Loi Numérique : on fait le point

Alors que les députés sont appelés à voter sur l’ensemble du projet de loi Numérique cet après-midi, Next INpact vous propose un passage en revue des principales mesures adoptées par les parlementaires au cours des derniers jours.

Vous n’avez pas pu suivre les dizaines d’heures de débats nécessaires à l’examen des 1 500 amendements déposés par les députés, en commission comme en séance ? Vous souhaitez savoir ce que contient le texte que s’apprête à voter cet après-midi l’Assemblée nationale ? Voici un panorama des principales mesures du projet de loi numérique, tel qu’enrichi par les élus du Palais Bourbon.

Les avancées

Ouverture des codes sources des logiciels de l’administration. Les « codes sources » seront expressément considérés comme des documents administratifs communicables au citoyen, au titre de la loi CADA de 1978.

Renforcement du pouvoir de sanction de la CNIL. Le montant maximal des amendes pouvant être prononcées par la gardienne des données personnelles a été substantiellement revalorisé, puisque celui-ci sera désormais de 20 millions d’euros (ou 4 % du chiffre d’affaires annuel mondial des entreprises). Dans le même temps, l’institution pourra ordonner aux personnes sanctionnées d’informer individuellement de leur condamnation « chacune des personnes concernées » par les manquements à la loi Informatique et Libertés.

Des actions en justice contre le copyfraud. Les associations ayant pour ambition de « protéger la propriété intellectuelle, de défendre le domaine public ou de promouvoir la diffusion des savoirs » pourront saisir le tribunal de grande instance « afin de faire cesser tout obstacle à la libre réutilisation d’une œuvre entrée dans le domaine public » (voir notre article).

Gratuité des données publiques. À compter du 1^er janvier 2017, il ne pourra plus y avoir de redevances « entre les administrations de l’État et entre l’État et ses établissements publics administratifs ». De nombreuses exceptions seront néanmoins de la partie, pour les échanges de données avec les collectivités territoriales par exemple. D'autre part, les données de l’INSEE deviendront elles aussi gratuites à partir de l’année prochaine – mais pour les administrations comme pour les particuliers cette fois. Cela concernera notamment la base SIRENE sur les entreprises (voir notre article). Durant les débats, le gouvernement a clairement affiché sa position sur ce dossier : avancer au cas par cas, plutôt que de faire sauter toutes les redevances d’un coup.

Renforcement des pouvoirs de la CADA. Le montant maximum des amendes pouvant être prononcées par la Commission d’accès aux documents administratifs (CADA) en cas de réutilisation frauduleuse de données publiques sera de deux millions d’euros, contre 150 000 euros actuellement. L’autorité administrative devra également inscrire sur son site Internet le nom des administrations ne souhaitant pas suivre ses avis favorables à la libération de documents administratifs (voir notre article).

Nouvelle exception aux droits d’auteur pour le text & data mining. En vue de « l’exploration de textes et de données », les chercheurs pourront effectuer des copies ou reproductions numériques d’œuvres protégées (et réalisées à partir de sources licites), à condition que ces opérations n’aient aucune finalité commerciale.

Transparence sur les algorithmes servant à prendre des décisions individuelles. Les administrations de plus 50 agents ou salariés devront mettre en ligne « les règles définissant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions », dès lors que ceux-ci fondent des décisions individuelles (attribution de bourse ou d’allocation familiale, affectation de poste, etc.). Un autre article du projet de loi Lemaire – voté avant l’examen de ces nouvelles dispositions – permet en outre au citoyen de se tourner vers l’administration afin d’obtenir la communication des « règles » et « principales caractéristiques de mise en œuvre » d’un algorithme ayant servi à prendre une décision le concernant. Il est dès lors plus que probable que le Sénat vienne mettre un peu d’ordre dans ces mesures...

Publicité des avis de la CNIL, de la CADA et du Conseil d’État. CNIL et CADA mettront en ligne leurs avis portant sur des projets de loi et de décret. Les avis du Conseil d’État sur les projets de loi et d’ordonnance du gouvernement deviendront par ailleurs des documents administratifs communicables de plein droit au citoyen.

Plus de sanctions contre le « revenge porn ». Le fait de « transmettre ou de diffuser sans le consentement exprès de la personne l’image ou la voix de celle-ci, prise dans un lieu public ou privé, dès lors qu’elle présente un caractère sexuel », sera passible de 2 ans de prison et de 60 000 euros d’amende. Les députés ont ainsi essayé de combler les lacunes actuelles du droit, tout en augmentant les sanctions encourues par ces individus qui diffusent sur la Toile des images de leurs anciennes conquêtes.

