• Données personnelles, E-commerce

    par , Avocat associé
    par , Avocat

    Projet de loi numérique : un programme chargé !

    Très attendu, le projet de Loi Lemaire a été mis en ligne le 26 septembre pour faire l’objet d’une consultation publique d’une durée de trois semaines et permettre à quiconque d’y contribuer. Au cours de ces trois semaines, plus de 21000 personnes ont participé à la consultation, par leurs votes ou leurs contributions (8501 contributions).

    Même si le périmètre du projet a finalement été réduit (le « droit de panorama » notamment, auquel nous avions consacré une brève, n’y figure plus), celui-ci demeure très riche et touche tous les secteurs d’activité.

    Les principales mesures prévues et qui ont particulièrement attiré notre attention concernent :

    1) L’Open Data
    Diffusion des données publiques. Afin d’assurer la libre circulation des données publiques et du savoir, un principe de diffusion et de libre réutilisation des données publiques est énoncé. Ainsi, certaines administrations sont tenues de diffuser publiquement en ligne, dans un standard ouvert aisément réutilisable, certains documents qu’elles utilisent au quotidien (notamment les bases de données qu’elles produisent ou reçoivent, ainsi que les données dont la publication présente un intérêt économique, social ou environnemental).

    Il est également prévu que toute personne qui le souhaite doit pouvoir réutiliser librement les informations publiques figurant dans des documents administratifs à des fins autres que celle de la mission de service public d’origine. Un décret doit également venir préciser la liste des « données de référence » produits ou reçues par les administrations et dont la diffusion publique doit être assurée par l’Etat.

    Accès aux bases de données privées. Un article soulève des interrogations certaines et fait déjà l’objet de critiques quant à son impact sur les entreprises privées : l’’INSEE pourrait en effet, pour les besoins d’enquêtes statistiques obligatoires ayant reçu le visa ministériel, accéder à des bases de données « des personnes enquêtées », ce qui inclut les entreprises privées. Le texte de la consultation publique précise ainsi comme exemple « les données de caisse des entreprises de la grande distribution permettraient d’améliorer le calcul de l’indice des prix à la consommation et de l’inflation ; leur collecte sous forme numérique faisant déjà l’objet d’une expérimentation sur une base volontaire, celle-ci serait généralisée ».

    Les diverses contributions figurant sous cet article visent à alerter du manque de précisions de ces dispositions, notamment sur le plan de la sécurité et de la confidentialité des données concernées.
    Bien que certains garde-fous soient posés quant au recours à une telle procédure, les personnes qui recevront une telle requête devront s’y conformer, sous peine d’une amende administrative de 100 000 euros (250 000 euros maximum en cas de récidive).

    2) La création d’un domaine commun informationnel
    Celui-ci englobe l’ensemble des éléments qui ne peuvent faire l’objet d’une exclusivité, ni d’une restriction de l’usage commun à tous, autre que l’exercice du droit moral (notamment les créations protégées par le Code de la propriété intellectuelle dont la durée de protection légale a expiré, mais également les idées et informations divulguées de façon licite et qui ne sont pas protégés par un droit spécifique).

    3) Le principe de loyauté des plateformes à l’égard des consommateurs
    Il est prévu l’obligation pour les « plateformes en ligne », définies comme les activités consistant à classer ou référencer des contenus, biens ou services de tiers, ou à mettre en relation des personnes en vue de la vente, du partage ou de l’échange d’un bien ou d’un service, d’informer clairement des conditions d’utilisation du service qu’elle propose et des modalités de référencement ou de classement des contenus, biens ou services. Elles devront notamment indiquer l’existence ou non d’une relation contractuelle ou de liens capitalistiques avec les personnes référencées. A titre d’exemple, le texte de la consultation publique cite « un site de voyage devra indiquer clairement si les offres proposées en premier sont dues à un paiement par la compagnie aérienne ».

    4) La Neutralité du Net
    Dans la perspective du règlement européen actuellement en discussion, la loi vient ici poser le principe du respect de la neutralité de l’internet afin d’assurer son respect effectif en France. Il est ainsi inscrit dans la loi que l’établissement et l’exploitation de réseaux ouverts au public et la fourniture au public de services de communications électroniques doivent respecter la neutralité de l’internet. Celle-ci est garantie d’une part par le traitement égal et non discriminatoire du trafic par les opérateurs dans la fourniture des services d’accès à Internet, et d’autre part, par le droit des utilisateurs finaux d’accéder et de contribuer à Internet.
    Afin d’illustrer ce principe, le texte de la consultation publique indique par exemple « un opérateur ne pourra pas décider de réduire la bande passante accordée à certains sites de partages de vidéos et augmenter cette bande passante auprès d’autres sites moyennant paiement ».

