Directive ePrivacy - Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité instituant la Communauté européenne, et notamment son article 95,

vu la proposition de la Commission(1),

vu l'avis du Comité économique et social(2),

après consultation du Comité des régions,

statuant conformément à la procédure visée à l'article 251 du traité(3),

considérant ce qui suit:

(1) La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(4) exige que les États membres protègent les droits et les libertés des personnes physiques à l'égard du traitement des données à caractère personnel, et notamment le droit au respect de leur vie privée, afin d'assurer la libre circulation des données à caractère personnel dans la Communauté.

(2) La présente directive vise à respecter les droits fondamentaux et observe les principes reconnus notamment par la charte des droits fondamentaux de l'Union européenne. En particulier, elle vise à garantir le plein respect des droits exposés aux articles 7 et 8 de cette charte.

(3) La confidentialité des communications est garantie en conformité avec les instruments internationaux relatifs aux droits de l'homme, notamment la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et les constitutions des États membres.

(4) La directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications(5) a traduit les principes définis dans la directive 95/46/CE en règles spécifiques applicables au secteur des télécommunications. La directive 97/66/CE doit être adaptée à l'évolution des marchés et des technologies des services de communications électroniques afin de garantir un niveau égal de protection des données à caractère personnel et de la vie privée aux utilisateurs de services de communications électroniques accessibles au public, indépendamment des technologies utilisées. Il convient, par conséquent, que ladite directive soit abrogée et remplacée par la présente directive.

(5) De nouvelles technologies numériques avancées qui posent des exigences spécifiques concernant la protection des données à caractère personnel et de la vie privée des utilisateurs sont actuellement introduites dans les réseaux publics de communications de la Communauté. Le développement de la société de l'information se caractérise par l'introduction de nouveaux services de communications électroniques. L'accès aux réseaux mobiles numériques s'est ouvert à un large public, à des conditions abordables. Ces réseaux numériques offrent de grandes capacités et de vastes possibilités pour le traitement des données à caractère personnel. Le succès du développement transfrontalier de ces services dépend en partie de la confiance qu'auront les utilisateurs que ces services ne porteront pas atteinte à leur vie privée.

(6) L'Internet bouleverse les structures commerciales traditionnelles en offrant une infrastructure mondiale commune pour la fourniture de toute une série de services de communications électroniques. Les services de communications électroniques accessibles au public sur l'Internet ouvrent de nouvelles possibilités aux utilisateurs, mais présentent aussi de nouveaux dangers pour leurs données à caractère personnel et leur vie privée.

(7) Dans le cas des réseaux publics de communications, il convient d'adopter des dispositions législatives, réglementaires et techniques spécifiques afin de protéger les droits et les libertés fondamentaux des personnes physiques et les intérêts légitimes des personnes morales, notamment eu égard à la capacité accrue de stockage et de traitement automatisés de données relatives aux abonnés et aux utilisateurs.

(8) Il convient d'harmoniser les dispositions législatives, réglementaires et techniques adoptées par les États membres en ce qui concerne la protection des données à caractère personnel, de la vie privée et des intérêts légitimes des personnes morales dans le secteur des communications électroniques afin d'éviter de créer des obstacles au marché intérieur des communications électroniques conformément à l'article 14 du traité. L'harmonisation devrait être limitée aux exigences nécessaires pour garantir que la promotion et le développement de nouveaux services et réseaux de communications électroniques entre États membres ne sont pas entravés.

(9) Les États membres, les fournisseurs et les utilisateurs concernés, ainsi que les institutions communautaires compétentes, devraient coopérer à la conception et au développement des technologies pertinentes lorsque cela est nécessaire pour mettre en oeuvre les garanties prévues par la présente directive, en tenant particulièrement compte des objectifs qui consistent à réduire au minimum le traitement des données à caractère personnel et à utiliser des données anonymes ou pseudonymes lorsque c'est possible.

(10) Dans le secteur des communications électroniques, la directive 95/46/CE est applicable notamment à tous les aspects de la protection des droits et libertés fondamentaux qui n'entrent pas expressément dans le cadre de la présente directive, y compris les obligations auxquelles est soumis le responsable du traitement des données à caractère personnel et les droits individuels. La directive 95/46/CE s'applique aux services de communications électroniques non publics.

