Aller au contenu principal
Audact

Conformité IA ePrivacy pour les communications électroniques

Dernière mise à jour : 8 avril 2026 · 8 min de lecture · Révisé par l'équipe de conformité Audact · Directive 2002/58/CE

La directive ePrivacy régit l'acte d'envoi de communications électroniques. Elle s'applique à chaque message sortant généré par IA — e-mail, SMS, WhatsApp ou appel vocal — qu'il soit composé par un humain ou une IA.

Qu'est-ce que la directive ePrivacy ?

La directive ePrivacy (2002/58/CE) est la loi principale de l'UE régissant la confidentialité des communications électroniques. Elle est lex specialis par rapport au RGPD — là où ePrivacy a une règle spécifique, elle prévaut sur le RGPD.

Concrètement : ePrivacy régit l'envoi de la communication et l'accès à l'appareil. Le RGPD régit le traitement ultérieur des données personnelles collectées. Ils nécessitent une conformité distincte — le consentement RGPD ne satisfait pas automatiquement les exigences ePrivacy, et vice versa.

Directive ePrivacy vs règlement ePrivacy : ce qui change pour l'IA

La directive de 2002 (telle que modifiée en 2009) est un instrument juridique transposé différemment dans chaque État membre, c'est pourquoi le TDDDG allemand, la Telecomwet néerlandaise et la PECR britannique se ressemblent superficiellement mais divergent en détail. Le règlement ePrivacy proposé aurait remplacé ce patchwork par un texte unique directement applicable, resserrant les règles sur les cookies, le trafic machine à machine et le traitement des métadonnées. Après huit ans de blocage, la Commission a officiellement retiré le dossier le 11 février 2025.

Pour les déployeurs IA, la conséquence pratique est que rien ne change immédiatement : la directive reste en vigueur, et le même régime axé sur l'opt-in continue de s'appliquer à la messagerie IA sortante. Mais le paquet Digital Omnibus proposé en novembre 2025 contient des amendements ePrivacy ciblés — notamment autour de la lassitude du consentement aux cookies et des motifs d'intérêt légitime pour l'analyse — qui devraient aboutir en 2027. Les fournisseurs IA doivent concevoir leur capture de consentement aujourd'hui afin que la base juridique puisse être remappée sans recollecte de consentement.

Articles clés pour les déployeurs IA

Article 13 — Communications non sollicitées

Exige un consentement opt-in préalable avant d'envoyer du marketing direct via des systèmes d'appel automatisés, e-mail, SMS, fax ou toute messagerie électronique. C'est technologiquement neutre : une IA envoyant un e-mail marketing est traitée de manière identique à un humain en envoyant un.

  • Chatbot IA initiant un message WhatsApp → consentement requis
  • IA envoyant des e-mails marketing → consentement requis
  • Campagnes SMS générées par IA → consentement requis
  • Appels vocaux IA sortants → consentement requis

Article 13(2) — Exception soft opt-in

Une exception permettant le marketing sans nouveau consentement si : (a) l'adresse e-mail a été obtenue dans le cadre d'une vente ou d'un service, (b) le marketing porte sur des produits/services similaires, et (c) une désinscription facile est fournie lors de la collecte et dans chaque message.

Article 5(3) — Cookies et accès à l'appareil

Exige le consentement avant de stocker ou d'accéder à des informations sur l'équipement terminal d'un utilisateur. Pour les chatbots IA, cela s'applique lorsque le chatbot place des cookies de suivi — pas à la conversation elle-même.

Consentement aux cookies et suivi IA sous ePrivacy

L'Article 5(3) est technologiquement neutre : il s'applique à tout stockage ou accès à des informations sur l'équipement terminal d'un utilisateur. Cela couvre les cookies HTTP classiques, mais aussi le stockage local du navigateur, les bibliothèques de fingerprinting et les SDK que les moteurs de personnalisation IA intègrent dans les sites web et les applications mobiles. Si les données sont ensuite alimentées dans un modèle de recommandation ou une IA de ciblage comportemental, la base juridique pour la lecture ou l'écriture initiale doit toujours être un consentement valide de qualité RGPD — capturé avant l'exécution du script. La CNIL, le Garante et l'AP néerlandais ont tous confirmé que « tout refuser » doit être aussi facile que « tout accepter ».

Pour les agents vocaux ou de chat IA, la question des cookies est généralement limitée à la propriété web environnante — mais les notifications web push alimentées par IA, la messagerie in-app et les modèles de parole sur l'appareil déclenchent le 5(3) dès qu'ils mettent l'état en cache. Audact traite chaque décision de consentement comme un événement auditables, ce qui permet aux clients de prouver la validité des cookies même lorsque la stack front-end change.

