Comment la loi Lemaire pourrait réformer la loi Informatique et Libertés

Alors que le règlement européen sur les données personnelles pourrait être définitivement adopté par les institutions de l’UE d’ici à la fin de l’année, la France s’apprête à procéder sans attendre à d’importantes modifications de sa loi « Informatique et Libertés ». L’avant projet de loi Lemaire ayant fuité il y a quelques semaines nous donne en ce sens de précieuses informations sur les pistes suivies par l’exécutif.

Même si le gouvernement affirme régulièrement qu’il suit de près les discussions européennes sur ce sujet, cela ne l’empêche pas d’avoir prévu de longue date un chapitre entier du projet de loi numérique d’Axelle Lemaire à la protection des données personnelles. La Commission nationale de l’informatique et des libertés (CNIL), qui avait demandé à obtenir des pouvoirs supplémentaires, semble d’ailleurs avoir été entendue sur de très nombreux points. Les droits des citoyens devraient également être étendus et renforcés, même si cela ne saurait sûrement pas faire oublier les récentes contestations nées de l’adoption de la loi Renseignement.

Une CNIL plus largement consultée par les pouvoirs publics

Jusqu’ici consultée sur tout projet de loi ou de décret « relatif à la protection des personnes à l'égard des traitements automatisés », la CNIL deviendrait avec ce texte « obligatoirement » sollicitée pour chaque projet de loi ou de décret « comportant des dispositions relatives à la protection des données à caractère personnel ou au traitement de telles données ». La nuance peut paraître mince, mais elle devrait en fait permettre à l’autorité administrative indépendante d’être saisie bien plus souvent par le gouvernement. Il y a quelques mois, celle-ci se plaignait d’ailleurs de la formulation en vigueur, qui conduirait « parfois à des interprétations divergentes, la création d’un fichier par la loi n’étant pas toujours regardée comme relevant de la « protection » des données personnelles ». Avec ces nouvelles dispositions, il n’y aurait plus de doute puisque toute mesure touchant au « traitement » de données personnelles entraînerait systématiquement une saisine de la CNIL (même si ses avis resteront purement consultatifs).

Pour la première fois, la CNIL serait d'autre part en capacité d'émettre des avis sur des propositions de loi, rédigées donc par des parlementaires. Les présidents du Sénat et de l’Assemblée nationale pourraient en effet soumettre à la CNIL tout texte déposé par l'un des membres de leurs assemblées respectives, sauf si le sénateur ou député en question s'y oppose. Comme pour les projets d’origine gouvernementale, il faudrait qu’il y ait « des dispositions relatives à la protection des données à caractère personnel ou au traitement de telles données » pour que la gardienne des données personnelles soit saisie.

Autre nouveauté en faveur de la CNIL : l'institution deviendrait autorisée à « prendre l’initiative de donner un avis sur toute question intéressant la protection des données personnelles », alors que sa parole est aujourd'hui limitée à des cas de figure assez stricts (demandes du Premier ministre ou d'autres autorités administratives indépendantes, etc.). Un peu dans le même état d'esprit, la Commission pourrait  formuler des « propositions de modification des textes législatifs et réglementaires » en direction du gouvernement et du Parlement, alors que seul l'exécutif peut aujourd'hui recevoir de telles suggestions.

Jusqu’à 3 millions d’euros d’amende ou 5 % du chiffre d’affaires mondial

Actuellement, lorsque la CNIL constate un manquement à la loi Informatique et Libertés, elle peut demander au responsable du traitement concerné de rentrer dans le pas sous cinq jours, dès lors qu’il y a urgence. Avec l’avant projet de loi Lemaire, ce délai est ramené à 24 heures, ce qui permettrait de presser davantage les acteurs qui ne respectent pas leurs obligations en matière de sécurisation des données personnelles, notamment.