(11) À l'instar de la directive 95/46/CE, la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire. Elle ne modifie donc pas l'équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l'article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l'État (y compris la prospérité économique de l'État lorsqu'il s'agit d'activités liées à la sûreté de l'État) et de l'application du droit pénal. Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d'arrêter d'autres mesures si cela s'avère nécessaire pour atteindre l'un quelconque des buts précités, dans le respect de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, telle qu'interprétée par la Cour européenne des droits de l'homme dans ses arrêts. Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

(12) Les abonnés à un service de communications électroniques accessible au public peuvent être des personnes physiques ou des personnes morales. En complétant la directive 95/46/CE, la présente directive vise à protéger les droits fondamentaux des personnes physiques et en particulier le droit au respect de leur vie privée, ainsi que les intérêts légitimes des personnes morales. La présente directive ne comporte aucune obligation pour les États membres d'étendre l'application de la directive 95/46/CE à la protection des intérêts légitimes des personnes morales, qui est garantie dans le cadre de la législation communautaire et nationale en vigueur.

(13) La relation contractuelle entre un abonné et un fournisseur de services peut prévoir un paiement périodique ou un versement unique pour le service fourni ou à fournir. Les cartes de prépaiement sont également considérées comme un contrat.

(14) Par "données de localisation", on peut entendre la latitude, la longitude et l'altitude du lieu où se trouve l'équipement terminal de l'utilisateur, la direction du mouvement, le degré de précision quant aux informations sur la localisation, l'identification de la cellule du réseau où se situe, à un moment donné, l'équipement terminal, ou encore le moment auquel l'information sur la localisation a été enregistrée.

(15) Une communication peut inclure toute information consistant en une dénomination, un nombre ou une adresse, fournie par celui qui émet la communication ou celui qui utilise une connexion pour effectuer la communication. Les données relatives au trafic peuvent inclure toute traduction de telles informations effectuée par le réseau par lequel la communication est transmise en vue d'effectuer la transmission. Les données relatives au trafic peuvent, entre autres, comporter des données concernant le routage, la durée, le moment ou le volume d'une communication, le protocole de référence, l'emplacement des équipements terminaux de l'expéditeur ou du destinataire, le réseau de départ ou d'arrivée de la communication, ou encore le début, la fin ou la durée d'une connexion. Elles peuvent également représenter le format dans lequel la communication a été acheminée par le réseau.

(16) Les informations qui font partie d'un service de radiodiffusion fourni sur un réseau public de communications le sont à l'intention d'un nombre virtuellement illimité d'auditeurs et/ou de téléspectateurs et ne constituent pas une communication au sens de la présente directive. Par contre, lorsqu'il est possible d'identifier l'abonné ou utilisateur individuel qui reçoit ces informations, comme, par exemple, dans le cas de la fourniture de services vidéo à la demande, les informations acheminées s'inscrivent dans la définition de "communication" au sens de la présente directive.

(17) Aux fins de la présente directive, le consentement d'un utilisateur ou d'un abonné, que ce dernier soit une personne physique ou morale, devrait avoir le même sens que le consentement de la personne concernée tel que défini et précisé davantage par la directive 95/46/CE. Le consentement peut être donné selon toute modalité appropriée permettant à l'utilisateur d'indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu'il visite un site Internet.

(18) Les services à valeur ajoutée peuvent, par exemple, comprendre des conseils sur les forfaits tarifaires les plus avantageux ou sur le guidage routier, des informations sur l'état de la circulation, des prévisions météorologiques ou des informations touristiques.

(19) L'application de certaines exigences relatives à la présentation et à la restriction de l'identification des lignes appelante et connectée et au renvoi d'appel automatique vers des lignes d'abonné connectées à des centraux analogiques ne devrait pas être rendue obligatoire dans les cas spécifiques où une telle application s'avérerait techniquement impossible ou exigerait un effort économique disproportionné. Il est important que les parties intéressées soient informées de ces cas et les États membres devraient donc les communiquer à la Commission.