Reconnaissance du e-sport. Le ministère chargé de la Jeunesse pourra délivrer des agréments « aux organisateurs de compétitions de jeux vidéo, notamment à dominante sportive, requérant la présence physique des joueurs ». Ceux-ci devront se plier à différentes exigences (transparence des compétitions, protection des mineurs, prévention des atteintes à la santé publique...) et choisir des jeux faisant « prédominer, dans l’issue de la compétition, les combinaisons de l’intelligence et l’habilité des joueurs (...) et visant à la recherche de performances physiques virtuelles ou intellectuelles ».

Marche forcée vers l’IPV6. Afin de faire face à la pénurie d’adresses IPV4, tous les équipements terminaux destinés « à la vente ou la location sur le territoire français » devront être compatibles avec la norme IPV6 à partir du 1^er janvier 2018.

Consultation des internautes sur les projets de loi. Le gouvernement devra remettre au Parlement, avant le 30 juin, un rapport portant « sur la nécessité de créer une consultation publique en ligne pour tout projet de loi ou proposition de loi avant son inscription à l’ordre du jour du Parlement ». Axelle Lemaire a cependant expliqué qu’une telle généralisation restait très prématurée. Un tel document permettrait néanmoins de faire un point et d’ouvrir des pistes.

Formation des élèves à lutte contre les cyberviolences. Dans le cadre de la sensibilisation des élèves « aux droits et aux devoirs liés à l'usage de l'internet et des réseaux », les jeunes seront également amenés, entre la primaire et la terminale, à étudier « la lutte contre les violences commises au moyen d’un service de communication au public en ligne », tel qu’Internet (cyber-harcèlement, revenge porn, etc.).

Les points à surveiller

Ouverture « par défaut » des données publiques. Les administrations de l'État, les collectivités territoriales de moins de 3 500 habitants, de même que toutes les personnes chargées d’une mission de service public (autorités administratives indépendantes, établissements publics, opérateurs privés d’eau ou d’électricité, etc.) devront mettre systématiquement en ligne :

• Leurs bases de données « mises à jour de façon régulière ».
• Les documents administratifs qu’elles communiquent suite à des procédures CADA, « ainsi que leurs versions mises à jour ».
• Les données « dont la publication présente un intérêt économique, social, sanitaire ou environnemental » – également avec leurs mises à jour.
• Les « principaux documents » figurant dans le répertoire d’informations publiques prévu par l’article 17 de la loi CADA.

Ces fichiers devront être diffusés « dans un standard ouvert aisément réutilisable, c’est-à-dire lisible par une machine ». Des termes qui font craindre à certains qu’il s’agisse d’une porte ouverte vers la publication de nombreux documents numérisés en PDF, quasi impossibles à réexploiter ensuite...

Cette nouvelle obligation ne vaudra en outre que pour les institutions dont le nombre d’agents ou de salariés sera supérieur à un seuil fixé ultérieurement par décret (dans la limite de 50 agents ou salariés). Les acteurs exerçant une « mission de service public à caractère industriel ou commercial soumise à la concurrence », tels que la SNCF, pourront de surcroît s’exonérer de la diffusion de leurs bases de données... D’autre part, les administrations n’auront qu’à mettre en ligne leurs documents existants d’ores et déjà au format électronique. Un calendrier d’entrée en vigueur de ces mesures est enfin prévu : il se déclinera sur deux ans.

Usage des logiciels libres au sein de l’administration. Les services de l’État, les établissements publics, les collectivités territoriales, les entreprises du secteur public... devront « encourag[er] l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation d’un système informatique ». Ces dispositions ont à la fois suscité le courroux des professionnels du logiciel propriétaire, qui y voient une atteinte à l’accès à la commande publique, et des promoteurs du logiciel libre, qui estiment que la portée normative du terme « encourage » est quasi nulle... (voir notre article)

Un Windows « Made in France » ? Le gouvernement devra remettre au Parlement, dans un délai de trois mois, « un rapport sur la possibilité de créer un Commissariat à la souveraineté numérique rattaché aux services du Premier ministre dont les missions concourront à l’exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège ». Ce document devra surtout préciser les « conditions de mise en place, sous l’égide de ce Commissariat, d’un système d’exploitation souverain ». Si l’hypothèse d’un « OS Made in France » est vivement contestée depuis plusieurs jours, soulignons qu’il ne s’agit pour l’instant que d’une simple demande de rapport – qui pourrait d’ailleurs disparaître au fil des débats parlementaires...

