Un député dépose un texte pour renforcer la législation sur les données personnelles

Un député UMP vient de déposer une proposition de loi « visant à renforcer la protection des données à caractère personnel sur Internet ». Au programme : consécration d’un droit à l’oubli, au déréférencement, ou bien encore l’obligation pour la CNIL de rendre publiques toutes les sanctions qu’elle prononce. Il est toutefois peu probable que ce texte issu de l’opposition soit discuté prochainement.

À l’appui des derniers rapports d’activité de la Commission nationale de l’informatique et des libertés (CNIL), qui montrent que le nombre de plaintes reçues par l’institution a parfois fortement augmenté ces dernières années, le député Pierre Morel-A-L’Huissier juge aujourd’hui que la loi « Informatique et Libertés » de 1978 est « insuffisant[e] ». Tandis que les géants du Net récoltent chaque jour davantage de données sur leurs utilisateurs, et que les révélations Snowden ont mis en lumière la façon dont les gouvernements pouvaient malmener la vie privée des citoyens, l’élu UMP plaide pour un toilettage de notre législation.

Le parlementaire a ainsi rédigé une proposition de loi, qui vient d’être déposée à l’Assemblée nationale, et dont nous avons pu obtenir une copie. Mais d’entrée, force est de constater que ce texte s’apparente avant tout à un outil politique visant à afficher une position, tant ses dispositions semblent fragiles et imprécises sur le plan juridique. 

Donner aux adresses IP le statut de données personnelles

« D’abord, et face aux hésitations de la jurisprudence sur ce point, la définition des éléments permettant l’identification de la personne ne peut se restreindre au nom, au prénom, à la photographie ou aux données biométriques de la personne, mais doit s’étendre à l’adresse IP de celle-ci » écrit Pierre Morel-A-L’Huissier dans son exposé des motifs. La proposition de loi du parlementaire vise dès lors à faire entrer expressément l’adresse IP dans le champ de l’article 2 de la loi Informatique et Libertés.

Actuellement, la législation dispose que « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » est une donnée personnelle. Sauf que certaines juridictions françaises ont déjà estimé que les adresses IP devaient être exclues de ce périmètre (voir notre article). On peut imaginer qu’une telle évolution législative pourrait aider pour les litiges liés par exemple à l’IP tracking, d'autant que la Commission européenne, comme la CNIL ou le G29, considèrent tous qu'il s'agit d'une donnée personnelle.

Consécration d’un « droit à l’oubli »

Alors que la Cour de justice de l’Union européenne a rendu en mai dernier une décision contestée sur le sujet, le député Morel-A-L’Huissier estime que « la consécration d’un véritable droit à l’oubli est inévitable ». Son idée ? Modifier l’article 38 de la loi Informatique et Libertés, qui prévoit actuellement que « toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Le député souhaite tout simplement rayer la mention « pour des motifs légitimes », histoire de rendre quasiment systématiques les suppressions de données personnelles. Sa proposition de loi renverse en fait la charge de la preuve, puisque ce serait le responsable du traitement qui devrait démontrer que la demande n’est pas légitime au regard de l’objectif poursuivi.

Pierre Morel-A-L’Huissier voudrait au passage inscrire dans la loi que ces demandes peuvent « s’effectuer par la voie d’un simple courrier électronique au responsable du traitement », et ce « afin de ne pas décourager les internautes d’effectuer cette démarche ».

« Obligation de déréférencement » pour les moteurs de recherche

En complément, le parlementaire propose d’introduire dans la loi une « obligation de déréférencement », « sans délai » et « à la charge des moteurs de recherche ». Cette purge serait systématique dès « l’obtention par une personne de la suppression d’une donnée à caractère personnel la concernant ». L’idée semble simple sur le papier : dès lors qu’une information disparaît d’un site suite à la demande d’une personne, elle devrait par la suite être automatiquement effacée chez les Google & co.

Les sanctions de la CNIL publiques par défaut

Le député souhaite d'autre part modifier plusieurs choses concernant le fonctionnement de la CNIL. Sa proposition de loi prévoit ainsi que les sanctions prononcées par l’institution soient toutes rendues publiques, par défaut, et ce « dans une optique dissuasive ».

Aujourd’hui, la Commission est libre de divulguer (ou non) le nom d’une société ou d’un organisme à qui elle tire les oreilles. Mais en principe, l'autorité n’a recours à cette mise à l’index que pour certaines affaires – souvent les plus graves ou les plus symboliques – à l’image de la sanction contre Google. À titre d’illustration, la gardienne des données personnelles n’a infligé « que » 12 sanctions en 2013, dont 7 furent pécuniaires.

Étrangement, il n’est par contre pas question d’augmenter le pouvoir de sanction de la CNIL, limité à 150 000 euros d'amende pour un premier manquement.

Des correspondants Informatique et Libertés dans toutes les grandes entreprises

Autre proposition : rendre obligatoire la nomination d’un correspondant « Informatique et Libertés » (CIL) au sein « des autorités ou organismes publics, des entreprises de 50 salariés et plus, [ainsi que pour] tout autre organisme dont les activités consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique ». Ces personnes, spécifiquement formées aux problématiques liées aux données personnelles, ont principalement pour rôle de faciliter les démarches administratives en lien avec la CNIL. Mais aujourd’hui, la désignation d’un CIL est purement facultative.

En 2010, la CNIL affirmait qu’il y avait 10 000 correspondants « Informatique et Libertés ».

Les données personnelles au programme du projet de loi numérique

Hasard du calendrier, ce texte est déposé au Parlement alors que la législation sur les données personnelles est appelée à évoluer prochainement. La plupart des points évoqués par Pierre Morel-A-L’Huissier ont en effet été abordés lors des discussions relatives à la révision de la directive européenne de 1995 sur les données personnelles, qui pourrait être adoptée définitivement dans le courant de l’année prochaine. L’élu estime à cet égard que « la France doit accompagner ce mouvement ».

La question des données personnelles devrait surtout être à l’ordre du jour du projet de loi numérique préparé par Axelle Lemaire. Droit à l’oubli, au déréférencement, pouvoir de sanction de la CNIL... Tous ces sujets touchés du doigt par le député Morel-A-L’Huissier sont actuellement soumis au débat public via la grande concertation menée par le Conseil national du numérique, et pourraient dès lors se retrouver dans le texte de la secrétaire d’État au Numérique, dont la présentation devant le Parlement devrait avoir lieu l’année prochaine (voir notre article). Dans tous les cas, majorité comme opposition n'ont pas beaucoup de marge ; il est en effet risqué de vouloir modifier aujourd'hui en profondeur la loi CNIL alors que la France devra se mettre au diapason européen très prochainement.