Menu

Projet de règlement européen E-Privacy : vers un nouveau renforcement des règles sur les cookies et le marketing direct ?

Projet de règlement européen E-Privacy .jpg

E-Privacy : Un projet de texte qui va impacter les pratiques marketing et publicitaires sur le digital

Le contexte

La Commission européenne a publié le 10 janvier son projet de révision de la directive E-privacy.

Pour mémoire, il s’agit de la Directive prévoyant l’opt-in pour la prospection commerciale notamment par courrier électronique et comportant les dispositions sur les cookies et tout autre traceur. Après l'adoption du Règlement européen sur la protection des données personnelles (GDPR), qui entrera en application le 25 mai 2018, c'est donc un nouveau projet susceptible d’impacter vos pratiques marketing qui est lancé. La Commission européenne souhaite que ce nouveau texte entre en application en même temps que le GDPR. Les délais de discussion, d'adoption et de mise en œuvre seront donc particulièrement serrés.

L'Union des marques, qui avait participé à la consultation menée au printemps dernier par la Commission européenne, est pleinement mobilisée. 

 

Premières inquiétudes

Ce projet de règlement prévoit de renforcer les règles actuelles sur les cookies et autres traceurs mais également d'étendre le principe de l'opt-in à l'ensemble du marketing direct envoyé par voie électronique. Il pose également un cadre strict à l'utilisation de metadata qui inclurait les données de localisation générées par les terminaux pour la connexion à un service de communication électronique. Lors de l'annonce de l'engagement d'une procédure de révision de ce texte, il avait été indiqué qu'elle visait à tenir compte des évolutions technologiques et de l’adoption du Règlement européen sur la protection des données personnelles (GDPR).

Cependant, en renforçant encore les règles sur la gestion des cookies et autres traceurs et l'opt-in en matière de marketing direct, le projet de règlement publié par la Commission européenne ne tient pas compte du fonctionnement du marché de la publicité qui ne repose pas uniquement sur la collecte de données personnelles, déjà appréhendée par le GDPR. Il aurait été souhaitable que les règles posées dans ce projet de règlement privilégient un cadre moins strict en l'absence de telles données. L'adoption du texte en l'état pourrait être contre-productive pour les utilisateurs. Si le consentement s'avère requis largement sur le digital, certains acteurs incontournables ayant des facilités à obtenir le consentement de leurs utilisateurs pourraient en effet généraliser les logs et les comptes et de facto, d'une part privilégier la collecte de données personnelles à d'autres données et d'autres part bénéficier d'un avantage concurrentiel non négligeable.

 

Que contient ce projet dans le détail ? Décryptage.

Un projet de règlement : il ne s'agirait plus d'une directive mais d'un règlement, ce qui signifie que le texte sera applicable dans les mêmes termes dans tous les pays européens, sans transposition. La mise en œuvre du texte serait confiée au futur Comité européen de la protection des données mis en place par le règlement européen sur la protection des données personnelles (G29 actuel qui regroupe les autorités de protection des données européennes, dont la CNIL).

Qui prévoit de renforcer les règles sur les cookies et autres traceurs : Les dispositions sur les cookies concernent désormais explicitement l’ensemble des techniques de tracking, ce qui était déjà l'interprétation de la CNIL en France. Les règles ont peu changé : il est toujours exigé que les utilisateurs consentent à la lecture ou l'installation de cookies, sauf pour les cookies techniques. A cette exception sont ajoutés certains cookies d'audience, comme cela était admis en France. Pour tous les autres cookies ou traceurs, le consentement des internautes est donc requis et devra répondre aux critères posés par le règlement européen sur la protection des données personnelles (consentement libre, spécifique, éclairé). Le projet de règlement ne met donc pas fin en soi aux fameux bandeaux cookies pour les sites qui souhaiteront obtenir le consentement sur des cookies first party ou third party non exemptés et ce texte suscitera à nouveau des débats sur les moyens d'obtenir l'accord des utilisateurs sur ces cookies. Sur les modalités de recueil du consentement, il est simplement réaffirmé que le navigateur peut permettre à l’internaute d’exprimer son  consentement. A ce titre, point nouveau, les navigateurs devront quant à eux proposer un paramétrage (acceptation ou refus) dédié aux cookies tiers. Le projet de règlement qui avait fuité prévoyait un paramétrage de refus par défaut des cookies tiers. Dans le projet rendu public, les utilisateurs devront obligatoirement procéder à ce paramétrage pour poursuivre l'installation de leur navigateur, ou au moment de leur mise à jour et au plus tard le 25 août 2018.

Qui généralise le principe de l'opt-in pour le marketing direct envoyé par voie électronique. Qu'entend-on par marketing direct ? Le projet de règlement propose de lui donner la définition suivante : toute forme de publicité, écrite ou orale, envoyée à un ou plusieurs utilisateurs identifiables de services de communications électroniques, incluant les l'utilisation des automates d'appel et services de communications avec ou sans intervention humaine, les emails, sms, etc.  Cette définition large suscite l'inquiétude en ce qu'elle soumet à un consentement préalable l'ensemble des communications envoyées à des personnes identifiables à un consentement préalable. Or, dans la règlementation actuelle, seul le marketing direct par courrier électronique (email, sms, …) ou sans intervention humaine (automates d'appels, fax, etc.) est concerné par le principe de l'opt-in. Dans ce projet, c'est l'ensemble du marketing direct envoyé par voie électronique qui serait concerné. Ceci implique des règles plus strictes que le règlement européen sur la protection des données qui admet que les entreprises puissent prospecter leurs prospects sans leur consentement, sur la base légale de leur intérêt légitime à communiquer sur leurs produits ou activités. Les règles posées ne sont cependant pas différentes pour l'envoi d'email pour lequel un opt-in était déjà nécessaire, sauf en cas de prospection de clients pour des produits ou services analogues, ce qui est maintenu dans le projet. A noter, pour le démarchage téléphonique, les Etats membres pourront déroger au principe de l'opt-in, ce qui pourra laisser la possibilité à la France de maintenir le système de liste d'opposition centralisée (Bloctel) actuellement en place.

Qui étend à tous les acteurs, et non plus aux seuls opérateurs de télécommunications le principe de confidentialité des contenus et, fait nouveau, des metadatas échangés. Cette interdiction qui vise les métadatas émises par les terminaux suscite également l'inquiétude, d'autant que les possibilités de déroger par le consentement des utilisateurs sont limitées à des cas précis.

 

Projet de règlement (en anglais)

Experience client Consumers Relationship Team