Article 95 Relation avec la directive 2002/58/CE (ePrivacy)

Champ d'application de la directive ePrivacy

La directive 2002/58/CE, modifiée en 2009, établit des règles spécifiques en matière de protection de la vie privée dans le secteur des communications électroniques. Elle s'applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public, tels que les services de téléphonie fixe et mobile, les services de messagerie électronique, et les services de communications sur internet.

La directive ePrivacy complète les dispositions générales de protection des données (anciennement la directive 95/46/CE, désormais le RGPD) en établissant des règles plus spécifiques adaptées aux particularités du secteur des communications électroniques. Elle régit notamment la confidentialité des communications, interdisant l'interception et la surveillance des communications sans le consentement des utilisateurs, sauf exceptions limitées prévues par la loi.

Elle réglemente également l'utilisation des cookies et autres technologies de traçage, imposant l'obligation d'obtenir le consentement des utilisateurs avant le stockage ou l'accès à des informations sur leur terminal. Elle encadre les communications commerciales non sollicitées (spam), imposant généralement un régime d'opt-in pour les communications par courrier électronique ou SMS. Elle établit enfin des règles spécifiques pour les annuaires d'abonnés, la facturation détaillée, et l'identification de l'appelant.

Articulation entre le RGPD et la directive ePrivacy

L'article 95 établit que le RGPD n'impose pas d'obligations supplémentaires pour les questions relevant du champ d'application de la directive ePrivacy. Cette disposition vise à éviter la duplication et la contradiction entre les deux instruments, en donnant la priorité aux règles spécifiques de la directive ePrivacy dans son domaine de compétence.

Toutefois, cette priorité ne signifie pas que la directive ePrivacy exclut totalement l'application du RGPD. Les deux instruments s'appliquent de manière complémentaire : la directive ePrivacy établit des règles spécifiques pour certains aspects des communications électroniques, tandis que le RGPD s'applique aux autres aspects du traitement des données dans ce secteur. Par exemple, les règles sur la sécurité des traitements, les droits d'accès et de rectification, ou les obligations de transparence du RGPD s'appliquent également aux fournisseurs de services de communications électroniques.

En cas de conflit ou de divergence entre les exigences du RGPD et celles de la directive ePrivacy, les dispositions plus spécifiques de la directive ePrivacy prévalent dans son champ d'application. Cette règle de lex specialis garantit la cohérence de l'ordre juridique et permet une application claire et prévisible des règles applicables.

Perspective d'évolution : le règlement ePrivacy

La Commission européenne a proposé en 2017 de remplacer la directive 2002/58/CE par un règlement ePrivacy, visant à moderniser les règles applicables aux communications électroniques et à les aligner sur le RGPD. Ce projet de règlement ePrivacy étendrait notamment le champ d'application des règles de confidentialité aux services de communications over-the-top (OTT) tels que WhatsApp, Skype ou Facebook Messenger, actuellement partiellement exclus du champ de la directive.

Le passage d'une directive à un règlement permettrait, comme pour le RGPD, une harmonisation complète des règles dans toute l'Union européenne, évitant les divergences résultant de la transposition nationale. Il garantirait également une meilleure cohérence avec le RGPD, les deux règlements étant conçus pour s'articuler de manière optimale.

Toutefois, les négociations sur le règlement ePrivacy ont rencontré de nombreuses difficultés et le texte n'a pas encore été adopté au moment de la rédaction de cette analyse. Les points de blocage portent notamment sur le régime des cookies, les communications commerciales, et l'équilibre entre protection de la vie privée et besoins légitimes des entreprises et des autorités publiques. En attendant l'adoption du règlement ePrivacy, la directive 2002/58/CE continue de s'appliquer.

Articulation avec les autres dispositions du RGPD

L'article 95 doit être lu en combinaison avec l'article 94, qui abroge la directive 95/46/CE. Tandis que la directive 95/46/CE a été remplacée par le RGPD, la directive 2002/58/CE continue de s'appliquer en tant que lex specialis dans le domaine des communications électroniques. Cette coexistence illustre la complémentarité entre règles générales et règles sectorielles dans le droit européen de la protection des données.

L'article 95 s'articule également avec diverses dispositions du RGPD qui font explicitement référence à la directive ePrivacy ou qui tiennent compte de ses spécificités. Par exemple, l'article 6, paragraphe 1, point c), qui prévoit que le traitement est licite s'il est nécessaire au respect d'une obligation légale, s'applique notamment aux obligations établies par la directive ePrivacy.

Jurisprudence relative à l'article 95

La Cour de justice de l'Union européenne a eu l'occasion de préciser la relation entre le RGPD et la directive ePrivacy dans plusieurs affaires importantes. Dans l'arrêt Fashion ID (C-40/17), elle a confirmé que les règles spécifiques de la directive ePrivacy sur les cookies prévalent sur les règles générales du RGPD, tout en soulignant que les deux instruments doivent être interprétés de manière cohérente.

Dans l'arrêt Planet49 (C-673/17), la CJUE a précisé les conditions du consentement exigé par la directive ePrivacy pour le stockage de cookies, en s'inspirant des exigences renforcées du RGPD en matière de consentement. Cette jurisprudence illustre la complémentarité entre les deux instruments et leur interprétation convergente.

Recommandations de la CNIL et du CEPD

La CNIL a publié des lignes directrices détaillées sur l'application conjointe du RGPD et de la directive ePrivacy, notamment en matière de cookies et autres traceurs. Elle a adopté en 2020 de nouvelles lignes directrices et une recommandation sur les cookies, précisant les conditions du consentement en conformité avec le RGPD et la directive ePrivacy.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur l'articulation entre le RGPD et la directive ePrivacy, notamment sur la question du consentement et sur le traitement des données de localisation et de trafic. Il encourage une interprétation harmonisée de ces instruments dans tous les États membres pour garantir un niveau uniforme de protection dans l'Union européenne.

Implications pratiques pour les responsables de traitement

Les fournisseurs de services de communications électroniques doivent se conformer tant au RGPD qu'à la directive ePrivacy (transposée en droit national). Ils doivent identifier précisément les questions relevant de chaque instrument pour appliquer les règles appropriées. En cas de doute, il convient de se référer aux règles les plus protectrices pour les personnes concernées.

Les éditeurs de sites web et d'applications mobiles doivent respecter les règles de la directive ePrivacy sur les cookies et autres traceurs, en complément des obligations générales du RGPD. Ils doivent notamment obtenir le consentement préalable des utilisateurs avant le dépôt de cookies non essentiels, dans les conditions renforcées définies par le RGPD.

Les responsables de traitement doivent suivre attentivement les évolutions du cadre juridique, notamment le projet de règlement ePrivacy qui, une fois adopté, modifiera substantiellement les règles applicables aux communications électroniques et au traçage en ligne. Une nouvelle mise en conformité importante sera nécessaire lors de l'entrée en application de ce règlement.