2002/58/CE, il incombe aux autorités et aux juridictions des États membres non seulement d'interpréter leur droit national d'une manière conforme à cette directive, mais également de veiller à ne pas se fonder sur une interprétation de celle-ci qui entrerait en conflit avec d'autres droits fondamentaux ou principes généraux du droit communautaire, tels que le principe de proportionnalité.

''(36) La nécessité d'assurer un niveau adéquat de protection de la vie privée et des données à caractère personnel transmises et traitées en relation avec l'utilisation de réseaux de communications électroniques dans la Communauté justifie des compétences de mise en œuvre et d'exécution efficaces afin d'inciter de manière appropriée au respect des règles. Les autorités réglementaires nationales devraient être dotées de compétences et de ressources suffisantes pour enquêter efficacement sur les cas de non-respect des règles, et notamment avoir la possibilité d'obtenir toutes les informations utiles dont elles pourraient avoir besoin pour statuer sur les plaintes et imposer des sanctions en tant que de besoin.''

Article 18
Article 18 − Réexamen

Au plus tard le ... (deux ans après la date de l'entrée en vigueur de la présente directive.), la Commission présente au Parlement européen et au Conseil, après consultation du groupe de travail "Article 29" et du contrôleur européen de la protection des données, un rapport sur l'application de la présente directive et sur son impact sur les opérateurs économiques et les consommateurs, notamment en ce qui concerne les dispositions relatives aux communications non sollicitées, aux notifications des violations et à l'utilisation de données à caractère personnel par des tierces parties publiques ou privées à des fins qui ne sont pas couvertes par la présente directive, en prenant en considération l'environnement international. À cette fin, la Commission peut demander des informations aux États membres, lesquelles doivent être fournies sans retard indu. Le cas échéant, la Commission soumet des propositions de modification de la présente directive, en tenant compte des conclusions du rapport susmentionné, de tout changement intervenu dans le secteur, du traité de Lisbonne modifiant le traité sur l'Union européenne et le traité instituant la Communauté européenne (JO C 306 du 17.12.2007, p. 1.), en particulier des nouvelles compétences en matière de protection des données prévues à l'article 16, ainsi que de toute autre proposition qu'elle peut juger nécessaire afin d'améliorer l'efficacité de la présente directive.

Au plus tard deux ans après l'entrée en vigueur de la directive 2008/.../CE [modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n° 2006/2004 relatif à la coopération en matière de protection des consommateurs], la Commission présente au Parlement européen, au Conseil et au Comité économique et social européen un rapport, fondé sur une étude détaillée, comportant des recommandations sur les utilisations standard des adresses IP et sur l'application de la directive "vie privée et communications électroniques" et de celle relative à la protection des données, en ce qui concerne la collecte et le traitement ultérieur des données, et ce après consultation du contrôleur européen de la protection des données, du groupe de travail de l'article 29 et d'autres parties prenantes, y compris des représentants de l'industrie.