Directive "Vie privée et communications électroniques" proche de l'adoption finale: améliorations en matière de failles de sécurité, de cookies, de mise en application, et plus à venir

Suite à l'accord intervenu la semaine dernière sur la réforme du "Paquet Télécom", rien ne s'oppose maintenant à l'entrée en vigueur de la directive "vie privée et communications électroniques" ^(*). Les formalités requises pour son adoption formelle seront engagées dans les semaines à venir. La directive révisée, telle que modifiée par le Parlement européen et adoptée par le Conseil, devra alors être mise en œuvre par les États membres dans les 18 mois.

Les nouvelles dispositions de la directive apportent des améliorations importantes en matière de protection de la vie privée et des données personnelles de tous les Européens intervenant dans l'environnement en ligne. Les améliorations ont trait aux failles de sécurité, aux logiciels espions, aux cookies, au spam, et à la mise en œuvre des règles. Le CEPD a étroitement coopéré avec le Parlement européen, le Conseil et la Commission européenne sur le travail législatif qui a permis d'aboutir au texte final ^(**).

Peter Hustinx, CEPD, commente: "Je salue les nombreuses améliorations en matière de protection de la vie privée dans la version révisée de la directive. Mais il est désormais essentiel d'élargir la portée des dispositions relatives aux failles de sécurité à tous les secteurs et de mieux définir les procédures de notification. Par ailleurs, les nouvelles règles doivent être appliquées efficacement. Je relève en particulier l'accent mis sur une application plus efficace des règles sur les logiciels espions et les cookies. Cela revêt un intérêt d'autant plus important lorsque le droit à la vie privée doit être protégé par rapport à la publicité dite ciblée."

Les modifications apportées comprennent:

• l'introduction, pour la première fois dans l'Union européenne, d'un cadre pour la notification obligatoire des failles de sécurité. Tout fournisseur de communications électroniques ou fournisseur d'accès à Internet (FAI) impliqué dans une violation de données personnelles devra informer les individus concernés si la violation est susceptible de leur nuire. Cela concernera par exemple une situation où la perte de données peut occasionner un vol d'identité ou une fraude, ou être à l'origine d'une humiliation ou de dommages à la réputation. La notification contiendra des recommandations pour éviter ou réduire les risques. Le cadre pour la notification des failles s'appuie sur le renforcement des dispositions en matière de mise en œuvre des mesures de sécurité par les opérateurs, et devrait permettre de limiter le flot croissant de violations de données;

• une protection renforcée contre l'interception des communications au moyen, notamment, de logiciels espions et de cookies stockés sur l'ordinateur des utilisateurs ou sur un autre appareil. Avec la nouvelle directive, les utilisateurs devraient se voir offrir une meilleure information et de plus grandes facilités pour contrôler l'installation de cookies dans leur équipement terminal;

• la possibilité pour toute personne affectée par le “spamming” (envoi non sollicité de courriels), y compris les FAI, d'engager une procédure judiciaire contre les "spammeurs";

• un renforcement significatif des pouvoirs d'exécution des autorités nationales de protection des données. Celles-ci seront par exemple en mesure d'ordonner la cessation immédiate des infractions et auront des capacités renforcées en matière de coopération transfrontalière.

(*) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

(**) Premier et deuxième avis du CEPD sur la révision de la directive "Vie privée et communications électroniques".