Exemptions B2B sous ePrivacy pour les communications IA

Le traitement B2B est la partie la plus fragmentée d'ePrivacy. La directive permet aux États membres d'autoriser le marketing direct aux personnes morales sur une base d'opt-out, mais ne l'exige pas. La PECR britannique exempte les abonnés professionnels du strict opt-in pour les appels en direct et les fax (mais pas pour les SMS ou les e-mails aux employés individuels). La France permet également le marketing par opt-out aux adresses professionnelles à condition que le message soit lié à l'emploi du destinataire. L'Allemagne prend la position opposée : §7 UWG exige un consentement exprès préalable même pour les e-mails B2B, avec des exceptions très étroites.

Pour les systèmes IA sortants, la règle opérationnelle est simple : un seul indicateur global « d'exemption B2B » est non conforme par conception. Le moteur de politique doit résoudre le pays du destinataire, le canal et la nature du message avant chaque envoi, et consigner cette décision pour le régulateur. Audact livre ces règles par juridiction prêtes à l'emploi.

B2B vs B2C

Le B2C nécessite toujours l'opt-in. Le traitement B2B varie selon l'État membre : certains (p. ex. Royaume-Uni, France) permettent de contacter les adresses e-mail professionnelles sur une base d'opt-out pour les produits liés aux affaires. D'autres (p. ex. Allemagne) appliquent des règles plus strictes. Le moteur de politique d'Audact gère automatiquement ces différences par pays.

Application & pénalités

Appliqué par les autorités nationales (généralement les autorités de protection des données). Comme ePrivacy est une directive — pas un règlement — les amendes varient selon l'État membre :

  • Allemagne (TDDDG) : Jusqu'à €300.000
  • Royaume-Uni (PECR) : Amendes sous PECR, avec des pénalités plus élevées possibles lorsque les violations se chevauchent avec le RGPD
  • Pays-Bas : L'AP néerlandaise a averti 50 organisations en avril 2025 pour des violations de cookies
  • France (CNIL) : Application stricte, bloque les cookies avant le consentement, interdit les dark patterns

L'EDPB a confirmé que les violations ePrivacy peuvent être prises en compte dans les amendes RGPD lorsque la même autorité applique les deux.

Règlement ePrivacy — que s'est-il passé ?

Le règlement ePrivacy autonome a été officiellement retiré par la Commission européenne le 11 février 2025 après des années de négociations infructueuses. À la place, des amendements ePrivacy ciblés font désormais partie du paquet Digital Omnibus (proposé en novembre 2025), actuellement en négociation avec un accord politique attendu fin 2026.

Comment Audact aide

  • Vérification du consentement : Le moteur de politique valide le statut d'opt-in avant l'envoi de toute communication IA sortante
  • Règles par pays : Exigences de consentement et d'opt-out spécifiques à la juridiction appliquées automatiquement
  • Journalisation des preuves : Chaque vérification de consentement est journalisée avec des preuves cryptographiques pour les audits des régulateurs
  • Validation soft opt-in : Vérification automatique que les conditions de l'Article 13(2) sont remplies avant d'autoriser les communications

Questions fréquemment posées

ePrivacy s'applique-t-il aux messages générés par IA ?

Oui. ePrivacy est technologiquement neutre — une IA envoyant un e-mail, SMS ou message WhatsApp marketing est traitée de manière identique à un humain en envoyant un.

Le consentement RGPD satisfait-il ePrivacy ?

Non. ePrivacy est lex specialis et nécessite une conformité distincte. Le consentement RGPD ne satisfait pas automatiquement l'exigence d'opt-in préalable d'ePrivacy.

Qu'en est-il des communications B2B sortantes ?

Le B2C nécessite toujours l'opt-in. Les règles B2B varient selon l'État membre — certains permettent l'opt-out pour les adresses professionnelles, d'autres (p. ex. Allemagne) appliquent des règles plus strictes.

Le règlement ePrivacy arrive-t-il ?

Le règlement autonome a été retiré en février 2025. Des amendements ePrivacy ciblés font maintenant partie du paquet Digital Omnibus en négociation.

Comparer les lois de conformité IA UE

LoiDate limiteQuiPénalité
EU AI Act Art. 502 août 2026Tous les déployeurs IA dans l'UE€7,5M / 1,5 % du chiffre d'affaires
NL Telecomwet1er juil. 2026Marketing sortant vers les consommateurs NL€900k / 10 % du chiffre d'affaires
RGPDEn vigueurTout responsable du traitement de données UE€20M / 4 % du chiffre d'affaires
DSAEn vigueur (fév. 2024)Intermédiaires et VLOP6 % du chiffre d'affaires mondial
ePrivacyEn vigueurExpéditeurs de communications électroniquesVariable selon l'État membre

Ressources de conformité connexes

Avertissement : Cette page est fournie à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un conseil juridique qualifié pour vos obligations de conformité spécifiques.

← Retour à l'accueil