République numérique : plusieurs articles du projet de loi Lemaire notifiés à Bruxelles

En attendant l'arbitrage de la CMP 1
En bref
image dediée
Crédits : PaulGrecaud/iStock/Thinkstock
Loi
Marc Rees

La France vient de notifier à Bruxelles plusieurs articles du projet de loi sur la République numérique. Le texte, actuellement en Commission mixte paritaire, termine sa phase parlementaire dans les semaines à venir.

Hier, Paris a adressé à la Commission européenne cinq des articles de la loi portée par Axelle Lemaire. Pourquoi cette procédure ? Une directive de 1998 prévoit une telle notification pour toutes les normes et réglementations techniques relatives aux services de la société de l'information.

L’expression, conjuguée très largement, impose à chaque État membre d’alerter l’institution bruxelloise dès lors qu’il envisage de réguler des points même très particuliers des services en ligne. Cette opération ouvre alors un délai de trois mois pendant lequel les commissaires tout comme d’autres États membres peuvent émettre des critiques plus ou moins sévères. Une hypothèse que connaît bien Axelle Lemaire puisque certaines des dispositions du PJL ont déjà été épinglées.

Une procédure obligatoire, dont l'oubli est fatal

Les États sont bien inspirés de respecter ce processus, notamment le délai de trois mois, puisqu’un défaut de notification est très douloureux. Une juridiction d’un pays défaillant serait alors en capacité de plomber le texte en cause. C’est d’ailleurs très exactement ce qu’avait décidé le Conseil d’État en juin 2013 pour une procédure concernant l’AFNIC, office d’enregistrement du .fr. ou plus récemment, pour l’un des décrets d’application de la loi Thevenoud sur les taxis et VTC.

Le défaut de notification a également été mis à l’index par Free, contre l’un des décrets Hadopi ou par Me Ronan Hardouin dans le dossier GKS.gs, avec pour cible cette fois, une disposition de la loi DADVSI (Deux procédures toujours en cours).

Quels ont été les articles de la loi Lemaire qui ont été notifiés ? Le projet de loi Lemaire sera discuté dans les prochaines semaines en commission mixte paritaire. Une instance composée de sept députés et autant de sénateurs, chargée de trouver une version de compromis entre les versions adoptées au Sénat et à l’Assemblée nationale. Voilà les articles en cause.

Article 23 quater A et 23 sexies : les locations de courtes durées

Le premier article ouvre la possibilité pour les communes de plus de 200 000 habitants d’obliger les loueurs de locations de courte durée à se voir attribuer un numéro d’enregistrement, du moins à partir d’un certain nombre de nuitées, entre 1 et plus.

Cette mesure facilitera bien entendu les contrôles. Le deuxième article contraint les plateformes à vérifier que les logements qui constituent la résidence principale du loueur ne sont pas loués plus de 120 jours dans l’année. Le cas échéant, elles devront bloquer la transaction. Cela concerne toujours les communes de plus de 200 000 habitants, mais également la petite couronne parisienne.

Article 34 : le secret des correspondances

Il définit ce que sont « les fournisseurs de services de communications au public en ligne » (éditeurs de sites, hébergeurs, etc.). Surtout, il consacre le principe du secret des correspondances chez les opérateurs, lequel couvrira « le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints à la correspondance ».

Ce secret n’est pas absolu. Il sera par principe interdit d’analyser ses correspondances « à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’usager » sauf si le consentement exprès de l’utilisateur a été recueilli selon une périodicité définie par décret.

Article 32 : le droit à l’effacement des données pour les mineurs 

Est consacré ici un véritable droit à l’oubli pour les données personnelles collectées par une personne avant ses 18 ans. Celle-ci pourra en exiger l’effacement sans autre justification que son âge au moment de la mise en ligne.

Si ces données ont été transmises depuis à un tiers, le collecteur initial (ou responsable du traitement) devra mener toutes les diligences pouvant être raisonnablement attendues en l’état de l’art pour l’informer de la demande d’effacement. Le non-effacement ou l’absence de réponse à une telle demande sera puni de 10 000 euros d’amende, outre des intérêts de retard.

Ce principe très fort connaît cependant plusieurs brèches. Les données seront ineffaçables lorsque le traitement est nécessaire à l’exercice de la liberté d’expression et d’information, pour des impératifs d’archivage dans l’intérêt public ou à des fins scientifiques, statistiques ou historiques. S’ajoutent des motifs tenant à la santé publique ou encore lorsqu’il s’agira de respecter une obligation légale. « S’agissant de données qui peuvent mettre singulièrement en danger une population d’enfants et d’adolescents, très sensible aux effets des réseaux sociaux, les autorités françaises entendent, en cohérence avec le règlement européen, mettre en place des garanties et des délais efficaces de mise en œuvre de ce nouveau droit à l’oubli » explique Paris en appui de sa notification.

Article 21 : la portabilité et récupération des données

Avec lui, les consommateurs pourront récupérer l’ensemble de ses données. Cela concernera d’abord les fournisseurs de service de courrier électronique qui devra lui permettre de transférer tous ses messages émis ou reçus ainsi que la liste de ses contacts, vers un autre fournisseur de service de courrier. Avec limite technique importante : les capacités de stockage du service hôte.

L’article 21 prévient que dans cette optique, le donneur ne pourra refuser de fournir au receveur « les informations nécessaires à la mise en place des fonctionnalités mentionnées au premier alinéa, notamment celles relatives à leurs règles techniques et aux standards applicables ». En outre, la loi oblige à la survie du mail initial pendant une durée de 6 mois à compter de la résiliation ou de la désactivation.

Ce droit à récupération est aussi étendu à l’ensemble des fournisseurs de service de communication au public en ligne. Cela vise tous les fichiers mis en ligne par l’utilisateur et toutes les données résultant de l’utilisation de son compte « à l'exception de celles ayant fait l'objet d'un enrichissement significatif par le fournisseur en cause ». Les données seront récupérées en principe dans un format ouvert, aisément réutilisable, via une requête unique. Cette disposition entrera en application en même temps que le projet de règlement européen.

Selon les services d’Axelle Lemaire, la disposition « a pour objectif principal de réduire la viscosité du marché en instaurant pour les clients de services numériques majeurs tels que le courriel, le cloud computing et les services en ligne associés à un compte utilisateur, un droit de récupérer et transférer leurs données aisément ». Selon le secrétariat d’État au numérique, en effet, « la perspective de perdre ses données ou de devoir se lancer dans une fastidieuse récupération manuelle de celles-ci peut en effet inciter le consommateur à renoncer à changer d’opérateur, quand bien même il ne serait plus satisfait de ses services ».

Cette procédure va normalement entrainer un petit problème dans le calendrier. Le texte de la loi Lemaire sera bientôt adopté en commission mixte, pour être ensuite voté par les députés et les sénateurs. Normalement, la France ne pourra publier au J.O. les dispositions notifiées tant que les trois mois de statu quo ne sont pas consommés. Cela reporterait donc son application à septembre.


chargement
Chargement des commentaires...