Si l’organisme épinglé ne donne pas suite à la mise en demeure de l’autorité administrative, cette dernière continuera d’avoir les mêmes armes à son ceinturon : sanction pécuniaire, injonction de cesser le traitement, possibilité de saisir la justice (pour les cas les plus graves), etc. Bercy n’a en ce sens pas l’intention de bouleverser le dispositif en vigueur.

Néanmoins, différents aménagements sont prévus pour rendre l'action de la CNIL plus rapide et efficace. Lorsque le manquement constaté « ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure », l’autorité administrative sera effectivement en mesure de prononcer une sanction « sans mise en demeure préalable ». Cette nouvelle faculté pourrait permettre à l’institution de passer directement à la case « amende », par exemple dans les cas où une faille de sécurité a été colmatée.

Le montant de ces sanctions pécuniaires, régulièrement critiqué pour sa faiblesse, devrait d'ailleurs être profondément relevé. Aujourd'hui, l’institution peut infliger des amendes « proportionné[es] à la gravité des manquements commis et aux avantages tirés [du] manquement », mais dans la limite de 150 000 euros (en cas de premier manquement). À l’avenir, l’addition pourrait atteindre les 3 millions d’euros ou, dans le cas d’une entreprise, « 5 % de son chiffre d’affaires annuel mondial ». De quoi faire davantage frémir les géants du Net, d’autant que la Commission devra expressément prendre en compte « l’éventuelle réitération de manquements aux obligations découlant de la [loi Informatique et Libertés] ».

Enfin, les cas d'atteintes graves dans lesquels la CNIL peut saisir la justice seraient élargis. Conformément à ce qu’avait suggéré l’autorité administrative, cette dernière pourrait demander au juge des référés « toute mesure » nécessaire à la sauvegarde du droit à la vie privée ou aux libertés publiques et individuelles (et non plus « toute mesure de sécurité »). Cela signifie que l’institution serait dorénavant en mesure de se tourner vers les tribunaux pour « l’exécution de ses décisions de sanctions ou à la suspension d’un traitement », expliquait-elle il y a quelques mois au gouvernement.

De nouvelles missions pour la Commission

Cet avant projet de loi procède d’autre part à une actualisation des missions de la CNIL. Aujourd’hui limitée par exemple à l’information des personnes, l’institution pourrait avec ce texte concourir « à l’éducation au numérique » – et ce alors que la gardienne des données personnelles en avait fait un de ses chevaux de bataille en 2013. Au lieu de simplement « conseille[r] » les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel, la Commission serait également en charge de les « accompagne[r] ».

La CNIL gagne surtout une nouvelle mission, consistant à « sout[enir] le développement des technologies protectrices de la vie privée ». Un comble, diront certains après le vote de la contestée loi sur le renseignement. Il n’empêche que la gardienne des données personnelles pourrait ainsi pousser certaines solutions de chiffrement des communications, par exemple.

L’autorité administrative aurait également pour rôle de conduire « une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques ». Un décret est d’ailleurs prévu pour déterminer les conditions de mise en œuvre de cette nouvelle mission, « notamment quant aux modalités d’implication de personnalités qualifiées et d’organisation du débat public » précise le texte – ce qui laisse entendre que la CNIL pourrait consulter assez largement la société civile à cet effet.

Droit à l'oubli pour les mineurs, principe d'autodétermination informationnelle, etc.

Loin de se limiter aux seuls pouvoirs et missions dévolus à la CNIL, l’avant projet de loi Lemaire pourrait offrir de nouveaux droits aux citoyens. Ceux-ci seraient guidés par un « droit à l’autodétermination informationnelle », selon lequel « toute personne dispose du droit de décider et de contrôler les usages qui sont faits de ses données personnelles ». Vivement recommandée par le Conseil d’État et le Conseil national du numérique, l’inscription de ce principe – dès l’article 1er de la loi Informatique et Libertés – est en effet censée guider l’interprétation de l’ensemble des droits mis en musique par la loi de 1978.