Protection des lanceurs « d’alertes de sécurité ». Tout hacker s’étant introduit frauduleusement dans un système informatique pourra être exempté de peine s’il a « immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d’un risque d’atteinte aux données ou au fonctionnement du système ». En clair, qu’il a prévenu de l’existence d’une faille. Sauf qu’exemption de peine n’est pas synonyme d’exemption de poursuites : il y a aura donc toujours une procédure, un jugement, une éventuelle reconnaissance de culpabilité...

Nouvelles obligations pour les plateformes. Les moteurs de recherches, les marketplaces et autres sites de partage de biens ou de services seront tenus d’être clairs et transparents quant aux « conditions générales d’utilisation du service d’intermédiation [qu’ils proposent] et sur les modalités de référencement, de classement et de déréférencement des contenus, des biens ou des services auxquels [leurs services permettent] d’accéder ». À l’aide d’une « signalisation explicite », ils devront notamment indiquer l’existence de relations contractuelles visant à améliorer le référencement de certains produits par exemple.

Les opérateurs de plateformes « par l’intermédiaire desquels des contenus illicites sont susceptibles d’être diffusés à grande échelle » devront surtout désigner un représentant légal en France, et même élaborer « des bonnes pratiques visant à lutter contre la mise à la disposition du public, par leur entremise, de contenus illicites ». Pour cela, le législateur les invite ni plus ni moins qu’à mettre en place des techniques de filtrage automatisé (voir notre article).

Une action collective en matière de données personnelles. Certaines associations (de consommateurs, de défense de la vie privée...) pourront saisir les juridictions civiles afin d’obtenir « la cessation » d’une violation des dispositions de la loi Informatique et Libertés. Cependant, il n’est pas prévu que ces procédures permettent de réclamer une réparation du préjudice subi par les victimes (voir notre article).

Secret des correspondances. Les fournisseurs de messagerie électronique de type Gmail ou Hotmail devront respecter le secret des correspondances, étant entendu que celui-ci « couvre le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints à la correspondance ». S’il est encore prévu que le traitement automatisé de ces données à des fins publicitaires sera « interdit » par principe, l’Assemblée a dans le même temps voulu spécifier que l’utilisateur pourra autoriser son service à déroger à cette règle – à condition d’y consentir de manière régulière (au moins une fois par an).

Reconnaissance de la « liberté de panorama ». Les auteurs et ayants droit ne pourront plus s’opposer à ce que des particuliers réalisent, « à des fins non lucratives », des images « d’œuvres architecturales et de sculptures, placées en permanence sur la voie publique ». Des conditions pour le moins strictes, et qui pourraient grandement limiter la portée de cette mesure (voir notre article).

Davantage d’encadrement pour Airbnb. Les locataires qui utilisent des sites tels qu’Airbnb pour sous-louer une ou plusieurs de leurs chambres devront certifier à ces plateformes qu’ils disposent de l’autorisation de leur propriétaire, sous peine de sanctions.

Les points sur lesquels les choses n’ont guère évolué

Inscription du principe de neutralité du Net. Les opérateurs français seront expressément tenus de respecter le récent règlement européen sur les télécoms. L’ARCEP sera de son côté chargée de veiller au grain.

Portabilité des données. Les principaux fournisseurs de service de communication au public en ligne (Facebook, YouTube, Deezer...) devront proposer à leurs utilisateurs une fonctionnalité gratuite permettant de télécharger, via une requête unique :

• « Tous les fichiers mis en ligne par le consommateur ».
• « Toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci ».
• Toutes les « données associées » au compte et « dont la récupération est pertinente pour le changement de fournisseur » – les informations concernées seront précisées ultérieurement par décret.

Les sites contrevenant à ces dispositions s’exposeront à des amendes de 15 000 euros par manquement.

Encadrement des avis d’internautes. Tous les sites collectant, modérant ou diffusant des avis de consommateurs sur Internet devront préciser « si ces avis font ou non l’objet d’un contrôle » et, si tel est le cas, indiquer « les caractéristiques principales du contrôle mis en œuvre » (demande du ticket de caisse, etc.). Ils leur faudra également intégrer une fonctionnalité gratuite qui permettra aux responsables des produits ou des services faisant l’objet d’un commentaire de « signaler un doute sur l’authenticité d’un avis, à condition que ce signalement soit motivé ».

Libre accès aux travaux de recherche financés sur deniers publics. Les éditeurs ne pourront plus s’opposer, y compris par des clauses contractuelles, à ce que leurs auteurs veuillent mettre gratuitement en ligne leurs publications (pour une utilisation à des fins non commerciales). Un délai d’embargo devra néanmoins être respecté : six mois pour les sciences, la technique et la médecine ; douze mois pour les sciences humaines et sociales. Un rapport a été demandé afin d’évaluer d’ici deux ans l’impact de ces dispositions.