    5) L’accessibilité des accueils téléphoniques et des sites internet publics aux personnes handicapées.
    Les services d’accueil téléphonique, notamment ceux destinés à recevoir les réclamations des consommateurs dans les entreprises dont le chiffre d’affaires est supérieur à un seuil défini par décret, devront rendre ce numéro de téléphone accessible aux personnes déficientes auditives, par la mise à disposition d’un service de traduction écrite simultanée et visuelle.
    Les sites internet « publics » devront préciser dès l’ouverture, leur niveau de conformité aux règles d’accessibilité, sous peine d’amende.

    6) La portabilité des données
    Les fournisseurs d’un service de courrier électronique devront proposer une fonctionnalité permettant à leurs clients, lorsqu’ils souhaitent changer de prestataire, de transférer l’ensemble de leurs courriels et de leurs contacts vers le nouveau prestataire.
    Les fournisseurs d’un service de communication au public en ligne devront également permettre aux consommateurs, via une fonctionnalité gratuite, de récupérer leurs données (fichiers mis en ligne par les consommateurs et toutes données associées à son compte).

    Cette disposition soulève des interrogations quant à sa mise en œuvre pratique dans la mesure où elle semble imposer aux entreprises concernées des développements informatiques importants. Il est cependant préciser qu’elle ne s’appliquera que sous réserve de ne pas contredire le futur règlement européen sur les données personnelles.

    7) Les avis en ligne
    Le projet de loi entend obliger les sites internet à informer les consommateurs des conditions de diffusion des avis en ligne, en particulier les modalités de vérification de ces avis. Le but : permettre au consommateur d’évaluer le degré de confiance qu’il souhaite accorder à un site internet et lutter contre les faux avis et la suppression abusive d’avis négatifs.

    8) Le service proposé par les fournisseurs d’accès à internet
    Il est notamment prévu de renforcer l’information des consommateurs sur les débits maximums et les conditions de remboursement proposées lorsque les débits ou le niveau de qualité du service promis ne sont « généralement » pas atteints. Il est également posé le principe du maintien d’un service téléphonique restreint et d’une connexion internet en cas d’impayé.

    9) Les données personnelles
    Un volet important du projet de loi est également consacré aux données personnelles. Il est ainsi prévu de modifier la loi « Informatique et Libertés » sur les aspects suivants (sous réserve de ne pas contredire le futur règlement européen sur les données personnelles) :

    Missions et pouvoirs de la CNIL
    Le rôle de la CNIL est confirmé s’agissant:
    – Du soutien au développement des technologies respectueuses de la vie privée (création de labels…),
    – De réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques.

    Il est créé une mission d’accompagnement de la CNIL (accompagnement à la mise en conformité, certification de la conformité de processus d’anonymisation totale ou partielle).

    Sur le plan des sanctions, il est prévu la possibilité pour le Président de la CNIL de mettre en demeure un responsable de traitement dans les 24 heures suivant constatation du manquement en cas d’urgence (au lieu de 5 jours aujourd’hui).
    La procédure de sanctions a également été adaptée afin de supprimer l’étape classique de la mise en demeure « lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure ». Le texte de la consultation publique vise ici le cas de perte de données personnelles.

    Renforcement des droits des personnes.
    Libre disposition de données. On retient tout particulièrement la création d’un droit à la libre disposition de ses données personnelles en ces termes : « Toute personne dispose du droit de décider des usages qui sont faits de ses données à caractère personnel et de les contrôler, dans les conditions et limites fixées par les loi et règlements en vigueur ».
    Ce droit ne manque pas de soulever bon nombre d’interrogations, notamment quant à ses modalités pratiques de mise en œuvre (en particulier, quel standard technique adopté pour présenter les données, les extraire, les sécuriser, les transférer?)

    Création d’un droit à l’oubli des mineurs. Le projet de loi vise également à renforcer la protection des mineurs par la création d’un droit à l’oubli spécifique, qui apparaît comme une extension du droit d’opposition actuel. Concrètement, un mineur pourra plus facilement exercer son droit d’opposition grâce à une procédure accélérée de réponse. Les modalités pratiques seront définies par décret.

    Statut des personnes décédées. Il est enfin prévu la possibilité pour les personnes physiques de donner des directives générales et particulières de leur vivant quant au sort de leurs données personnelles.

    Utilisation du NIR
    Les traitements portants sur le NIR sont désormais autorisés s’ils répondent aux conditions suivantes:
    – Le NIR a fait l’objet d’une opération cryptographique irréversible,
    – Il est utilisé pour des traitements ayant exclusivement des finalités de statistique publique et de recherches ne comportant pas de données sensibles ni de données relatives aux infractions, condamnations, mesures de sureté.
    Les modalités d’application de ces dispositions doivent faire l’objet d’un décret.

    En revanche, l’action de groupe dédiée aux manquements à la loi Informatique et Libertés ne figure plus dans le projet de loi.

    Mélanie DEFOORT
    Martine RICOUART-MAILLET
    Avocats