Sur un terrain plus concret, l’ébauche de texte dévoilée par Contexte prévoit notamment l’instauration d’un « droit à l’oubli » pour les mineurs, lequel pourrait tout spécialement s’appliquer sur les réseaux sociaux appréciés par des adolescents. Pour s’opposer à un traitement de données personnelles (une photo publiée sur Facebook, une empreinte digitale conservée par un employeur, une adresse email accessible via un moteur de recherche, etc.), il faut aujourd’hui disposer d’un « motif légitime » permettant d’activer ce droit. Avec l’avant projet de loi Lemaire, le fait qu’une donnée « porte sur une personne mineure au moment des faits » serait par principe un « motif légitime » au sens de la loi Informatique et Libertés. Autrement dit, le retrait d’une vidéo YouTube deviendrait justifiée dès lors qu’y figure une personne de moins de 18 ans. Seule exception : si l’individu souhaitant exercer son droit d’opposition était déjà une « personnalité publique » lorsqu’il était mineur.

Un droit de « mort numérique » est d’autre part mis sur pied afin de faciliter l’effacement et la transmission de données personnelles d’un défunt. Comme nous avons déjà eu l’occasion de l’expliquer, il pourrait en effet être possible de laisser de son vivant une sorte de « testament numérique ». Chaque personne indiquerait au travers de directives ce qu’il souhaite faire de ses données personnelles, et éventuellement en prévoir « la communication » à des proches, après son décès. Ces dispositions permettraient de faciliter l’accès des familles aux comptes emails, Facebook, Flickr, etc. des individus décédés, alors que la loi Informatique et Libertés rend aujourd'hui difficile la transmission de ces informations parfois très précieuses.

Une action collective pour les données personnelles

Alors que les actions de groupe ne sont actuellement possibles que pour des litiges ayant occasionné un dommage matériel, l’avant projet de loi Lemaire introduit dans notre droit une « action collective de protection des données personnelles », directement inspirée du dispositif instauré par la loi sur la consommation de 2014.

Cette nouvelle procédure pourra uniquement être lancée pour faire cesser une violation des dispositions de la loi Informatique et Libertés. Autrement dit, il sera impossible d’obtenir une réparation du préjudice correspondant – par exemple pour des internautes qui se retourneraient contre un site s’étant fait dérober leurs mots de passe et identifiants, suite à une absence de sécurisation. Aucune action collective ne sera cependant possible contre les services publics numériques (site de la CAF, des impôts, etc.), puisque ces dispositions ne sont pas applicables aux « traitements de données personnelles mis en œuvre dans le cadre d’un service public administratif ».

Ces procédures pourront être formellement exercées par :

• Les traditionnelles associations agréées de défense des consommateurs, représentatives au niveau national (UFC-Que choisir, Familles rurales, CLCV, etc.).
• Des associations « ayant pour objet la protection de la vie privée et des données personnelles », agréées par la CNIL.
• « Toute association formée aux seules fins d’entreprendre l’action collective concernée. »
• Les syndicats, « lorsque le traitement affecte des salariés ».

Avant de saisir les juridictions civiles, les plaignants devront tout d’abord se tourner vers le responsable du traitement afin qu’il cesse de lui-même la violation. Si le problème n’est pas résolu après cette première tentative, la justice pourra alors se pencher sur le dossier. En cas de non respect avéré de la loi Informatique et Libertés, les magistrats seront à même d'ordonner la suppression des données litigieuses, la mise en œuvre de mesures nécessaires au respect de l’obligation de sécurité des données, la fin du traitement, etc. Le tout éventuellement sous astreinte financière.

Si jamais le responsable du traitement continuait de faire la sourde oreille, la justice serait autorisée à lui infliger une amende d’un montant maximal de 1 million d’euros ou de 1 % de son chiffre d’affaires annuel.

