COMMISSION EUROPÉENNE
Bruxelles, le 10.1.2017
SWD(2017) 6 final
DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION
Synthèse de l'évaluation REFIT ex post de la directive «vie privée et communications électroniques»
accompagnant le document:
Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)
{COM(2017) 10 final}
{SWD(2017) 3 final}
{SWD(2017) 4 final}
{SWD(2017) 5 final}
Synthèse
La directive «vie privée et communications électroniques» (2002/58/CE) établit des règles garantissant la protection de la vie privée dans le secteur des communications électroniques. Elle vise à faire en sorte que la préservation de la confidentialité des communications, conformément au droit fondamental au respect de la vie privée et familiale consacré à l’article 7 de la Charte des droits fondamentaux de l’Union européenne, soit garantie.
En vertu de la directive «vie privée et communications électroniques», les fournisseurs de services de communications électroniques, comme l’accès à Internet et la téléphonie fixe ou mobile, sont tenus de:
(1)prendre des mesures appropriées pour assurer la sécurité des services de communications électroniques (objectif spécifique);
(2)préserver la confidentialité des communications et des données relatives au trafic sur les réseaux publics (objectif spécifique).
La directive prévoit aussi la protection des utilisateurs et abonnés des services de communications électroniques contre les communications non sollicitées.
En 2015, la Commission a jugé nécessaire d’établir si les règles de la directive «vie privée et communications électroniques» ont atteint leurs principaux objectifs, à savoir assurer une protection efficace de la vie privée et de la confidentialité des communications dans l’UE, et si elles sont toujours adaptées au contexte réglementaire et technologique. L’évaluation au titre du programme pour une réglementation affûtée et performante (ci-après «évaluation REFIT») a consisté à analyser la directive selon plusieurs indicateurs, conformément aux lignes directrices pour une meilleure réglementation, à savoir: l’efficacité, l’efficience, la pertinence, la cohérence et la valeur ajoutée européenne. La Commission a également étudié les possibilités de simplifier les règles, en tant que de besoin, sans compromettre les objectifs de la directive «vie privée et communications électroniques».
L'évaluation concerne l'ensemble de l’UE et porte sur la période entre 2009 et 2016. Elle repose sur les éléments fournis par une consultation publique, une enquête Eurobaromètre, des dialogues structurés, des études externes, des rapports de suivi, des documents politiques de la Commission et d’autres publications spécialisées. Il a été difficile d’obtenir des données économiques solides pour étayer cette évaluation. Les statistiques et autres données quantitatives sur les coûts de mise en conformité occasionnés par la directive «vie privée et communications électroniques» soit n’existent pas, soit ne sont pas divulguées par les entités soumises aux obligations. Pour corroborer les conclusions de l’évaluation, il a donc fallu fonder le processus d’évaluation sur les sources susmentionnées.
Conclusions
Les dispositions de la directive restent totalement pertinentes pour ce qui est de répondre à l’objectif d’assurer le respect de la vie privée et la confidentialité des communications, mais certaines règles ne sont plus adaptées en raison des évolutions technologiques et commerciales et des changements dans le cadre réglementaire. C’est le cas des règles sur la sécurité et la notification des violations de données à caractère personnel, qui sont entièrement reprises dans le règlement général sur la protection des données adopté en avril 2016 et font donc désormais double emploi. En ce qui concerne la confidentialité des communications, les règles ont atteint leurs objectifs s’agissant des fournisseurs de services de communications électroniques, mais elles n’ont pas permis de protéger efficacement les individus qui utilisent des services par contournement (p. ex. voix sur IP ou messagerie instantanée) étant donné que la directive ne s’applique pas à ce type de services. Cette asymétrie réglementaire a mis les fournisseurs de services de communications électroniques en situation de concurrence défavorable vis-à-vis des nouveaux acteurs et créé des degrés de protection variables en fonction des moyens de communication utilisés.
Globalement, la directive semble avoir fourni un cadre approprié pour protéger la vie privée et la confidentialité des communications dans l’UE, mais une série de problèmes ont été recensés en ce qui concerne son efficacité.
Dans la pratique, l’application et le contrôle du respect des principes (p. ex. la confidentialité des communications et équipements terminaux) établis dans la directive se sont avérés problématiques sous plusieurs aspects. La plupart des États membres ont instauré plusieurs autorités chargées de la directive «vie privée et communications électroniques», parfois avec des compétences qui se recoupent, créant ainsi la confusion quant à l’organisme qui est responsable de la faire respecter. L’évaluation a également révélé que les règles de consentement sur la confidentialité des équipements terminaux, souvent appelées «règle sur les cookies» et destinées à responsabiliser les individus, n’ont pas été appliquées de façon réellement efficace. Les utilisateurs se voient demander d’accepter des cookies traceurs sans savoir ce que cela signifie en raison de la complexité des termes employés et, dans certains cas, s’exposent même à ce que des cookies soient installés sans leur consentement. De plus, la règle du consentement a été jugée à la fois trop inclusive, car elle s’applique aussi à des pratiques ne portant pas atteinte à la vie privée comme les cookies analytiques propres, et trop exclusive, car elle ne couvre pas expressément certaines techniques de suivi (p. ex. capture d’empreintes numériques) ne consistant pas nécessairement à accéder à des données ou à en stocker dans le dispositif. Pour ce qui est des communications commerciales non sollicitées, le nombre important de plaintes émanant de particuliers suggère que les règles ne répondent peut-être pas à l’objectif poursuivi.
En ce qui concerne l’efficience, il faut reconnaître qu’il est difficile d’obtenir des données quantitatives fiables et représentatives. La majorité des parties prenantes consultées n’ont pas pu fournir d’estimations chiffrées concernant les dispositions de la directive comme, par exemple, les coûts liés à l’obligation d’instaurer des mesures de sécurité et à l’obligation de placer des bandeaux relatifs aux cookies (pour obtenir un consentement). D’après l’étude accompagnant l’évaluation REFIT, il semble que les coûts de mise en conformité s’établiraient autour de 658 EUR par entreprise.
L’évaluation n’a mis en évidence aucune incohérence majeure entre la directive et les autres actes législatifs européens pertinents avec lesquels elle interagit. Toutefois, il a été recensé une série de doublons, notamment avec le règlement général sur la protection des données (p. ex. les règles de sécurité). Enfin, il ressort de l’évaluation que la directive «vie privée et communications électroniques» procure une valeur ajoutée européenne car elle impose des dispositions harmonisées sur la confidentialité des communications et des données relatives au trafic qui, dans le contexte d’un marché des communications électroniques de plus en plus transnational, prennent une importance accrue.
En dernier lieu, compte tenu du fait que les données quantitatives restent limitées, l’évaluation démontre aussi qu’un système efficace de suivi de l’application de la directive fait actuellement défaut et devrait être mis en place à l’avenir.