Soutenons La Quadrature du Net !

ePrivacy: décoder les contre-vérités des lobbys

Paris, 8 décembre 2016 — La révision de la directive européenne ePrivacy sur la confidentialité des communications électroniques ne fait pas encore grand bruit mais cela ne signifie pas que le travail d'influence et la lutte des intérêts n'ont pas commencé. Au contraire, la proposition de texte de la Commission européenne étant prévue pour être publiée en janvier 2017, les groupes d'intérêts se pressent aux portes de l'exécutif européen pour tenter de mettre leur grain de sel dans le futur texte.

Pour deviner la teneur des discussions qui se déroulent en haut lieu, il suffit de lire les lettres ouvertes, les position papers et autres déclarations communes des ETNO, GSMA, DIGITALEUROPE et autres lobbys de l'industrie du numérique et des télécoms : tous appellent à l'abrogation pure et simple de la directive.

De la même façon que lors des négociations du règlement général sur la protection des données (RGDP), marteler nos arguments n'est pas suffisant face à la force de frappe et aux moyens de l'industrie, il nous faut donc passer en revue leurs arguments fallacieux et les examiner un par un.

Argument n°1 : La directive ePrivacy rajoute de la complexité juridique et légale alors même qu'il faudrait « restaurer la confiance des utilisateurs en réduisant la complexité règlementaire » [1]

Nous avons ici affaire à la magie de l'argument de la « rationalisation ». Cette logique sous-tend que l'environnement règlementaire est une trop grande contrainte pour les entreprises et qu'il faudrait donc le simplifier. Mais rappelons que « simplifier » ne doit jamais revenir à affaiblir », et encore moins à « supprimer » des garanties pour les utilisateurs.

D'autre part, cette contrainte est nécessaire afin d'encadrer les pratiques des entreprises pour qui nos données personnelles représentent une mine d'or et sont souvent la base de leur modèle économique. Le « laisser-faire » et « l'auto-régulation », toujours pronés par l'industrie, sont des leurres qui n'ont jamais apporté plus de protection et de confidentialité aux individus. La règlementation est là pour que les fournisseurs de services et autres acteurs respectent des règles basiques en matières de sécurité, de confidentialité et de vie privée. Partout où il n'y a pas de régulation claire, leurs pratiques tendent à une plus grande exploitation de notre vie privée à des fins lucratives. De même, les utilisateurs doivent pouvoir savoir globalement quelles sont leurs garanties et leurs droits : en utilisant chaque jour des dizaines de services différents, il est absolument nécessaire d'avoir une base commune de garanties qui permette à l'utilisateur de savoir à quoi il peut s'attendre.


Argument n°2 : La directive ePrivacy est rendue caduque par le nouveau Règlement Général sur la Protection des Données Personnelles. [2]

Voilà l'argument principal de l'indutrie : le nouveau règlement couvrirait déjà presque intégralement toutes les dispositions de la directive ePrivacy et celle-ci serait donc devenue inutile.

Pour rappel la directive ePrivacy est destinée à protéger la vie privée et la confidentialité des données dans le secteur des communications électroniques. C'est à dire qu'elle s'attache principalement aux communications du type messageries instantanées, SMS, communications par VoIP telles que Skype, emails, téléphonie, etc., pour lesquelles elle va fixer des obligations en matière de sécurité et de confidentialité pour les fournisseurs de services. Le Règlement général sur la protection des données adopté en avril 2016 et qui entrera en application en mai 2018 s'occupe, pour sa part, d'assurer la protection des données personnelles de chaque individu lors de l'utilisation de ces données par des entreprises privées autant que par des autorités publiques. Les dévelopements technologiques récents font que la majorité de la circulation et des transferts de ces données personnelles se passe sur internet via les nombreux sites et plateformes auxquels nous nous connectons.
Les deux textes ne sont donc pas équivalents : l'un (le Règlement) s'attache à des données personnelles qui sont produites par notre utilisation des services, l'autre (la directive ePrivacy) se concentre sur le respect de la vie privée et la confidentialité dans nos échanges avec d'autres correspondants.