Portabilité des données, spécialement pour les emails

Si chaque personne a aujourd’hui le droit d’obtenir « la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci », l’avant projet de loi Lemaire rappelle que les responsables de traitements sont tenus de fournir sur demande « une copie » des données personnelles collectées par leurs soins. Lorsque ce traitement est automatisé, ce fichier devra d’ailleurs être transmis « dans un format électronique ouvert et permettant une réutilisation effective de ces données par la personne concernée ». L’idée ? Que tous les internautes français puissent disposer selon leur bon vouloir des données déposées avec leur autorisation chez des tiers (Google, Deezer, Dailymotion...), pour les utiliser éventuellement sur d’autres services en ligne.

Ces dispositions semblaient cependant en cours de finalisation, puisqu’il est par exemple fait référence à un chiffre d’affaires minimum (non fixé), censé conditionner l’activation de ces nouvelles obligations pour les différents acteurs du Web.

Des mesures ont d’autre part été prévues spécifiquement pour les fournisseurs de courriels. L’ébauche de texte dévoilée par Contexte pose un principe en vertu duquel « tout utilisateur d’un service de courrier électronique a le droit de transférer les messages qu’il a émis ou reçus au moyen de ce service, (...) ainsi que sa liste de contacts, à un autre service de courrier électronique ». Les célèbres webmails que sont Gmail et Hotmail pourraient avec cet avant projet de loi être contraints de proposer « un dispositif facilitant les opérations de migration de manière réciproque, par échange mutuel d’informations relatives à leurs règles techniques et aux standards nécessaires ».

Même si beaucoup d’acteurs du secteur offrent déjà cette possibilité, Bercy voudrait également que les fournisseurs de services de courrier électronique mettent « gratuitement » à la disposition de leurs clients, « lorsque ceux-ci changent de fournisseur, une offre leur permettant de continuer, pour une durée de six mois à compter de la résiliation ou de la désactivation du service à avoir accès gratuitement au courrier électronique reçu sur l’adresse électronique attribuée ». En clair, qu’ils puissent encore se servir de leur adresse mail, le temps d’effectuer la transition.

Des restrictions pour la biométrie

L’usage de dispositifs biométriques nécessaires au contrôle de l'identité des personnes (lecteurs d’iris ou d’empreintes digitales, systèmes de reconnaissance faciale, etc.) ne pourra avec ce texte être autorisé par la CNIL que dans des cas strictement délimités. Chaque responsable devra en effet justifier de l’une des finalités suivantes :  

• La protection de l’intégrité physique des personnes.
• La protection contre l’usurpation d’identité, « lorsque cette usurpation engendre un préjudice grave et certain ».
• La protection de biens ou d’informations « dont la prise de connaissance non autorisée, la divulgation, le détournement, la falsification ou la destruction porterait un préjudice grave et certain ».

Les dispositions retenues par l’exécutif sur ce sujet qui préoccupait certains élus socialistes sont finalement assez proches de celles votés en 2014 par le Sénat.

Un projet de loi qui commence tout juste son parcours d’obstacles

Quand bien même ces dispositions ne seraient pas fidèlement reprises dans la version finale du projet de loi numérique, leur fuite permettra de mieux connaître les éventuelles modifications qui pourraient y être apportées. Les évolutions risquent en effet d’être nombreuses, puisque ce texte n’est qu’une version de travail – a priori différente du texte qui devrait être mis en ligne d’ici quelques semaines. Les internautes sont effectivement censés pouvoir commenter la « version bêta » du projet de loi numérique, avant que le texte ne soit transmis pour avis au Conseil d’État, à la CNIL, à l’ARCEP, etc.

Ce n'est d'ailleurs qu’une fois ces autorités consultées que le gouvernement présentera son texte définitif en Conseil des ministres, dans le meilleur des cas durant l’automne. Une fois devant le Parlement, députés et sénateurs auront tout le loisir de l’amender, voire d’introduire de nouvelles dispositions...