Comme mentionné dans l’article « Légiférer par ordonnance pour transposer dans les temps la Réforme du Paquet télécom », la loi « portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière de santé, de travail et de communications électroniques » est parue au Journal officiel du 23 mars. Elle permet notamment au gouvernement français de légiférer par ordonnance pour transposer les directives modifiant le « Paquet Télécom » en droit français. Le gouvernement a 8 mois à compter de la promulgation de cette loi pour légiférer, sachant cependant que la date butoir de la transposition est le 25 mai 2011.

La réforme du paquet télécom de novembre 2009 contient notamment des modifications de la directive 2002/58/CE « vie privée et communications électroniques ». Or les enjeux soulevés par ce texte sont significatifs. Deux points méritent une attention particulière:

Le premier concerne la « notification d’une violation des données personnelles » ("data breach notification"). Il s’agit d’une obligation existant déjà dans un certains nombre de pays, qui a d’importantes répercussions en terme d’image et qui génère de très lourdes obligations en matière d’organisation et de coûts.

Pour l’instant ces obligations ne concernent que les entreprises du secteur des communications, mais les législateurs européen et français ont affiché leur volonté d’étendre l’obligation de notification à tous les secteurs d’activité.

Il sera intéressant de voir si le texte suivra le modèle allemand ou anglais plutôt que celui ébauché par le Sénat dans la proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » transmise à l’Assemblée nationale le 24 mars 2010.

Les dispositions attendues sont : la définition des éléments considérés comme une « violation » devant donner lieu à notification, le caractère systématique de la notification ou la possibilité de prendre en compte une évaluation du risque, les délais de notification, le contenu des notifications que ce soit à la CNIL ou aux personnes concernées, les sanctions ainsi que le rôle du CIL et de la CNIL. Il n’est pas improbable que l’ordonnance prévoit qu’un certain nombre de points soient traités dans des décrets d’application, ce qui retardera d’autant la mise en œuvre de cette réglementation.

Quoi qu’il en soit les entreprises ont tout intérêt à se préparer à l’avance car ces dispositions vont requérir de mettre en place des systèmes de détection et d’identification des « violations » et de traitements (rapide) des situations de crise.

Le deuxième point concerne le consentement des internautes relatif aux « cookies ». Le sujet a déjà fait l’objet d’analyses et de prises de positions dans le cadre plus général des pratiques de « marketing comportemental » (et notamment par le groupe de l’article 29 au niveau européen).
La question est de savoir sous quelle forme un consentement est requis et s’il peut être « relativement global » plutôt qu’un « opt in » systématique. Les débats à l’occasion de la proposition de loi sus mentionnée se sont orientés vers une approche plus pragmatique que dogmatique pour préserver la fluidité de la navigation. Ils ont surtout mis en avant la nécessité d’une transparence accrue (information complète sur les finalités, la nature des données collectées et des destinataires, le tout dans une rubrique spécifique et permanente ainsi que de manière claire et accessible).

La France n’est pas, loin s’en faut, le seul pays européen à devoir mettre les bouchées doubles pour traiter de cette question délicate dans les mois qui viennent.