L'adoption du nouveau règlement en avril 2016 ne rend donc en rien l'existence de la directive ePrivacy inutile. En effet il ne couvre pas directement certains droits fondamentaux comme le droit à la liberté de communication, le droit à la vie privée. D'autre part, la directive ePrivacy couvre des sujets qui vont au delà des données personnelles et qui ne sont donc pas couverts par le Règlement. C'est le cas par exemple des communications non sollicitées, telles que les spams ou la prospection directe.

Parce qu'elles sont omniprésentes dans notre quotidien et parce que les informations qu'elles véhiculent sont d'une grande valeur, les communications électroniques requièrent un régime de confidentialité et de sécurité spécifique qui soit le plus protecteur possible. La révision de la directive est une formidable opportunité de renforcer cette protection et ce tout en restant parfaitement cohérent avec la législation générale inscrite dans le futur Règlement.


Argument n°3 : La protection de la vie privée des utilisateurs est déjà garantie par le Règlement, il n'est donc pas nécessaire de conserver l'article 5.3 sur la confidentialité relative à votre appareil. [3]

La directive ePrivacy fut amendée en 2009 et un 3ème alinéa sur la confidentialité de « l'appareil terminal » ajouté (donc de votre téléphone - intelligent ou non - ou de votre ordinateur) . Celui-ci encadre le « stockage d'informations » et « l'accès à des informations déjà stockées sur l'appareil terminal » (comme par exemple les cookies), en les soumettant au consentement de l'utilisateur.

Il est aujourd'hui mal mis en oeuvre par les fournisseurs de services qui rendent le consentement non seulement obligatoire pour accéder à un service (ce qui supprime la nature « libre » du consentement ; il est indispensable de banir cette pratique) mais également non éclairé car noyé dans une quantité incompréhensible d'informations. En cela, l'article 5.3 a certes échoué à redonner le contrôle de ses données à l'utilisateur mais il reste un outil non seulement essentiel pour limiter les effets du tracking sur internet mais également unique car rien de semblable n'existe dans le Règlement général.

Cet article sur la confidentialité et l'intégrité de l'appareil terminal est donc à reformuler afin d'améliorer sa mise en oeuvre mais il doit également être élargi pour y faire rentrer les cas où l'appareil produit des informations par défaut, comme par exemple le tracking par fingerprint.

En somme, la protection de la vie privée passant également pas la confidentialité et l'intégrité de l'appareil de l'utilisateur, cet article est donc essentiel mais peut être rendu plus actuel et plus efficace en élargissant son contenu et en renforçant les garanties pour l'utilisateur (c'est bien cela dont les industries ne veulent pas).


Argument n°4 : Tous les services ne sont pas couverts par la directive. Or, selon les opérateurs télécoms : Il faut construire une situation équitable afin qu'ils ne soient désavantagés face aux méchants américains. [4]

Il est vrai que certains services, aujourd'hui omniprésents comme les fournisseurs de services de messagerie en ligne tels que Whatsapp, Signal, Viber (appelés aussi « OTT » : services over-the-top) n'existaient pas lorsque la directive ePrivacy fut adoptée en 2002 et ne sont pas soumis aux obligations en matière de sécurité et de confidentialité exigées par la directive ePrivacy.

Sur cette question, les opérateurs télécoms et les lobbys de l'industrie numérique ont développé une opposition de façade. Lorsque les opérateurs dénoncent une injustice face à ces nouveaux services en ligne, ceux-ci rétorquent qu'ils sont déjà couverts par le règlement général. En réalité, loin de s'opposer, tous tendent vers une conclusion commune : la nécessaire abrogation de la directive. Belle manœuvre de leur part mais finalement assez vaine puisque cette question du champ d'application de la directive devrait être réglée en amont par le nouveau code européen en matière de communications électroniques, actuellement débattu au parlement européen. Celui-ci prévoit de modifier la définition de « service de communications électroniques » pour y intégrer les nouveaux acteurs comme les services de messagerie en ligne.

