Vous avez aimé le RGPD ? Vous allez adorer l'e-Privacy

Le Règlement Général sur la Protection des Données (le RGPD) entrera en vigueur dans quelques semaines, le 25 mai. Nous avions déjà abordé ce sujet dans un précédent éditorial.
Si vous êtes déjà en plein processus de « mise en conformité » RGPD, vous êtes sans doute déjà conscients de la difficulté que cela représente, tant cette nouvelle réglementation change des habitudes acquises depuis longtemps. Qui plus est le texte est touffu, et si j’en crois la perplexité de nos clients, très difficile à comprendre, les clauses étant souvent sujettes à interprétation (et quelle interprétation est la bonne : en fait, sans jurisprudence, on ne sait pas encore).

Mais alors même que le RGPD n’est pas encore entré en vigueur, voici qu’un autre texte Européen sur le même sujet fait polémique : la directive ePrivacy ?
Qu’est-ce que c’est ? Quelle est la différence entre ce texte et la RGPD ? Et pourquoi cette nouvelle réglementation a engendré une levée de bouclier dans le monde de l’e-Publicité ?
Voila autant de questions auxquelles je vais chercher à répondre aussi clairement que possible. Ce qui n’est pas simple tant le sujet est mouvant, complexe, et truffé de zones de flou juridique absolu !

RGPD et e-Privacy : deux textes complémentaires ?

Au départ, les législateurs européens ont pensé ces deux textes comme deux faces de la même pièce, et pensaient les rendre tous les deux applicables au même moment (le 25 mai prochain).
Le RGPD est un texte réglementaire destiné avant tout à réglementer la collecte et le traitement informatique des données dites « personnelles ». L’e-Privacy est un texte à la portée beaucoup plus large, et il a une portée juridique plus importante. Ce texte remplace la précédente directive e-Privacy, dont l’effet le plus visible avait été la mise en place des fameux bandeaux d’acceptation des cookies sur tous les sites.
En principe, les deux textes sont censés se compléter. En réalité, il y’a des zones de recouvrement, et les clauses de ces deux textes sont parfois contradictoires. Par exemple, s’agissant de l’optin email, cette obligation ne concerne pas les usages B2B selon le RGPD. Mais dans les premières versions du texte sur l’e-Privacy, l’exclusion pour les usages B2B disparait !
Alors quelle disposition appliquer ? Et bien, compte tenu de la hiérarchie des textes, ce sera la disposition e-Privacy qui sera applicable !

La question des cookies et l’e-Privacy : le sujet qui fâche

Le projet de nouveau réglement sur l’e-Privacy généralise la pratique de l’opt-in pour le marketing direct envoyé par dispositif electronique (donc les emails, les SMS, les automates d’appel etc…)
La directive étend aussi la notion de confidentialité des contenus, en particulier aux meta datas.
Mais surtout, et c’est ce qui inquiète les annonceurs et les régies, dont les revenus sont déjà menacés par les adblockers, le texte projeté renforce violemment les règles sur les cookies et les trackers.
Les utilisateurs doivent consentir préalablement à toute utilisation de données à la lecture et à l’installation des cookies. Ce consentement et les traitements doivent être conformes au RGPD. Seul les cookies techniques, et certains cookies d’audience sont exclus de la mesure.

Et s’agissant des cookies tiers, qui sont indispensables au fonctionnement de nombreux dispositifs publicitaires, il est prévu de proposer de permettre aux internautes de les bloquer via les navigateurs (les premières versions du texte prévoyaient leur blocage par défaut obligatoire dans les navigateurs !).
Evidemment, cette perspective a déclenché une levée de boucliers chez les annonceurs et les régies.

Les medias européens se mobilisent contre l’ePrivacy

Depuis la première version du texte, en janvier 2017, tout ce que le secteur de la communication et de publicité comporte comme syndicats et comme groupes de pression s’est progressivement mobilisé pour exprimer leurs inquiétudes.
Cette campagne a atteint son paroxysme avec des appels lancés par de nombreux groupes de presse européens il y’a quelques semaines.
En France, cela s’est concrétisé par une lettre ouverte initiée par le SPQN (Syndicat de la Presse Quotidienne Nationale) et signée par de nombreux acteurs du web français, dont la conclusion était la suivante :
« Nous appelons les décideurs politiques européens et nationaux à revoir le projet de règlement « e-Privacy ». Le marché unique numérique mérite mieux qu’un texte aux effets de bord massifs et incontrôlés. Il a besoin de définitions claires et simples, distinguant les données personnelles et non personnelles, d’application cohérente et horizontale, afin d’assurer protection des personnes et développement de l’écosystème numérique européen. »

                   Les signataires de la lettre ouverte sur le règlement e-Privacy

Quand le réglement e-Privacy entrera en vigueur ?

Pas à la date prévue, c’est sur ! Certains parlent de fin 2018, mais de nombreux acteurs demandent un délai de 12 à 24 mois pour leur laisser le temps de s’adapter à la nouvelle donne. Alors 2019 ? 2020 ?
En tout cas, d’ici là, on a pas fini d’entendre parler d’ e-Privacy.
Le texte sur le site de la Commission
La lettre ouverte du SPQN