(20) Il convient que les fournisseurs de services prennent les mesures appropriées pour assurer la sécurité de leurs services, le cas échéant conjointement avec le fournisseur du réseau, et informent les abonnés des risques particuliers liés à une violation de la sécurité du réseau. De tels risques peuvent notamment toucher les services de communications électroniques fournis par l'intermédiaire d'un réseau ouvert tel que l'Internet ou la téléphonie mobile analogique. Il est particulièrement important que les abonnés et les utilisateurs de ces services soient pleinement informés par leur fournisseur de service des risques existants en matière de sécurité contre lesquels ce dernier est dépourvu de moyens d'action. Il convient que les fournisseurs de services qui proposent des services de communications électroniques accessibles au public sur l'Internet informent les utilisateurs et les abonnés des mesures qu'ils peuvent prendre pour sécuriser leurs communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de cryptage. L'obligation qui est faite à un fournisseur de service d'informer les abonnés de certains risques en matière de sécurité ne le dispense pas de prendre immédiatement les mesures appropriées pour remédier à tout nouveau risque imprévisible en matière de sécurité et rétablir le niveau normal de sécurité du service, les frais en étant à sa seule charge. L'information de l'abonné sur les risques en matière de sécurité devrait être gratuite, excepté les frais nominaux qu'un abonné peut être amené à supporter lorsqu'il reçoit ou collecte des informations, par exemple en téléchargeant un message reçu par courrier électronique. La sécurité s'apprécie au regard de l'article 17 de la directive 95/46/CE.

(21) Il convient de prendre des mesures pour empêcher tout accès non autorisé aux communications afin de protéger la confidentialité des communications effectuées au moyen de réseaux publics de communications et de services de communications électroniques accessibles au public, y compris de leur contenu et de toute donnée afférente à ces communications. La législation nationale de certains États membres interdit uniquement l'accès non autorisé intentionnel aux communications.

(22) L'interdiction du stockage des communications et des données relatives au trafic y afférentes par des personnes autres que les utilisateurs ou sans le consentement de ceux-ci ne vise pas à interdire tout stockage automatique, intermédiaire et transitoire de ces informations si ce stockage a lieu dans le seul but d'effectuer la transmission dans le réseau de communications électroniques, pour autant que les informations ne soient pas stockées pour une durée plus longue que le temps nécessaire à la transmission et à la gestion du trafic et qu'au cours de la période de stockage la confidentialité des informations reste garantie. Dans la mesure où l'exige la transmission plus efficace d'informations accessibles au public à d'autres destinataires du service à leur demande, la présente directive ne fait pas obstacle à ce que ces informations soient stockées plus longtemps, à condition qu'elles soient accessibles au public en tout état de cause et sans aucune restriction et que toute donnée concernant les abonnés ou utilisateurs individuels qui les demandent soit effacée.

(23) La confidentialité des communications devrait également être assurée dans les transactions commerciales licites. Au besoin et sous réserve d'une autorisation légale, les communications peuvent être enregistrées pour servir de preuve d'une transaction commerciale. La directive 95/46/CE est applicable en pareil cas. Les parties aux communications devraient être informées de l'enregistrement avant qu'il n'ait lieu, de la ou des raisons pour lesquelles la communication est enregistrée et de la durée du stockage de l'enregistrement. La communication enregistrée devrait être effacée dès que possible et, en tout état de cause, lors de l'expiration du délai légal de recours contre la transaction.

(24) L'équipement terminal de l'utilisateur d'un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L'utilisation de tels dispositifs ne devrait être autorisée qu'à des fins légitimes, et en étant portée à la connaissance de l'utilisateur concerné.

(25) Cependant, les dispositifs de ce type, par exemple des témoins de connexion (cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer l'efficacité de la conception d'un site et de la publicité faite pour ce site, ainsi que pour contrôler l'identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de services de la société de l'information, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l'équipement terminal qu'ils utilisent. Les utilisateurs devraient avoir la possibilité de refuser qu'un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important pour les cas où des utilisateurs autres que l'utilisateur original ont accès à l'équipement terminal et donc aux données sensibles à caractère privé qui y sont stockées. L'information relative à l'utilisation de plusieurs dispositifs à installer sur l'équipement terminal de l'utilisateur ainsi que le droit de refuser ces dispositifs peuvent être offerts en une seule fois pendant une même connexion, et couvrir aussi l'utilisation future qui pourrait être faite de ces dispositifs durant des connexions subséquentes. Les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles. L'accès au contenu d'un site spécifique peut être, toutefois, subordonné au fait d'accepter, en pleine connaissance de cause, l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à des fins légitimes.

