Le Conseil européen de la protection des données (CEPD) a publié le 14 novembre 2023 les lignes directrices 2/2023 sur le champ d'application technique de l'article 5(3) de la directive ePrivacy. Cet article impose aux États Membres de veiller à ce que « l'utilisation de réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur » ait donné son consentement sauf si ce stockage ou accès est strictement nécessaire ou vise exclusivement à effectuer la transmission d’une communication. Initialement créées pour réglementer l’utilisation des cookies, ces technologies de suivi ne reposant pas sur l’utilisation de cookies (ex : pixels, fingerprinting) soulèvent des incertitudes quant à l'applicabilité de l'article 5(3) de la directive ePrivacy à ces solutions. Nous vous présentons ici notre analyse de ces lignes directrices qui pourraient bien évoluer que marginalement dans leur version finale issue de la consultation publique.
Les lignes directrices du CEPD se décomposent en deux parties : la première clarifie les notions clés relatives à l'application de l'Article 5(3), traitant des éléments tels que la notion d'« information », de « l'équipement terminal d'un abonné ou utilisateur », du « réseau de communications électroniques », de l'« accès » et des notions de « stockage » et « d'information stockée ». La seconde partie aborde des cas d'utilisation spécifiques, examinant diverses méthodes de suivi, telles que le suivi par URL et pixel, le traitement local, le suivi basé uniquement sur l'adresse IP, la collecte d’informations par des équipements d’IoT (internet des objets), ainsi que l'utilisation d'identifiants uniques. Ces lignes directrices marquent une interprétation extensive des notions clés, transformant l'article 5(3) en une clause englobante, susceptible de couvrir toute forme de suivi, indépendamment de la technologie employée.
D’abord, sans surprise, le CEPD rappelle que l’article 5(3) ne s'applique pas exclusivement s’il y a des données à caractère personnel, englobant à la fois les données personnelles et non personnelles.
Deuxièmement, les lignes directrices précisent le concept de réseau de communications électroniques, en se référant au Code Européen des Communications Électroniques. Ce terme désigne tout système réseau facilitant le transfert de signaux électriques, indépendamment des équipements ou protocoles utilisés par l'utilisateur. Le CEPD souligne que la gestion ou le déploiement du réseau n'affecte pas cette définition, qui peut inclure des réseaux ad-hoc où les dispositifs terminaux se connectent dynamiquement via un protocole de courte portée. La taille du réseau, ou le nombre d'équipements terminaux, est considéré comme non pertinent. Ainsi, même un réseau de communication minimal, avec seulement deux pairs, relève de l'Article 5(3) si le protocole réseau permet l'ajout d'autres pairs. Le CEPD précise également qu'un réseau limité à un groupe spécifique d'individus ne le qualifie pas automatiquement de réseau privé.
Troisièmement, en ce qui concerne la notion de « stockage d’information », le CEPD considère que cette notion renvoie au fait de placer des informations sur un support de stockage électronique physique faisant partie de l'équipement terminal d'un utilisateur ou d'un abonné. Il n’y a pas de limite quant à la durée pendant laquelle l'information doit persister sur un support de stockage pour être considérée comme stockée, ou de limite quant à la quantité d'informations à stocker. Le support de stockage peut être connecté en interne (par exemple via une connexion SATA), en externe (par exemple via une connexion USB) ou via un protocole de réseau (par exemple un dispositif de stockage connecté au réseau).
Quatrièmement, la notion « d’accès à des informations déjà stockées » est indépendante de la notion de stockage des informations. L'avis 9/2014 du WP29 sur l'application de la directive 2002/58/CE aux empreintes digitales des appareils retient que « les informations qui sont stockées par une partie (...) et auxquelles une autre partie accède ultérieurement relèvent donc du champ d'application de l'article 5, paragraphe 3 ». Dès lors que l'entité accédante souhaite accéder aux informations stockées dans l'équipement terminal et prend des mesures actives à cette fin, l'article 5, paragraphe 3, s'applique. En pratique, pour les cookies par exemple, L’article 5(3) s’applique lorsque l'entité accédante donne l'instruction à l'équipement terminal d'envoyer proactivement des informations lors de chaque appel HTTP ultérieur.
