On vous explique le volet « CNIL et données personnelles » de la loi Numérique

CNIL était temps ! 5
Accès libre
image dediée
Crédits : Axelle Lemaire - Flickr (CC BY-ND 2.0)
Loi
Xavier Berne

Sans attendre l’entrée en vigueur du règlement européen sur les données personnelles, la France s’apprête à revoir sa loi Informatique et Libertés. Next INpact vous propose ainsi aujourd’hui une explication détaillée du volet « CNIL et données personnelles » de la future loi Numérique.

Après l’Open Data, les données personnelles. Avec le projet de loi Lemaire, qui devrait être définitivement adopté par le Sénat mercredi 28 septembre, le gouvernement espère « passer d’une posture uniquement défensive, de protection des données personnelles » à « une posture plus offensive de maîtrise, de contrôle et plus encore de capacité pour l’utilisateur à mobiliser et utiliser ses données pour ses propres finalités ». En clair, il est avant tout question de permettre aux internautes de peser davantage face aux géants du Net.

Le texte porté par la secrétaire d’État au Numérique commence ainsi par poser que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ». En complément à ce droit à l’autodétermination informationnelle, ce sont de nouveaux outils juridiques qui sont appelés à voir le jour, au bénéfice des internautes : récupération de ses données, droit à l’oubli pour les mineurs, « mort numérique », etc. La Commission nationale de l’informatique et des libertés verra dans le même temps ses pouvoirs et compétences élargis.

Un « droit à l’oubli » pour les mineurs

Afin d’obtenir la suppression de photos ou de vidéos de ce qu’on pourrait qualifier d’erreurs de jeunesse, toute personne sera en droit de demander aux responsables de traitements l’effacement de données personnelles « collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte ». Autrement dit, peu importera que les photos ou vidéos en question aient été publiées par l’intéressé ou par un tiers. Mis à part une preuve de son âge, le demandeur n’aura aucune justification à apporter pour obtenir le retrait de données diffusées avant ses dix-huit ans.

Les sites ainsi sollicités devront procéder aux suppressions « dans les meilleurs délais ». Ils devront au passage informer d’éventuels tiers – auxquels ces données auraient été transmises – de toute procédure d’effacement.

Si, au bout d’un mois, aucun retrait n’a été opéré (ou aucune réponse apportée à l’internaute), ce dernier pourra alors saisir la CNIL. La gardienne des données personnelles disposera d'un délai de trois semaines pour se prononcer sur cette plainte, « à compter de [sa] date de réception ».

Dans certains cas de figure, l'effacement ne pourra cependant être obtenu. Ce sera le cas si le traitement de données se révèle « nécessaire » :

  • À l’exercice du « droit à la liberté d’expression et d’information » (articles de presse...)
  • « Pour des motifs d’intérêt public dans le domaine de la santé publique »
  • « À des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques »
  • « À la constatation, à l’exercice ou à la défense de droits en justice »
  • Pour « respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

La « succession numérique »

Le législateur a ensuite tenté de trancher la délicate question du devenir des données d’un internaute suite à son décès : photos d’un compte Facebook, messages reçus et envoyés via une messagerie tel que Gmail, fichiers hébergés via des solutions cloud de type Dropbox, etc. Ce point a d’ailleurs fait figure de sérieuse pomme de discorde entre députés et sénateurs. Les premiers considéraient qu’il ne fallait pas que ces données soient transmises aux héritiers, sauf dans le cadre du règlement de la succession ; tandis que les seconds les assimilaient à des lettres conservées par le défunt, dès lors récupérables par ses proches...

C’est finalement un compromis ménageant la chèvre et le chou qu’ont trouvé les parlementaires. En l’absence de directive de la part du défunt, les héritiers pourront « accéder aux traitements de données à caractère personnel qui le concernent », uniquement « afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession ». Il leur sera aussi possible de « faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour ».