(26) Les données relatives aux abonnés qui sont traitées dans des réseaux de communications électroniques pour établir des connexions et transmettre des informations contiennent des informations sur la vie privée des personnes physiques et touchent au droit au secret de leur correspondance ainsi qu'aux intérêts légitimes des personnes morales. Ces données ne peuvent être stockées que dans la mesure où cela est nécessaire à la fourniture du service, aux fins de la facturation et des paiements pour interconnexion, et ce, pour une durée limitée. Tout autre traitement de ces données que le fournisseur du service de communications électroniques accessible au public peut vouloir effectuer pour la commercialisation des services de communications électroniques ou pour la fourniture de services à valeur ajoutée ne peut être autorisé que si l'abonné a donné son accord sur la base d'informations précises et complètes fournies par le fournisseur du service de communications électroniques accessible au public sur la nature des autres traitements qu'il envisage d'effectuer, ainsi que sur le droit de l'abonné de ne pas donner son consentement à ces traitements ou de retirer son consentement. Il convient également d'effacer ou de rendre anonymes les données relatives au trafic utilisées pour la commercialisation de services de communications ou pour la fourniture de services à valeur ajoutée, lorsque les services en question ont été fournis. Il convient que les fournisseurs de services tiennent toujours leurs abonnés informés des types de données qu'ils traitent, des finalités de ces traitements et de leur durée.

(27) Le moment exact où s'achève la transmission d'une communication, au-delà duquel les données relatives au trafic doivent être effacées sauf à des fins de facturation, peut dépendre du type de service de communications électroniques fourni. Ainsi, dans le cas d'un appel par téléphonie vocale, la transmission cesse dès que l'un ou l'autre des usagers interrompt la connexion et, dans le cas d'un courrier électronique, la transmission prend fin dès que le destinataire récupère le message, généralement à partir du serveur de son fournisseur de service.

(28) L'obligation d'effacer ou de rendre anonymes les données relatives au trafic lorsqu'elles ne sont plus nécessaires aux fins de la transmission d'une communication n'est pas contradictoire avec les procédures utilisées sur l'Internet, telles que celle de la mise en antémémoire (caching), dans le système des noms de domaines, pour les adresses IP ou pour les liens entre une adresse IP et une adresse physique, ou l'utilisation d'informations relatives à la connexion pour contrôler le droit d'accès à des réseaux ou à des services.

(29) Au besoin, et au cas par cas, le fournisseur d'un service peut traiter des données relatives au trafic qui concernent des abonnés ou des utilisateurs s'il s'agit de déceler une défaillance technique ou une erreur dans la transmission des communications. Des données relatives au trafic nécessaires pour la facturation peuvent aussi être traitées par le fournisseur d'un service s'il s'agit de déceler et de faire cesser des pratiques frauduleuses consistant à utiliser le service de communications électroniques sans le payer.

(30) Les systèmes mis au point pour la fourniture de réseaux et de services de communications électroniques devraient être conçus de manière à limiter au strict minimum la quantité de données personnelles nécessaires. Toute activité qui s'inscrit dans le cadre de la fourniture d'un service de communications électroniques et qui va au-delà de la simple transmission d'une communication ou de sa facturation devrait se fonder sur des données relatives au trafic globalisées qui ne peuvent pas être attribuées à des abonnés ou utilisateurs individuels. Si cette activité ne peut se fonder sur des données globalisées, elle devrait être considérée comme un service à valeur ajoutée, pour lequel le consentement de l'abonné est nécessaire.

(31) La question de savoir si c'est de l'utilisateur ou de l'abonné qu'il convient d'obtenir le consentement pour pouvoir traiter des données à caractère personnel en vue de fournir un service donné à valeur ajoutée sera fonction des données à traiter et du type de service à fournir mais aussi de la possibilité ou non, sur les plans technique, procédural et contractuel, de distinguer le particulier qui utilise un service de communications électroniques de la personne, physique ou morale, qui s'y est abonnée.

