Après plus de 4 ans de négociations, le Conseil de l’Union européenne a annoncé, le 10 février 2021, que ses États membres s’étaient mis d’accord sur la proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans le secteur des communications électroniques (le « Règlement ePrivacy »).
La présidence portugaise du Conseil de l’Union européenne doit maintenant entamer les négociations avec le Parlement européen sur ce projet de Règlement ePrivacy.
Une fois entré en vigueur, le Règlement ePrivacy remplacera et abrogera la directive 2002/58/CE sur la vie privée et les communications électroniques.
La dernière version de ce projet de Règlement ePrivacy publiée le 10 février contient des dispositions relatives aux cookies et à la prospection commerciale.
S’agissant des modalités de recueil du consentement au dépôt de cookies, le projet de Règlement ePrivacy reconnaît que les utilisateurs sont actuellement fortement sollicités par les demandes de consentement sur les sites internet et que cette situation peut conduire à ce que l’utilisateur ne prenne plus connaissance des informations relatives au dépôt de cookies.
Pour anticiper cette situation, le projet prévoit que ce consentement peut être exprimé, lorsque cela est techniquement possible et réalisable, en utilisant les paramètres techniques appropriés des navigateurs. Cependant, cette possibilité de paramétrage via le navigateur semble atténuée par l’article 4.a) du projet qui affirme la prévalence du choix exprimé par l’utilisateur pour chaque site (par exemple via un bandeau cookies) sur les choix exprimés via les paramètres du navigateur.
D’autre part, le projet de Règlement ePrivacy ne met pas un terme aux « murs de cookies » mais conditionne leur existence.
La pratique des « murs de cookies » consiste à bloquer l’accès à un site internet pour l’utilisateur qui ne donnerait pas son consentement au dépôt de cookies. Pour rappel, la CNIL avait tenté d’interdire leur utilisation mais a été censurée par le Conseil d’Etat.
Dans la dernière version du projet, l’utilisation de « murs de cookies » par un site internet ne serait possible que pour les sites internet accessibles gratuitement à condition que les utilisateurs se voient proposer par l’éditeur dudit site un site équivalent n’impliquant pas un dépôt de cookies pour y avoir accès.
Cette disposition reviendrait donc en pratique à obliger les acteurs à créer de façon parallèle un site payant qui les exonérerait de l’obligation du dépôt de cookies.
S’agissant de la prospection commerciale, le projet de Règlement ePrivacy interdit l’envoi électronique de messages commerciaux sans avoir recueilli préalablement le consentement de l’utilisateur personne physique.
Dans le cas où l’utilisateur a préalablement acheté un bien ou un service, la prospection commerciale est possible sans consentement préalable uniquement si elle concerne des produits ou services analogues à ceux déjà achetés et si l’utilisateur se voit offrir la possibilité de s’opposer facilement et gratuitement à cette prospection. Pas de changement donc sur ce point par rapport à la doctrine de la CNIL.
Le projet du Règlement ePrivacy devant encore être négocié avec le Parlement européen, les mesures indiquées ci-dessus peuvent encore évoluer. Pour l’instant, la date des premières négociations n’est pas déterminée. Le projet de Règlement ePrivacy prévoit actuellement une entrée en application deux ans après sa publication au Journal Officiel de l’Union européenne.