Famille funérailles
Crédits : Rich Legg/iStock

Mais en pratique, il sera bel et bien possible de récupérer des fichiers d’une personne décédée, pour autant qu'ils soient qualifiés de « biens numériques » ou de « données s’apparentant à des souvenirs de famille ». En commission mixte paritaire, le rapporteur Frassa a ainsi confirmé que ces dispositions s’appliqueraient notamment aux « boîtes mails » et photos. Néanmoins, une nécessaire sélection, non abordée par le texte, devra avoir lieu à un moment quelconque afin d'exclure tout ce qui relève de la vie professionnelle ou de l'intimité de la vie privée du défunt.

Tous les sites devront informer leurs utilisateurs du sort de leurs données en cas de décès, et leur permettre de choisir de les communiquer (ou non) à des tiers – à condition que ces derniers soient désignés au travers de directives générales ou particulières. Cette sorte de « testament numérique » pourra d’ailleurs être enregistré auprès d’un tiers de confiance numérique – certifié par la CNIL – en vue de son inscription dans un registre unique national. Un décret est toutefois attendu pour préciser ce dispositif.

Le nouveau droit de récupération de ses données attendra 2018

À compter du 25 mai 2018 (soit à la date d’entrée en vigueur du règlement européen relatif aux données personnelles), le consommateur disposera « en toutes circonstances » d’un « droit de récupération de l’ensemble de ses données » – personnelles ou non. Cela signifie que les utilisateurs de services en ligne (Facebook, YouTube, Flickr, TripAdvisor...) devront pouvoir télécharger gratuitement et « par une requête unique » :

  • Tous les fichiers qu’ils ont « mis en ligne » : photos, vidéos, musiques...
  • Toutes les « données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci » (à l’exception toutefois de celles ayant fait l’objet d’un « enrichissement significatif » par le fournisseur de service). On peut penser ici aux playlists réalisées sur des sites tels que Deezer par exemple.
  • Certaines « données associées au compte utilisateur du consommateur » et qui « facilit[eraient] le changement de fournisseur de service ou permett[raient] d’accéder à d’autres services ». Un décret devra toutefois compléter ces dispositions et lever un certain flou qui règne encore à l'heure actuelle.

L’idée derrière ces dispositions ? Que les utilisateurs puissent facilement passer d’un service à un autre, la barrière « pratiquo-technique » étant censée devenir moins compliquée à franchir. Les sites seront d’ailleurs priés (voire obligés, pour la deuxième catégorie de données listée ci-dessus) de fournir la copie de ces données « dans un standard ouvert et aisément réutilisable ». Si tel n’était pas le cas, les utilisateurs devraient en être informés « de façon claire et transparente ».

Gros bémol, outre l’entrée en vigueur tardive de cette réforme : seuls seront tenus de se soumettre à ces nouvelles obligations les sites « dont le nombre de comptes d’utilisateurs ayant fait l’objet d’une connexion au cours des six derniers mois » sera supérieur à un seuil, fixé ultérieurement par décret. Il faudra donc attendre la publication de ce texte pour jauger de la portée de cet article...

Le (relatif) secret des correspondances étendu aux réseaux sociaux, webmails, etc.

Alors que le gouvernement ambitionnait initialement d’interdire aux messageries gratuites de type Gmail ou Hotmail tout « traitement automatisé d’analyse » du contenu des emails de leurs utilisateurs (ainsi que de leur objet ou même de leurs éventuelles pièces jointes), notamment pour diffuser ensuite des publicités ciblées, le Parlement a finalement revu en profondeur la copie de l’exécutif.

Les « fournisseurs de services de communication au public en ligne permettant à leurs utilisateurs d’échanger des correspondances, ainsi que les membres de leur personnel », seront dorénavant tenus de respecter, au même titre que les opérateurs, le secret des correspondances. Il est d’ailleurs prévu que ce principe s’étende à l'avenir au « contenu de la correspondance », à « l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints ».

L’analyse automatisée des mails « à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’utilisateur » sera toutefois autorisée, à la condition que le « consentement exprès de l’utilisateur » ait été recueilli par le fournisseur de services (Caramail, Facebook Messenger, WhatsApp...) « à une périodicité fixée par voie réglementaire ». S’il faudra attendre un décret pour en savoir plus, le législateur a tenu à préciser que cet accord devra a minima être obtenu une fois par an.