(32) Lorsque le fournisseur d'un service de communications électroniques ou d'un service à valeur ajoutée fait sous-traiter le traitement des données à caractère personnel nécessaires à la fourniture desdits services, cette sous-traitance et le traitement des données qui en découle devraient respecter intégralement les exigences de la directive 95/46/CE pour ce qui est des responsables du contrôle et du traitement des données à caractère personnel. Lorsque, pour permettre la fourniture d'un service à valeur ajoutée, des données relatives au trafic ou à la localisation sont transmises par un fournisseur de services de communications électroniques à un fournisseur de services à valeur ajoutée, les abonnés ou utilisateurs auxquels ces données se rapportent devraient également être pleinement informés de cette transmission avant de consentir ou non au traitement desdites données.

(33) L'introduction de factures détaillées a amélioré les possibilités offertes à l'abonné pour vérifier l'exactitude des montants facturés par le fournisseur de service mais elle risque simultanément de compromettre la vie privée des utilisateurs de services de communications électroniques accessibles au public. Par conséquent, pour protéger la vie privée des utilisateurs, les États membres devraient encourager la mise au point, dans le domaine des services de communications électroniques, d'options telles que de nouvelles formules de paiement permettant d'accéder de manière anonyme ou strictement privée aux services de communications électroniques accessibles au public, par exemple des télécartes et des facilités de paiement par carte de crédit. Aux mêmes fins, les États membres peuvent inviter les opérateurs à proposer à leurs abonnés un autre type de facture détaillée sur laquelle un certain nombre de chiffres des numéros d'appel ont été supprimés.

(34) Il est nécessaire, en ce qui concerne l'identification de la ligne appelante, de protéger le droit qu'a l'auteur d'un appel d'empêcher la présentation de l'identification de la ligne à partir de laquelle l'appel est effectué, ainsi que le droit de la personne appelée de refuser les appels provenant de lignes non identifiées. Dans des cas spécifiques, il est justifié d'empêcher que la présentation de l'identification de la ligne appelante soit supprimée. Certains abonnés, en particulier les services d'assistance téléphoniques et les autres organismes similaires, ont intérêt à garantir l'anonymat de ceux qui les appellent. Il est nécessaire, en ce qui concerne l'identification de la ligne connectée, de protéger le droit et l'intérêt légitime qu'a la personne appelée d'empêcher la présentation de l'identification de la ligne à laquelle l'auteur de l'appel est effectivement connecté, en particulier dans le cas d'appels renvoyés. Il convient que les fournisseurs de services de communications électroniques accessibles au public informent leurs abonnés de l'existence, sur le réseau, de l'identification des lignes appelante et connectée, ainsi que de tous les services offerts sur la base de l'identification des lignes appelante et connectée et des possibilités offertes en matière de protection de la vie privée. Cela permettra aux abonnés de choisir en connaissance de cause, parmi les possibilités qui leur sont offertes en matière de protection de la vie privée, celles dont ils souhaiteraient faire usage. Les possibilités qui sont offertes en matière de protection de la vie privée pour chaque ligne ne doivent pas nécessairement être disponibles comme un service automatique du réseau, mais peuvent être obtenues sur simple demande auprès du fournisseur du service de communications électroniques accessible au public.

(35) Dans les réseaux de communications mobiles, des données de localisation indiquant la position géographique de l'équipement terminal de l'utilisateur mobile sont traitées afin de permettre la transmission des communications. Ces données sont des données relatives au trafic couvertes par l'article 6 de la présente directive. Toutefois, les réseaux numériques mobiles peuvent aussi avoir la capacité de traiter des données de localisation qui sont plus précises que ne l'exige la transmission des communications et qui sont utilisées pour la fourniture de services à valeur ajoutée tels que des services personnalisés d'information sur la circulation et de guidage des conducteurs. Le traitement de ces données en vue de la fourniture de services à valeur ajoutée ne devrait être autorisé que lorsque les abonnés ont donné leur consentement. Même dans ce cas, les abonnés devraient disposer d'un moyen simple pour interdire temporairement le traitement des données de localisation et ce, gratuitement.