Des missions étendues pour la CNIL. La Commission nationale de l’informatique et des libertés devra être saisie de manière systématique sur un plus grand nombre de projets de loi et de décrets. Elle pourra également être saisie par les présidents de l’Assemblée nationale et du Sénat, au sujet d’un texte porté par un député ou un sénateur – sauf si ce dernier s’y oppose. L’autorité administrative indépendante aura par ailleurs pour mission de promouvoir « l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ».

Droit à l’oubli pour les mineurs. Les responsables de traitements seront tenus d’effacer sur demande, et « dans les meilleurs délais », des données à caractère personnel ayant été collectées à l’égard d’une personne « mineure au moment de la collecte ». La CNIL sera compétente en cas de litige, où si certains acteurs trainent des pieds. De nombreuses exceptions sont toutefois prévues, par exemple pour les informations relevant du « droit à la liberté d’expression et d’information », nécessaires « à la constatation, à l’exercice ou à la défense de droits en justice », etc.

Testament numérique. Les internautes pourront laisser de leur vivant des directives (générales ou particulières) sur le devenir de leurs données à leur décès. En l’absence de telles consignes, les héritiers ne pourront qu’exiger des responsables de traitements, à commencer par les réseaux sociaux, qu’ils clôturent les comptes du défunt. Une exception est toutefois prévue : les héritiers pourront accéder aux données du défunt lorsque celles-ci se révèleront « nécessaires à la liquidation et au partage de la succession ».

Ouverture prioritaire de « données de référence ». Dans un délai de six mois, le gouvernement prendra un décret précisant les modalités d’application de l’article portant création du « service public de la donnée ». Il s’agira notamment de fixer une liste de données de référence (de par leur qualité, leur utilité, leur popularité...) que les administrations devront diffuser en Open Data.

Ouverture des données issues des délégations de service public. Par principe, les délégataires devront fournir aux pouvoirs publics « dans un standard ouvert aisément réutilisable » les données collectées ou produites « à l’occasion de l’exploitation du service public dont [ils assurent] la gestion et qui sont indispensables à [leur] exécution ». Des informations qui auront ensuite vocation à être rediffusées en Open Data par les collectivités. Ces dernières pourront néanmoins exempter un délégataire de ces obligations « par une décision fondée sur des motifs d’intérêt général qu’elle explicite et qui est rendue publique » – ce qui devrait permettre de limiter les dérives.

Plus de transparence sur les subventions. Les acteurs publics allouant une subvention dont le montant dépassera 23 000 euros se voient contraints de rendre accessible, encore une fois dans « un standard ouvert aisément réutilisable », les « données essentielles de la convention de subvention ». Ces dispositions, qui devront être précisées par décret, pourraient rendre plus faciles les comparaisons entre les villes distribuant le plus d’argent public ou, inversement, les associations qui reçoivent le plus d’aides, etc. Tout dépendra cependant de ce que l'exécutif définira comme correspondant à des « données essentielles »...

Des licences types obligatoires pour les administrations. Lorsque la réutilisation de données publiques (à titre gratuit) donnera lieu à l’établissement d’une licence, celle-ci devra être choisie « parmi celles figurant sur une liste fixée par décret ». Il y a fort à parier que la Licence Ouverte de la mission Etalab soit ainsi proposée, de même que la licence ODbL. Des dérogations resteront néanmoins possibles, à condition que la licence souhaitée par l’administration soit « préalablement homologuée par l’État, dans des conditions fixées par décret ».

Ouverture de données privées. Pour permettre à l’INSEE d’obtenir des données appartenant à des acteurs privés (tels que les opérateurs de téléphonie par exemple), le projet de loi Numérique permet au ministre de l’Économie d’imposer aux entreprises la transmission « par voie électronique » d’ « informations présentes dans [leurs] bases de données ». Une telle décision devra être « précédée d’une étude de faisabilité et d’opportunité rendue publique ».

Rapprochement CNIL/CADA. Le président de la première commission siègera de droit dans la seconde, et inversement. Les deux institutions pourront par ailleurs se réunir « dans un collège unique » à l’initiative d’un de leur président, dès lors qu’un « sujet d’intérêt commun » le justifiera.

Et maintenant ?

Une fois adopté par l'Assemblée nationale, le projet de loi Numérique sera transmis au Sénat, où il pourrait être examiné d'ici au mois d'avril. Les sénateurs auront à ce moment tout le loisir d'amender le texte porté par Axelle Lemaire. Engagé sous procédure d'urgence (avec en principe une seule lecture par chambre), celui-ci pourrait toutefois être examiné une seconde fois par les députés. C'est en tout cas le souhait de la secrétaire d’État au Numérique, même si rien n’a encore été officiellement arbitré selon Bercy.