Finalement, en ce qui concerne la notion d' « équipement terminal d'un utilisateur abonné », la directive 2008/63/CE définit ce terme comme un « équipement directement ou indirectement connecté à l'interface d'un réseau public de télécommunications pour envoyer, traiter ou recevoir des informations ». L’équipement peut être constitué d'un nombre quelconque de pièces individuelles de matériel qui, ensemble, forment l'équipement terminal. Ce dernier peut être également loué ou fourni à l'utilisateur ou à l'abonné par d'autres moyens. Toutefois, cette disposition ne devrait pas couvrir les appareils qui sont utilisés uniquement comme relais de communication et qui ne font que transmettre des informations sans les modifier. Ainsi on peut comprendre que l’équipement terminal englobe presque tous les appareils électroniques qu’un utilisateur pourrait avoir chez lui.
On peut à ce titre regretter que les lignes directrices oublient d’aborder la notion clé d’utilisateur de l’article 5(3) de la directive ePrivacy, pourtant définie par la directive et qui en circonscrit le champ d’application. Ainsi, l’utilisateur est défini comme toute personne physique utilisant un service de communications électroniques (ex : service d’accès à internet) accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service. Ainsi, si le visiteur d’un site internet est incontestablement un utilisateur au sens de la directive ePrivacy, il en est autrement d’un utilisateur d’une voiture de location dont la batterie est connectée pour des questions de traçabilité et de sécurité. Dans ce cas, le service utilisé est bien celui d’un service de location, et non pas d’un service de communications électroniques.
Une position menant à une application trop large aux technologies de suivi
S’agissant maintenant des pratiques actuelles de suivi, le CEPD aborde plusieurs technologies concrètes et les regroupe toutes, en raison d'une interprétation très étendue de la notion, sous la catégorie des opérations relevant de l'article 5(3) de la directive ePrivacy.
- Liens et pixels de suivi: Le CEPD considère que ces méthodes sont soumises à l'article 5(3) du fait qu’elles stockent des informations sur le terminal de l'utilisateur, au moins par le biais du mécanisme de cache du logiciel côté client. Cette interprétation technique et juridique est pour le moins discutable puisque la technologie de pixel fonctionne sur le principe d’une requête HTTP classique à laquelle est associé un identifiant unique. De plus, cette position sur le stockage à très court terme reviendrait de facto à soumettre tout stockage d’information même de très courte durée à consentement de l’utilisateur.
- Traçage basé uniquement sur l'IP : L'EDPB confirme que cette activité ne tombe sous le coup de l'art. 5(3) que lorsque l'adresse IP provient de l'équipement terminal de l'abonné ou de l'utilisateur. Au regard de la définition donnée de l’équipement terminal de l’abonné on comprend que la collecte d’adresse IP même à partir du trafic réseau (hors équipement terminal de l’utilisateur) peut relever de l'article 5(3), de la directive, alors que de telles collectes sont au fondement du protocole TCP-IP, protocole régissant le fonctionnement d’internet. L'EDPB reconnaît que dans ces situations instables, il incomberait à l'organisation concernée de s'assurer que ses opérations n'entrent pas dans le champ d'application de l'article 5(3) de la directive. Or le CEPD n’a pas donné les exigences à satisfaire pour ne pas tomber dans ce cas et fait fi des contraintes opérationnelles et techniques de telles vérifications.
- Le traitement local de données : Le traitement local des informations repose sur un logiciel distribué sur le terminal de l'utilisateur, dans lequel les informations produites par le traitement local sont mises à la disposition d'acteurs sélectionnés, par l'intermédiaire d'une API côté client. L'EDPB note que si ces informations mises à disposition sont renvoyées sur le réseau (par exemple vers un serveur), cette opération constituerait un « accès à des informations déjà stockées » et relèverait de l'article 5(3).
- La collecte d’informations par des équipements d’IoT : Le CEPD retient également l'accès aux appareils IoT relève de la directive ePrivacy. En effet, soit parce que les appareils IoT constituent eux-mêmes un terminal, soit - en fonction de la connexion réseau - parce qu'ils transmettent au moins les informations à un terminal (comme le routeur par exemple). Encore une fois, la notion d’équipement terminal fait l’objet d’une interprétation très large non anticipée par la directive ePrivacy.
