Règlement ePrivacy (UE) 2021/1232 du 14 juillet 2021
Règlement Européen instituant jusqu’au 3 août 2024, une dérogation temporaire aux articles 5(1) et 6 de la Directive 2002/58/CE concernant le principe de confidentialité des communications électroniques aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne – Regulation ePrivacy (EU)2021/1232 of 14 July 2021 on a temporary derogation from certain provisions of Directive 2002/58/EC
Règlement ePrivacy – EU ePrivacy Regulation (ePR) proposition en discussion 2017/0003/COD
Renforcement et extension de la règlementation européenne à l’ensemble des acteurs fournissant des services de communication électronique (WhatsApp, Facebook Messenger, Zoom, Skype, etc…) pour former avec le RGPD – dont la portée pourra être étendue aux personnes morales (consentement) – dans la perspective du Marché Unique Numérique (MUN/DSM), un corps de règlementation unique, simplifié et harmonisé en matière de protection de la vie privée des personnes physiques, visans à se substituer à la Directive 2002/58/EC (ePD).
Le projet de Règlement ePrivacy (ePr), sur le visa de l’article 7 de la Charte des Droits Fondamentaux, rappelle que le principe de confidentialité des communications électroniques impose que les informations échangées entre les parties à cette communication – en ce les éléments externes d’une telle communication qui lui sont rattachés – ne doivent être révélées qu’aux seules et uniques “parties” à ladite communication.
Par ailleurs, il dispose que la stricte confidentialité des communications doit profiter aussi bien aux personnes physiques qu’aux personnes morales, et s’appliquer aux moyens de communication actuels et futurs, en ce compris les appels téléphoniques RTC, les communication http et autres protocoles utilisés pour accéder à Internet, les applications de messagerie instantanée type Whatsapp ou Messenger, le courrier électronique, les appels VOIP et les messageries instantanées encapsulées et fonctionnant par le biais des réseaux sociaux type Facebook ou Twitter.
Les metadata de toute nature (numéros des appels émis et reçus, sites Internet visités, localisation géographique, l’heure, la date et la durée d’un appel entre deux ou plusieurs parties, etc…) pourraient devoir être anonymisées ou effacées dans la plupart des situations, à défaut de consentement expresse des utilisateurs.
Ces metadata ou metadonnées – parties intégrantes du contenu des communications électroniques échangées – représentent des données techniques à très forte valeur informative susceptible de porter aisément atteinte à l’intimité de la vie privée. Leurs lectures, analyses et recoupements permettent, en effet, de tirer des conclusions très précises sur la vie privée des personnes parties à la communication électronique qui les encapsulent, à savoir, la nature et la fréquence de leurs relations sociales , leurs habitudes, la nature de leurs activités au quotidien, leurs intérêts et goûts particuliers ou conjoncturels, leurs opinions politiques, etc…
Les personnes morales pourraient ainsi bénéficier, par la combinaison du RGPD et de l’ePR, d’une protection renforcée portant sur tout élément d’information sensible à très forte valeur économique échangé lors de communications électroniques, en ce leurs “secrets d’affaires” ou autres créations originales innovantes.
L’ePR devrait s’appliquer à tout fournisseur de services de communications électroniques, en ce, les fournisseurs d’annuaires accessibles au public, les personnes physiques et morales qui utilisent des services de communications électroniques pour envoyer des communications commerciales de marketing direct et qui pourraient aussi utiliser les capacités de traitement et de stockage des équipements des utilisateurs finaux, voire collecter quelque élément d’information traité, émis, ou stocké dans lesdits équipements.
A l’instar du RGPD, l’ePR aura vocation à s’appliquer indépendamment du fait que les traitements de données des communications électroniques ou des données à caractère personnel des utilisateurs finaux alors présents physiquement sur le territoire de l’Union Européenne aient lieu au sein de l’Union ou non, et/ou que le prestataire de services ou le responsable de traitement soient établis ou situés sur le territoire de l’Union ou non.