Blog Données personnelles

Précisions sur l’applicabilité de l’article 5(3) de la directive ePrivacy

Dans ces lignes directrices, le Comité européen de protection des données (« CEPD » ou son acronyme anglais “EDPB”) examine la manière dont l’article 5(3) [1] de la directive ePrivacy s’applique à diverses solutions techniques.

Cet article garantit aux utilisateurs la « protection de leurs terminaux contre tout accès ou stockage d’information non désiré » [2] . Ces opérations de stockage sont en effet soumises à consentement (sauf cas d’usage précis (1) si le stockage sert à effectuer techniquement la transmission d’une communication ou (2) est nécessaire pour fournir le service demandé par la personne.). Cet article est d’autre part transposé dans la loi Informatique et Libertés à l’article 82 s’appliquant notamment aux cookies.

L’apparition de nouvelles méthodes de suivi, destinées à remplacer les outils de suivi existants (cookies par exemple) constitue une préoccupation majeure en matière de protection des données.

C’est pourquoi, le 15 novembre 2023, le CEPD a soumis à consultation publique des lignes directrices pour clarifier la nature des techniques couvertes par cet article, complétant ainsi l’avis 9/2014 du groupe de travail G29 sur le sujet.

L’article 5(3) trouve à s’appliquer si trois critères sont réunis, chacun détaillé par les lignes directrices.

Le premier critère est celui de « l’information ». A noter qu’il est ici question d’information et non de données personnelles puisque la directive ePrivacy couvre un périmètre plus large. C’est d’ailleurs ce qu’avait confirmé la Cour de justice de l’Union européenne en 2019 puisque « cette protection s’applique à toute information stockée dans un tel équipement terminal, qu’il s’agisse ou non de données personnelles, et vise, en particulier, comme il ressort du considérant 24 de la directive ePrivacy, à protéger les utilisateurs » contre l’introduction de certains dispositifs dans leurs équipements terminaux. La notion d’information bénéficie donc d’une interprétation extensive faisant également entrer dans son champ les informations stockées par une entité externe accédant simplement en lecture seule aux informations. Dans une telle hypothèse, l’utilisateur doit consentir à ce traitement.

Le deuxième critère est celui « d’équipement terminal ». Cet équipement est défini par l’article 2 de la directive (UE) 2018/1972 comme “l’équipement connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour envoyer, traiter, ou recevoir des informations”. Les lignes directrices insistent sur la notion de protection de la vie privée des utilisateurs passant nécessairement par la protection de l’intégrité des terminaux de ces derniers. Pour que l’article 5(3) soit applicable, l’équipement terminal doit être connecté ou doit pouvoir l’être à l’interface d’un réseau de communication public. A l’inverse, les équipements qui font partie du réseau public de communications électroniques ne seraient pas considérés comme des équipements terminaux au sens du présent article.

Le troisième et dernier critère est celui de « stockage » [3] ou « d’accès à des informations » [4]. A noter que le stockage des informations et l’accès à ces dernières n’ont pas besoin de coexister pour que l’article 5(3) trouve à s’appliquer.

Ces lignes directrices proposent enfin des analyses pratiques tirées d’utilisations courantes et aborde notamment la question du pixel.

Le CEPD expose par exemple que dans le cadre d’un courriel, l’expéditeur peut inclure un pixel de suivi capable de détecter plus ou moins d’informations sur l’utilisateur (allant de la détection d’ouverture de mail à la collecte de métadonnées). Cette pratique permet d’établir automatiquement une « communication » entre l’utilisateur et le propriétaire du pixel, communication qui n’aurait certainement pas eu lieu sans l’intervention de ce procédé technique. La collecte d’informations dans ce cadre peut être considérée comme un « accès » au sens de l’article 5(3) de la directive. Cette analyse conduit donc le Comité européen à inclure la technique du pixel dans le périmètre de l’article 5 de la directive, lequel impose le consentement de l’utilisateur.

Un autre exemple dans lequel l’article 5(3) trouve à s’appliquer est celui des IoT. Le dispositif IoT, lorsqu’il est connecté à un réseau de communication public, peut être considéré comme un équipement terminal car l’objectif est bien la production d’informations de manière continue au fil du temps et entraine donc nécessairement un accès à ces informations au sens de la présente directive. Dans ce cadre de figure, le consentement est donc nécessairement requis.


[1L’article 5(3) Confidentialité des communications de la directive ePrivacy précise : « 3. Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur. »

[3Le stockage d’informations doit être entendu comme le fait de placer des informations sur un support de stockage électronique physique qui fait partie de l’équipement terminal d’un utilisateur ou d’un abonné.

[4La notion d’accès à des informations doit être entendue par l’accès indésiré de tiers aux informations d’un utilisateur ou d’un abonné.