- Identifiants uniques : Le stockage d'identifiants uniques formés sur l'appareil de l'utilisateur à l'aide de valeurs de hachage à partir de données telles que le nom ou l'adresse e-mail est également couvert. La formation de la valeur de hachage sur l'appareil terminal constitue déjà un stockage nécessitant une justification, car les données sont présentes dans l'appareil terminal, en tout cas de manière transitoire. Ici aussi le CEPD semble suivre une interprétation trop large de l'article 5(3), puisque lorsque les informations sont saisies directement par l’utilisateur, elles sont stockées temporairement sur le terminal. Cela risque d'impliquer que toute information transmise sur l'internet par l'utilisateur serait considérée comme relevant de l'article 5(3), or toute requête des utilisateurs sur Internet entraîne nécessairement la transmission d’informations entrées par les utilisateurs.
Ces lignes directrices démontrent donc une véritable volonté des autorités de protection des données de considérer que toute technologie de suivi est couverte par l’article 5(3) de la directive ePrivacy, même quand aucune information n’est stockée ou qu’aucune information stockée n’est accédée sur l’équipement terminal de l’utilisateur. Pourtant, la rédaction de l’article 5(3) de la directive ePrivacy fait explicitement référence à ces actions techniques particulières (stockage d’information ou accès à des informations stockées), puisque visant implicitement les techniques de suivi type cookies. L’interprétation du CEPD, fondée sur un considérant de la directive relatif à la protection de la vie privée des utilisateurs, adopte a contrario une approche neutre technologiquement en considérant in fine que tout accès à des informations coté utilisateurs relève de la directive ePrivacy (même sans stockage ou accès à des informations stockées). D’une part, cette approche est contra legem puisque l’article 5(3) a un objet technique spécifique et ne couvre pas des techniques de suivi ne nécessitant pas de stockage ou d’accès à des informations stockées (pixel, traçage sur IP). D’autre part, de telles lignes directrices conduiront à de considérables difficultés pratiques pour tout acteur en ligne, puisque tout accès à des informations de l’utilisateur sera susceptible d’être couvert à la directive ePrivacy et donc potentiellement soumis au consentement (sans préjudice des dispositions du RGPD qui s’appliqueront en sus en cas de traitement de données personnelles).
Par ces lignes directrices, on comprend donc en filigrane que c’est bien le principe de suivi des utilisateurs à des fins marketing et publicitaires qui est ciblé par les autorités. Si l’intention est compréhensible et est agnostique à la technologie utilisée, la lettre de l’article 5(3) de la directive ePrivacy règlemente des technologies de suivi spécifiques ne pouvant être simplement confondues avec l’accès à des informations des utilisateurs, et ne vise pas généralement certaines finalités de traitement pour déterminer son champ d’application. Il appartient ainsi au législateur européen, et seulement à ce dernier, d’adopter une règlementation technologiquement neutre et fondée sur des finalités et des usages à l’occasion de la révision de la directive ePrivacy, et non au CEPD et autres autorités de protection des données de s’y substituer.
Enfin, on peut s’interroger sur la légalité de la démarche du CEPD d’émettre des lignes directrices sur l’interprétation de la directive ePrivacy sans que cette interprétation ne soit liée de près ou de loin à l’application du RGPD, et ce en violation de l’article 70.1(e) du RGPD sur lequel se fonde le CEPD pour émettre ces lignes directrices. Nul doute pourtant que par ces lignes directrices et le recours à la directive ePrivacy, les autorités de protection des données souhaitent simplement soumettre le profilage et la publicité en ligne à consentement préalable, et ce alors que la lettre du RGPD ne l’impose pas nécessairement.
Quelles seront les conséquences de ces lignes directrices pour les entreprises?
Si ces lignes directrices sont finalement adoptées sans modifications fondamentales, elles auront un sérieux impact pour tous les acteurs ayant une présence en ligne. Ces lignes directrices pourront en plus être transposables sous le futur, et tant attendu, Règlement ePrivacy, voire impacter sa rédaction finale. Ces acteurs devront donc revoir toutes les informations collectées (constituant ou non des données personnelles) sur les utilisateurs dans le cadre de l’utilisation de leurs outils et services en ligne et anticiper que toute information collectée à cet égard soit susceptible d’être couverte par l’article 5(3) de la directive ePrivacy, et donc potentiellement soumise à consentement préalable.
Rédigé par Gabriel Lecordier, Patrice Navarro, and Clara Mazannek.