(36) Les États membres peuvent prévoir une limitation du droit de l'utilisateur ou de l'abonné à la vie privée en ce qui concerne l'identification de la ligne appelante lorsque cela est nécessaire pour déterminer l'origine des appels malveillants et en ce qui concerne les données d'identification et de localisation de la ligne appelante lorsque cela est nécessaire pour permettre aux services d'urgence d'intervenir le plus efficacement possible. À ces fins, les États membres peuvent adopter des mesures spécifiques autorisant les fournisseurs de services de communications électroniques à mettre à disposition les données d'identification et de localisation de la ligne appelante sans le contentement préalable de l'utilisateur ou de l'abonné concerné.

(37) Il importe de protéger les abonnés contre toute gêne que pourrait leur causer le renvoi automatique d'appels par d'autres personnes. En outre, en pareil cas, les abonnés doivent pouvoir faire cesser le transfert des appels renvoyés sur leurs terminaux sur simple demande adressée au fournisseur du service de communications électroniques accessible au public.

(38) Les annuaires d'abonnés aux services de communications électroniques sont largement diffusés et publics. Pour protéger la vie privée des personnes physiques et l'intérêt légitime des personnes morales, il importe que l'abonné soit à même de déterminer si les données à caractère personnel qui le concernent doivent être publiées dans un annuaire et, dans l'affirmative, lesquelles de ces données doivent être rendues publiques. Il convient que les fournisseurs d'annuaires publics informent les abonnés qui figureront dans ces annuaires des fins auxquelles ceux-ci sont établis et de toute utilisation particulière qui peut être faite des versions électroniques des annuaires publics, notamment grâce aux fonctions de recherche intégrées dans le logiciel, telles que les fonctions de recherche inverse qui permettent aux utilisateurs d'un annuaire de trouver le nom et l'adresse d'un abonné à partir d'un simple numéro de téléphone.

(39) C'est à la partie qui collecte des données à caractère personnel auprès d'abonnés que devrait incomber l'obligation d'informer ceux-ci des fins auxquelles sont établis des annuaires publics comportant des données personnelles les concernant. Si ces données peuvent être transmises à un ou plusieurs tiers, l'abonné devrait être informé de cette possibilité ainsi que des destinataires ou catégories de destinataires éventuels. Une telle transmission ne devrait pouvoir se faire que s'il est garanti que les données ne pourront pas être utilisées à des fins autres que celles pour lesquelles elles ont été collectées. Si la partie qui a collecté ces données auprès de l'abonné ou un tiers quelconque auquel elles ont été transmises souhaitent les exploiter à d'autres fins, ladite partie ou ledit tiers devront obtenir une nouvelle fois le consentement de l'abonné.

(40) Il importe de protéger les abonnés contre toute violation de leur vie privée par des communications non sollicitées effectuées à des fins de prospection directe, en particulier au moyen d'automates d'appel, de télécopies et de courriers électroniques, y compris les messages courts (SMS). Si ces formes de communications commerciales non sollicitées peuvent être relativement faciles et peu onéreuses à envoyer, elles peuvent, en revanche imposer une charge et/ou un coût à leur destinataire. En outre, dans certains cas, leur volume peut poser un problème pour les réseaux de communications électroniques et les équipements terminaux. S'agissant de ces formes de communications non sollicitées effectuées à des fins de prospection directe, il est justifié d'exiger de l'expéditeur qu'il ait obtenu le consentement préalable du destinataire avant de les lui envoyer. Le marché unique exige une approche harmonisée à cet égard afin que les entreprises comme les utilisateurs disposent de règles simples s'appliquant à l'échelle de la Communauté.

(41) Dans le cadre d'une relation client-fournisseur existante, il est raisonnable d'autoriser l'entreprise qui, conformément à la directive 95/46/CE, a obtenu les coordonnées électroniques, et exclusivement celle-ci, à exploiter ces coordonnées électroniques pour proposer au client des produits ou des services similaires. Il conviendrait, lorsque des coordonnées électroniques sont recueillies, que le client soit informé clairement et distinctement sur leur utilisation ultérieure à des fins de prospection directe et qu'il lui soit donné la faculté de s'opposer à cet usage. Il convient de continuer d'offrir cette possibilité lors de chaque message de prospection directe ultérieur, et ce, sans frais, hormis les coûts liés à la transmission du refus.