Les obligations en matière de sécurité et de confidentialité doivent s'appliquer à tous les fournisseurs de services et ce de manière équivalente. Une égalité de traitement entre opérateurs, nouveaux services en ligne et futurs services à venir est nécessaire afin de pouvoir développer des règles plus ambitieuses pour la confidentialité et la sécurité de nos communications électroniques.


Argument n°5 : Les dérogations relatives à la sécurité nationale laissées aux États membres sont trop larges et mettraient en danger certaines pratiques des fournisseurs de services, comme la fourniture de services de messagerie chiffrés de bout en bout. [5]

Les États membres ont en effet grâce à l'article 15.1 de la directive ePrivacy la possibilité de déroger aux exigences prévues par la directive en matière de sécurité et de confidentialité pour des motifs de sécurité nationale, de défense et de sécurité publique. Ils peuvent ainsi adopter des mesures prévoyant, par exemple, la conservation des données (en France, c'est le cas avec l'article 6 de la Loi pour la Confiance en l'Économie Numérique de 2004 et le décret n°2011-219 du 25 février 2011) qui sont non seulement contraire à l'arrêt Digital Rights Ireland du 8 avril 2014 de la CJUE mais qui sont également susceptibles d'entrer en conflit avec certaines technologies mises en place par les fournisseurs de services tels que le chiffrement de bout en bout. Ces dérogations extrêmement larges laissées aux États membres sont donc incompatibles avec une exigence de sécurité et de confidentialité de nos communications électroniques.

Cela peut expliquer que les lobbys de l'industrie du numérique, tels que DIGITALEUROPE, s'opposent à l'élargissement du champ d'application du texte aux OTT car, du fait de l'article 15.1, cela reviendrait à compromettre la capacité de ces services à garantir la sécurité et la confidentialité des communications grâce au chiffrement.

Il y a donc un réel besoin de questionner ces larges dérogations laissées aux États membres pour des motifs aussi vastes que « sécurité nationale » et de drastiquement réduire le champ de l'article 15.1. Pour cela, la mention faite à la conservation des données doit être supprimée et il est indispensable de préciser que toute mesure nationale de surveillance relevant de ces exceptions devra être ciblée et effectuée sous le contrôle préalable d'une autorité judiciaire.
Afin de renforcer l'affirmation du droit à la vie privée et de rassurer les fournisseurs de services et les utilisateurs, La Quadrature du Net préconise également l'introduction d'un article à part entière sur l'importance des technologies de chiffrement. Celui-ci pourrait évoquer d'une part le rôle essentiel du chiffrement pour la sécurité et la confidentialité des communications électroniques et d'autre part rappeler aux fournisseurs de services ainsi qu'aux États membres leurs responsabilités en matière de promotion de ces techniques.


Argument n°6 : Vous allez tuer la compétitivité !!! [6]

Cet argument, d'une banalité sans nom dans le jargon des lobbyistes de l'industrie, sous-entend qu'interdire le développement de certaines pratiques ou certaines technologies considérées comme intrusives pour la vie privée désavantagerait l'Union européenne car les autres États ne disposent pas de réglementations aussi contraignantes.

Sauf qu'aujourd'hui les utilisateurs prennent de plus en plus conscience de ce que leurs données personnelles représentent pour eux et certains se tournent vers de services plus respectueux de la vie privée. Inutile d'espérer être compétitif en faisant la course aux modèles de trackings les plus intrusifs, il faut relever le défi qui se présente et voir en une règlementation ambitieuse et protectrice de la vie privée, l'incitation nécessaire à la fameuse innovation tant recherchée.

Mais ce changement d'orientation et ce changement de modèle économique des entreprises ne se fera pas grâce à la libre concurrence du marché. Sans une règlementation forte et ambitieuse, les entreprises n'accepteront jamais de risquer leurs profits immédiats. La révision de la directive ePrivacy est l'occasion révée pour promouvoir ce tournant idéologique dont l'économie numérique à tant besoin.