Autrement dit, vos mails pourront légalement être examinés afin de vous soumettre des publicités adaptées au contenu de vos correspondances (billets d'avion si vous parlez voyage, etc.), mais votre feu vert sera nécessaire – un peu comme aujourd'hui, où l'on vous fait signer des conditions générales d'utilisation bien souvent interminables...

Plus de saisines de la CNIL, plus de transparence

En complément à ces nouveaux petits « outils » juridiques, la CNIL verra ses missions et pouvoirs sensiblement étendus.

L’autorité administrative indépendante devra dorénavant être consultée par le gouvernement sur tout projet de loi ou de décret relatif « à la protection des données à caractère personnel ou au traitement de telles données » (et même sur « toute disposition de projet de loi ou de décret » portant sur ces questions, au cas par exemple où un seul article d’un vaste texte serait concerné). Autant dire que l’institution devrait être bien plus souvent saisie qu’aujourd’hui – quand bien même ses avis resteront purement consultatifs, l’exécutif restant libre de les ignorer... Actuellement, sa consultation n'est effectivement impérative qu'en cas de projet de loi ou de décret relatif à la « protection des personnes à l'égard des traitements automatisés ».

La CNIL aura au passage l’obligation de rendre ses avis publics, en principe dès lors que le texte visé paraîtra au Journal officiel. Aujourd’hui, cette diffusion est loin d’être automatique.

En revanche, il n’est pas prévu que la Commission puisse être saisie sur les propositions de loi émanant de parlementaires (députés ou sénateurs). L’Assemblée nationale s’était engagée sur cette voie, conformément au souhait de la gardienne des données personnelles, mais le Sénat s’y est farouchement opposé.

cnil
Crédits : Xavier Berne (licence: CC by SA 3.0)

Nouvelles missions pour la gardienne des données personnelles

Deux nouvelles missions seront d’autre part confiées à la CNIL. L'autorité administrative indépendante devra tout d’abord promouvoir « l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ». L’institution a cependant déjà pris ses marques sur ce dossier, notamment en appelant le gouvernement à « ne pas se tromper de cible » dans sa lutte contre le terrorisme (suite à l’annonce d’une initiative franco-allemande sur le chiffrement).

La Commission aura ensuite pour rôle d’organiser « une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques ». On peut imaginer qu’elle organisera dans ce cadre des débats et autres travaux de prospective dont l’angle ne se limitera pas à la question des données personnelles : développement de l’intelligence artificielle, transhumanisme, etc.

Sans qu’il ne s’agisse d’une nouvelle mission à proprement parler, la CNIL se voit également autorisée à certifier, dans le cadre du mouvement d’ouverture des données publiques, de la conformité des processus d’anonymisation. L’institution pourra publier des « référentiels » ou des « méthodologies générales » à ce sujet, afin d’éviter que certains documents administratifs soient mis en ligne sans avoir préalablement été purgés de leurs données personnelles. La Commission a d’ailleurs déjà commencé à se mettre au travail, puisqu’elle a annoncé durant l’été qu’un « pack de conformité » à destination des acteurs publics devrait voir le jour avant la fin de l’année (voir notre article).

Autre changement, assez accessoire : la CNIL pourra dorénavant saisir l’ARCEP, le gendarme des télécoms, pour avis – et vice-versa.

Revalorisation des amendes de la CNIL à 3 millions d’euros, en attendant 2018

Actuellement, lorsque la CNIL constate un manquement à la loi Informatique et Libertés, elle peut ordonner au responsable du traitement concerné de rentrer dans le rang sous cinq jours, dès lors qu’il y a urgence. Dès l’entrée en vigueur de la loi Numérique, ce délai sera ramené à 24 heures en cas « d’extrême urgence », ce qui permettra à la Commission de presser davantage les acteurs laissant fuiter des données personnelles, par exemple.