(42) Il existe d'autres formes de prospection directe qui sont plus onéreuses pour l'expéditeur et n'imposent aucune charge financière à l'abonné ou à l'utilisateur, tels que les appels téléphoniques personnels, et qui pourraient justifier l'établissement d'un système permettant aux abonnés et aux utilisateurs d'indiquer qu'ils ne souhaitent pas recevoir de tels appels. Afin de ne pas abaisser les niveaux existants de protection de la vie privée, il conviendrait néanmoins que les États membres soient autorisés à maintenir en vigueur les systèmes nationaux et à n'autoriser que les appels destinés à des abonnés ou utilisateurs qui ont donné leur consentement préalable.

(43) Afin de faciliter la mise en oeuvre effective des règles communautaires relatives aux messages de prospection directe non sollicités, il importe d'interdire d'émettre des messages non sollicités à des fins de prospection directe sous une fausse identité, une fausse adresse de réponse ou un faux numéro.

(44) Certains systèmes de messagerie électronique permettent aux abonnés de visualiser le nom de l'expéditeur et l'objet d'un message électronique, ainsi que d'effacer le message sans devoir télécharger le reste du contenu dudit message ou d'une quelconque pièce jointe, ce qui réduit les coûts que pourrait engendrer le téléchargement d'un courrier électronique non sollicité ou d'une de ses pièces jointes. Dans certains cas, de telles modalités peuvent continuer de s'avérer utiles en tant qu'outil complémentaire des exigences générales énoncées par la présente directive.

(45) La présente directive est sans préjudice des dispositions que les États membres prennent pour protéger les intérêts légitimes des personnes morales à l'égard des communications non sollicitées à des fins de prospection directe. Lorsque les États membres établissent un registre opt-out pour les communications en question adressées aux personnes morales, essentiellement des utilisateurs professionnels, les dispositions de l'article 7 de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (directive sur le commerce électronique)(6) s'appliquent pleinement.

(46) Les fonctionnalités permettant la fourniture de services de communications électroniques peuvent être intégrées dans le réseau ou dans tout élément de l'équipement terminal de l'utilisateur, y compris le logiciel. La protection des données à caractère personnel et de la vie privée de l'utilisateur de services de communications électroniques accessibles au public devrait être indépendante de la configuration des différents éléments nécessaires à la fourniture du service et de la répartition des fonctionnalités requises entre ces éléments. La directive 95/46/CE s'applique à toute forme de traitement de données à caractère personnel, quelle que soit la technologie utilisée. L'existence de règles spécifiques aux services de communications électroniques parallèlement à des règles générales s'appliquant aux autres éléments nécessaires à la fourniture de ces services peut ne pas faciliter la protection des données à caractère personnel et de la vie privée d'une manière technologiquement neutre. Il peut, par conséquent, être nécessaire d'adopter des mesures exigeant que les fabricants de certains types d'équipements utilisés pour les services de communications électroniques intègrent dans leurs produits des sauvegardes afin d'assurer la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés. L'adoption de telles mesures conformément à la directive 1999/5/CE du Parlement européen et du Conseil du 9 mars 1999 concernant les équipements hertziens et les équipements terminaux de télécommunications et la reconnaissance mutuelle de leur conformité(7) garantira que l'introduction de certaines caractéristiques techniques des équipements de communications électroniques, y compris des logiciels, en vue d'assurer la protection des données soit harmonisée pour être compatible avec la mise en oeuvre du marché intérieur.

(47) Lorsque les droits des utilisateurs et des abonnés ne sont pas respectés, il convient que la législation nationale prévoie des recours juridictionnels. Des sanctions devraient être infligées à toute personne, qu'elle relève du droit privé ou du droit public, qui ne respecte pas les mesures nationales prises en vertu de la présente directive.

(48) Il est utile, dans le champ d'application de la présente directive, de tirer parti de l'expérience acquise par le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, composé de représentants des autorités de contrôle désignées par chaque État membre, institué par l'article 29 de la directive 95/46/CE.

(49) Afin de faciliter le respect de la présente directive, certaines dispositions spécifiques sont nécessaires pour le traitement des données en cours à la date d'entrée en vigueur des dispositions nationales transposant la présente directive dans le droit interne des États membres,

ONT ARRÊTÉ LA PRÉSENTE DIRECTIVE: