Les principales mesures de l’avant-projet de loi numérique

Après avoir révélé hier la dernière version de l’avant-projet de loi numérique d’Axelle Lemaire, Next INpact revient aujourd’hui sur les principales mesures du texte, ainsi que sur celles qui ont disparu ou évolué.

Voilà quasiment trois ans que le gouvernement nous promet l'arrivée d'une loi numérique. Mais aujourd'hui, ce projet semble plus que jamais dans les starting-blocks. Si Matignon doit encore rendre ses arbitrages « la semaine prochaine » selon la secrétaire d’État au Numérique, l’ébauche que nous nous sommes procuré démontre que le texte continue de bouger, tout en gardant la même structure :

• Un premier volet consacré à l’Open Data
• Un second volet consacré à la protection des données personnelles et à la CNIL
• Un troisième volet consacré à l’accès de tous au numérique

Tour d'horizon des principales dispositions retenues par Bercy à la fin août (et qui sont encore susceptibles d’évoluer d’ici à la mise en consultation publique du texte, normalement avant la fin du mois).

D’ambitieuses dispositions relatives à l’Open Data

Ouverture « par défaut » des données publiques détenues par l’administration. L'État, les collectivités territoriales et les personnes chargées d’une mission de service public se voient contraints avec ce texte de diffuser systématiquement leurs documents administratifs communicables au sens de la loi CADA, dès lors que ceux-ci existent au format électronique. Cette nouvelle version de travail oblige d’ailleurs les acteurs publics à publier leurs données dans un « format ouvert », alors que ce n’était pas le cas dans la précédente ébauche.

L’entrée en vigueur de ces dispositions reste toutefois progressive. À compter de la promulgation de la loi Lemaire, les administrations disposeront d’un an pour mettre en ligne les données qu’elles auront reçues ou produites pendant ces douze mois. Elles devront en faire de même pour l’ensemble de leurs documents administratifs d’ici l’année suivante. On se retrouve donc avec des délais d’un et deux ans à compter de la publication du texte, contre deux et cinq dans le précédent avant-projet de loi.

Libération urgente de « données de référence ». Dans les six mois à compter de la promulgation de la loi Lemaire, des « données de référence » définies par un arrêté du Premier ministre devront être mises en ligne par l’administration.

Obligations pour les détenteurs de « données d’intérêt général ». Les délégataires de services publics et les organisations recevant des subventions de plus d’un million d’euros seraient contraintes de diffuser en Open Data certaines données produites dans le cadre de leur mission, financée sur deniers publics. Par contre, le dispositif censé conduire à l’ouverture des données détenues par des acteurs purement privés (sans qu’il n’y ait de lien avec l’État) ont pour l’heure disparues. Il est fort probable que Bercy ait préféré attendre de connaître les conclusions de la mission Cytermann, qui se penche spécifiquement sur ce sujet depuis le mois de juin, pour intégrer de nouvelles dispositions.

Ouverture du code source des logiciels développés par l’État. Les « codes source des logiciels » et les « bases de données » figureraient expressément parmi la liste des informations publiques considérées communicables au sens de la loi CADA.

Open Access sur les travaux de recherche. Les éditeurs ne pourront plus s’opposer à ce que des écrits scientifiques ayant été financés « au moins pour moitié par des fonds publics » soient mis en ligne gratuitement par leurs auteurs, dès lors que cette publication numérique ne donne lieu à aucune exploitation commerciale. La durée d’exclusivité serait en ce sens limitée à 12 mois pour les publications relatives aux sciences « dures » (médecines, techniques...), contre 24 mois pour travaux de sciences humaines et sociales – soit le double de ce qui était prévu il y a encore quelques semaines par Bercy.

On notera enfin l’absence de plusieurs mesures figurant pourtant dans la précédente ébauche de loi numérique, dévoilée début juillet par Contexte : l’inscription du principe de gratuité des données publiques (qui a depuis été intégrée au projet de loi Valter, qui transpose la directive sur la réutilisation des informations du secteur public), l’introduction d’un « domaine public volontaire » pour les auteurs, mais aussi des dispositions relatives à l’Administrateur général des données, qui se retrouvait en charge d’un « service public de la donnée ». Certains remarqueront enfin qu’il n’y a aucun nouveau pouvoir d’accordé à la Commission d’accès aux documents administratifs (CADA).

Protection des données personnelles et renforcement de la CNIL

Inscription d’un droit à l’auto-détermination informationnelle. Dès l’article 1er de la loi Informatique et Libertés, serait introduit un principe en vertu duquel « toute personne dispose du droit de décider des usages qui sont faits de ses données à caractère personnel et de les contrôler ».

Principe de portabilité des données. De nouvelles dispositions ont été rédigées afin que chaque utilisateur d’un service en ligne puisse obtenir « gratuitement » une copie de « tous les fichiers importés » par ses soins, ainsi que l’ensemble des « données associées au compte utilisateur (...) et résultant de l’utilisation de ce compte ». Il n’est par contre plus question d’imposer aux fournisseurs de services la transmission de ces informations « dans un format électronique ouvert et permettant une réutilisation effective de ces données par la personne concernée ». Des mesures spécifiques aux fournisseurs de comptes emails restent néanmoins de la partie.

Extension des missions de la CNIL. L’autorité administrative indépendante serait expressément chargée de « sout[enir] le développement des technologies protectrices de la vie privée » (ce qui ne manque pas de piquant quelques semaines après l’adoption du projet de loi Renseignement). Elle accompagnerait d’autre part les organismes déployant des traitements automatisés de données à caractère personnel, alors qu’elle est aujourd’hui simplement tenue de les conseiller. Il n’est par contre plus prévu que la Commission « concourt à l’éducation au numérique ».

Une CNIL davantage saisie. Conformément à ce que souhaitait l’institution, le gouvernement devra avec ce texte consulter obligatoirement la CNIL pour tout projet de loi ou de décret comportant des dispositions relatives à « la protection des données à caractère personnel ou au traitement de telles données ». Aujourd’hui, cette saisine est limitée aux textes portant sur la seule « protection » des personnes à l'égard des traitements automatisés. Les propositions de loi d’origine parlementaire pourront d’autre part faire l’objet d’un avis de la CNIL, puisque les présidents de l’Assemblée nationale et le Sénat auront le pouvoir de déférer un texte à l’institution (sauf si son auteur s’y oppose). L’autorité administrative sera enfin habilitée à « prendre l’initiative de donner et de rendre public un avis sur toute question intéressant la protection des données à caractère personnel ».

Action collective pour les litiges relatifs aux données personnelles. Sur le modèle des actions de groupe que devrait introduire le récent projet de loi pour la Justice du XXIe siècle, des internautes subissant un même préjudice pourraient saisir les juridictions civiles (par le biais notamment d’associations de consommateurs), et ce « à la seule fin d’obtenir la cessation » d’un manquement à la loi Informatique et Libertés.

Droit à l’oubli pour les mineurs. Le fait qu’une donnée personnelle porte sur une personne de moins de 18 ans deviendrait un « motif légitime » justifiant l’arrêt de son traitement (photos sur Facebook, adresse email accessible depuis un moteur de recherche, etc.), sauf si l’individu mineur était « une personnalité publique » au moment des faits.

Droit de « mort numérique ». Chaque internaute pourrait laisser des directives concernant le devenir de ses données personnelles, en cas de décès. La personne désignée aurait ensuite le pouvoir de se tourner vers des réseaux sociaux ou d’autres services en ligne pour obtenir la communication (voire la suppression) de certaines données.

On retiendra surtout que les dispositions permettant à la CNIL d’infliger des amendes d’un montant bien plus dissuasif ont disparu, alors qu’il était jusqu’ici question d’une sanction pécuniaire pouvant atteindre trois millions d’euros « ou, dans le cas d’une entreprise, 5 % de son chiffre d’affaires annuel mondial ». L’article restreignant l’usage de dispositifs de biométrie (empreintes digitales, iris...) est également passé à la trappe.

Accès de tous au numérique

Droit au maintien de la connexion. Les pouvoirs publics devront accorder une aide à « toute personne ou famille éprouvant des difficultés particulières » et qui souhaiterait disposer ou conserver un « service d'accès à Internet » dans son logement – de la même manière que ce qui prévaut aujourd’hui pour l’eau, l’électricité ou le téléphone. En cas de factures impayées, les opérateurs ne pourront pas couper la connexion de l’abonné tant que la collectivité n’aura pas statué sur la demande d’aide. Ils seront cependant autorisés à imposer des « restrictions », notamment en termes de « volume de données ».

Accueil téléphonique pour les sourds et malentendants. Les standards téléphoniques des personnes chargées d’une mission de service public (RATP, Sécurité sociale, mairies...) devront être accessibles sous cinq ans « aux personnes déficientes auditives par la mise à disposition d’un service de traduction écrite simultanée et visuelle ». Ces appels pourront être recueillis « à partir d’un service de communication au public en ligne », tel que Skype par exemple. Une obligation similaire reposera sur les entreprises dont le chiffre d’affaires dépasse un certain seuil (actuellement indéterminé), dans un délai maximum de deux ans.

Accessibilité des sites publics. Les sites Internet des services de l’État, des collectivités territoriales et des établissements publics qui en dépendent devront afficher « une mention visible qui précise, dès l’ouverture, le niveau de conformité ou de la non-conformité du site aux règles d’accessibilité » définies par le « RGAA ». Il est toujours prévu qu’une « sanction pécuniaire » puisse être prononcée à l’encontre des responsables de sites qui ne respectent pas ce référentiel s’imposant aux administrations, mais il n’est désormais plus fait référence à l’amende de 100 000 euros évoquée dans la précédente version du projet de loi Lemaire. On note toutefois une nouveauté : les acteurs publics devront élaborer un « schéma pluriannuel de mise en accessibilité de leurs sites internet et intranet, des applications accessibles via un téléphone ou autre dispositif de communication mobile qu’ils éditent ainsi que de l’ensemble de leurs progiciels ».

On remarquera que ce dernier volet a fait l’objet d’une grande purge, puisque l’ensemble des articles qui devaient permettre aux détenus d’avoir un accès facilité au Web et à une messagerie électronique a été supprimé. La reconnaissance du métier de « médiateur numérique » n’est plus de la partie non plus, de même que l’accessibilité des SAV aux personnes sourdes et malentendantes.

Neutralité, loyauté des moteurs de recherche, recommandé électronique...

Inscription du principe de neutralité du Net. Selon le nouvel avant-projet de loi Lemaire, « la neutralité de l'internet est garantie par le traitement égal et non discriminatoire du trafic par les opérateurs dans la fourniture des services d’accès à Internet ainsi que par le droit des utilisateurs finaux et des fournisseurs de services de communication au public en ligne d'accéder et de contribuer à Internet, conformément au règlement [encore en cours de discussion au niveau européen] ».

Droit de panorama. L’auteur d’une « œuvre d’art graphique, plastique ou architecturale réalisée pour être placée en permanence dans un lieu public » ne pourra pas interdire les reproductions ou représentations de celle-ci. Il sera ainsi possible de prendre librement en photo certaines statues ou fresques visibles de tous, à condition toutefois de ne pas en faire une exploitation commerciale.

Information sur les débits pour l’internet fixe et mobile. Les opérateurs pourraient être tenus de préciser dans les contrats qu’ils font signer à leurs clients « les débits minimums, moyens, maximums montants et descendants fournis » lorsqu’il s’agit de services d’accès à internet fixe, et de donner pour les services d’accès à Internet mobile (de type 4G) « une estimation des débits maximums montants et descendants fournis ». Les Free, Orange & co devraient en outre détailler « les compensations et formules de remboursement applicables lorsque le niveau de qualité de services ou les débits prévus dans le contrat, ou annoncés dans les publicités ou les documents commerciaux relatifs à l’offre souscrite ne sont généralement pas atteints, de façon continue ou récurrente ».

La loyauté des plateformes s’étend aux moteurs de recherche. Bercy songe déjà à modifier l’article introduit dans la loi Macron afin d’imposer davantage de transparence aux sites d’intermédiation en matière de services et de biens (de type marketplaces). Des moteurs tels que Google pourraient ainsi être tenus de délivrer une « information loyale, claire et transparente » sur les « modalités de référencement, de classement et de déréférencement des contenus » qu’ils proposent à leurs utilisateurs. L’existence de toute rémunération entre la personne référencée et le moteur devra en outre « apparaître clairement ».

Transparence sur les avis de consommateurs. Tout site collectant, modérant ou diffusant des « avis en ligne de consommateurs » sera avec ce texte tenu de fournir « une information loyale, claire et transparente sur les modalités de vérification des avis mis en ligne ». L’intermédiaire devra notamment préciser si les avis mis en ligne ont fait l’objet (ou non) d’une vérification, par exemple suite à l'envoi par l'internaute de son ticket de caisse.

Recommandé électronique. Des dispositions ont été intégrées afin de reconnaître expressément que « le recommandé électronique a la même valeur probante que la lettre recommandée postale papier ou hybride ». Tout du moins lorsqu’il satisfait à un certain nombre de critères (notamment de sécurisation, sous l’œil de l’ARCEP).

Un texte désormais attendu devant l'Assemblée nationale pour le « début 2016 »

Restera maintenant à voir quels seront les arbitrages de Matignon... Rappelons toutefois que le texte n’a pas fini d’évoluer, puisqu’il devrait dans un premier temps être remanié suite à la consultation publique qui sera organisée pendant trois ou quatre semaines sur Internet, normalement avant la fin du mois. La saisine obligatoire de nombreuses autorités (Conseil d’État, CNIL, ARCEP...) pourrait ensuite conduire le gouvernement à revoir sa copie d’ici la présentation du texte en Conseil des ministres, si tout se passe comme prévu durant le mois de novembre. Sans parler des débats parlementaires à venir...

• Consulter l'intégralité de l'avant-projet de loi Lemaire pour une République numérique (PDF)