Réglementation des cookies : l’Europe avance-t-elle à reculons ?

27459
Imprimer

Alors que le projet de règlement européen fait depuis fin 2017 l’objet de discussions entre Etats membres, non sans raisons du fait de son impact fondamental sur l’ensemble des activités digitales, quels sont les derniers développements sur ce dossier à l’approche des élections européennes et doit-on s’attendre à une avancée décisive sur ce texte prochainement ? L’occasion d’en dresser ici les enjeux pour les e-commerçants.

Le Projet de Règlement ePrivacy publié par la Commission européenne en janvier 2017 et repris en grande partie par le Parlement européen dans son rapport adopté en octobre 2017, fait depuis lors l’objet de discussions au Conseil, empêchant ainsi le démarrage des négociations avec le Parlement, faute de position commune des Etats membres. La présidence actuelle du Conseil (la Roumanie) tente tant bien que mal de faire avancer ce dossier et a publié le 22 février une nouvelle version du texte encore actuellement discutée par les Etats membres et qui consolide la précédente mouture du texte telle que formulée par la présidence autrichienne en octobre dernier. La Roumanie affiche pour ambition de parvenir à une position commune du Conseil d’ici fin mars.

Pourtant les blocages sur ce texte sont à la hauteur des enjeux qu’il cristallise puisqu’il vise à renforcer le respect de la vie privée dans les communications électroniques et impacte de ce fait fondamentalement l’ensemble des activités digitales. La présente note a pour objet de récapituler les points d’achoppement pour le secteur du e-commerce et d’analyser les derniers développements au niveau du Conseil à même d’influer sur ces dispositions.

Trois points en particulier contenus dans la proposition initiale, soulèvent des difficultés pour les activités du commerce en ligne:

  • La question de l’accord de l’utilisateur concernant l’origine des cookies (considérants 20 et 21 et articles 8 et 9)

Le texte initial requiert le consentement obligatoire pour la dépose de cookies de manière quasi systématique et va donc bien au-delà de ce qui est prévu par le RGPD en matière de consentement. Suite aux discussions tenues au Conseil à l’automne dernier sur la question de l’accès conditionnel au contenu de sites Web et sur la nécessité de ne pas compromettre les modèles commerciaux, tels que les services en ligne financés par la publicité, la présidence autrichienne avait proposé des exemptions à la règle du consentement lorsque l’utilisation est nécessaire et proportionnée à l’objectif légitime poursuivi. Il en a été décidé ainsi notamment des cookies de session d’authentification utilisés pour vérifier l’identité des utilisateurs finaux engagés dans des transactions en ligne, des cookies utilisés pour mémoriser les éléments sélectionnés par l’utilisateur final et placés dans le panier, ainsi que le traitement d’informations du terminal de l’utilisateur nécessaires à la fourniture de services par les objets connectés, ou encore des cookies utilisés pour la mesure d’audience, la sécurité et de prévention des fraudes. 

Le texte de la présidence roumaine a le mérite de reprendre dans le considérant 21 ces situations autorisées d’exemptions au consentement. En revanche, le texte de compromis ajoute un paragraphe au considérant 21 selon lequel par défaut, le consentement devrait être requis dès lors que les informations provenant des équipements terminaux des utilisateurs finaux sont collectées à des fins autres que celles nécessaires à la réalisation de la transmission d’une communication électronique par un réseau distant.  

  • La disposition sur les paramètres de confidentialité des logiciels de navigation (article 10)

La disposition relative à la collecte du consentement via les paramètres du navigateur a suscité de nombreuses inquiétudes exprimées y compris par la FEVAD, du fait de la difficulté pratique que cela représente pour l’ensemble des éditeurs, de l’impact sur l’environnement concurrentiel numérique, mais aussi sur l’expérience des utilisateurs finaux, certains allant jusqu’à dénoncer une fatigue du consentement. Certaines délégations pourraient appuyer cette suppression, tandis que d’autres préféreraient disposer d’une disposition simple et claire sur les informations relatives aux paramètres de confidentialité à fournir à l’utilisateur final.

Alors que la présidence autrichienne proposait de supprimer entièrement l’article 10 en renonçant à l’expression du consentement au niveau du navigateur, la proposition roumaine de compromis maintient ce principe et suggère de simplifier et optimiser cette opération pour l’utilisateur via notamment l’établissement d’une whitelist sur laquelle l’utilisateur inscrirait les fournisseurs auxquels il accorde son consentement.

  • Le traitement autorisé des données de communications électroniques (article 6)

De nombreuses modifications ont été apportées à l’automne dernier par les Etats membres dans le but de favoriser davantage l’innovation et de s’aligner plus étroitement sur le RGPD. Certains États membres seraient favorables à une liste fermée de traitements autorisés. Le Conseil a souligné que le règlement devait être suffisamment évolutif et suffisamment souple pour permettre le développement de services innovants. Par conséquent, la présidence autrichienne a introduit une possibilité de traitement compatible ultérieur des métadonnées de communications électroniques, inspirée du RGPD (article 6.2.a). La présidence a également ajouté un nouveau terrain pour le traitement des données de communications électroniques nécessaires à la protection des équipements terminaux (article 6.1.c).

La Commission européenne continue de faire pression sur le Conseil. Elle souhaiterait notamment organiser au moins une réunion de trilogue en avril (avant les élections européennes), afin de consolider la position du Parlement et la conserver après les élections pour empêcher que le prochain Parlement ne rouvre le dossier en septembre.

Sous l’égide de la Fédération sur le Marketing Direct (FEDMA), un courier signé par les principales organisations professionnelles concernées, a été adressé le 28 février aux représentations permanentes des Etats membres à Bruxelles, appellant à établir une nouvelle étude d’impact, qui détaille l’impact du e-privacy sur l’ensemble de l’économie (en particulier l’industrie de la publicité en ligne) et son alignment avec le RGPD.

En conclusion, du fait des questions substantielles restant encore à traiter au niveau des Etats membres et de la fin prochaine de la mandature en mai 2019, il paraît très ambitieux qu’un accord puisse être dégagé d’ici là entre les co-législateurs. L’importance de concilier à la fois un haut niveau de protection des données et de la vie privée des citoyens de l’UE, tout en offrant une sécurité juridique aux PME et aux autres entreprises ainsi qu’un environnement économique ouvert et concurrentiel, exige sans doute de prendre le temps nécessaire pour obtenir un accord équilibré. La Fevad continue de se mobiliser sur ce texte majeur pour le secteur du e-commerce./.