Si un organisme épinglé ne donne pas suite à une mise en demeure de l’autorité administrative, cette dernière continuera d’avoir les mêmes armes à son ceinturon : sanction pécuniaire, injonction de cesser le traitement, possibilité de saisir la justice (de manière plus large qu’auparavant d’ailleurs), etc.

On note toutefois l’introduction d’un nouvel outil. La gardienne des données personnelles pourra ordonner aux responsables de manquements à la loi Informatique et Libertés qu’ils « informent individuellement » de leur condamnation (et à leur frais) « chacune des personnes concernées » par leurs infractions. Cela signifie que vous pourriez prochainement être averti qu’un site s’est malencontreusement fait dérober l’adresse mail et le mot de passe que vous lui aviez confié...

La menace d’une amende pourrait surtout devenir plus dissuasive pour les contrevenants, puisque l’autorité sera dorénavant en capacité d’aller jusqu’à 3 millions d’euros – bien loin des 150 000 euros actuels. De quoi faire peur à Microsoft ou Facebook ? « Non », reconnaît clairement Isabelle Falque-Pierrotin, la présidente de la CNIL. Interrogée par nos soins, l’intéressée expliquait en juin dernier qu’il s’agissait néanmoins d'un « signal politique » qui devrait permettre de faire la transition avec l’entrée en vigueur du règlement européen relatif aux données personnelles.

À compter du 25 mai 2018, les contrevenants s’exposeront en effet à une amende qui pourra atteindre 20 millions d’euros – voire 4 % du chiffre d’affaires annuel mondial d’une entreprise. Pour une société comme Google, la sanction pourrait ainsi dépasser (théoriquement) le milliard d’euros...

Notons à ce sujet que le gouvernement devra remettre au Parlement, avant le 30 juin 2017, « un rapport sur les modifications à la loi [Informatique et Libertés] rendues nécessaires par l’entrée en vigueur du règlement » européen relatif aux données personnelles.

assemblée députés
Crédits : Assemblée nationale

Dépoussiérage de la loi Informatique et Libertés

À l’avenir, chaque personne dont les données personnelles seront collectées devra obligatoirement être informée de la durée de conservation des informations qu’elle confie (au même titre qu’il faut aujourd’hui fournir l’identité du responsable du traitement, ses finalités, le caractère obligatoire ou facultatif des réponses, etc.).

Dans une sorte de « mise à jour » la loi Informatique et Libertés, il est prévu que les citoyens puissent faire valoir leurs droits par voie électronique (opposition, rectification...), dès lors que leurs données personnelles ont elles aussi été collectées par voie électronique. Les petits malins qui demandent de passer par un courrier traditionnel afin de décourager certaines personnes devront ainsi pouvoir être joignables par mail ou via un formulaire en ligne.

Bientôt une action de groupe en matière de données personnelles

Évoquons enfin un dispositif qui aurait pu figurer dans la loi Numérique, mais qui a finalement été déporté dans le projet de loi pour la justice du 21ème siècle : l’extension des actions de groupe aux litiges concernant les données personnelles.

En l’état, il est prévu que les internautes qui subiraient « un dommage ayant pour cause commune un manquement de même nature aux dispositions de la [loi Informatique et Libertés] » puissent lancer une procédure à l’encontre d’un responsable de traitement ou d’un de ses sous-traitants. Un outil qui pourrait se révéler utile en cas de fuite de données concernant les nombreux utilisateurs d’un réseau social par exemple.

Il y a cependant un gros hic. Ces actions de groupe ne pourront servir qu’à obtenir « la cessation » du manquement, non une réparation du préjudice subi du fait de ce manquement... Dans notre exemple, le responsable du traitement pourrait ainsi être contraint de colmater la brèche, non d’indemniser ses utilisateurs ayant vu leurs données personnelles jetées en pâture sur le Net. Cette réforme suscite ainsi beaucoup de mécontentement du côté des associations, mais également à la CNIL, Isabelle Falque-Pierrotin nous ayant clairement fait part de sa « déception » sur ce point.


chargement
Chargement des commentaires...