Comment la loi Lemaire entend réformer la loi Informatique et Libertés

CNIL était une fois 3
Accès libre
image dediée
Crédits : maxkabakov/iStock
Loi
Xavier Berne

Après avoir décrypté le premier volet du projet de loi numérique, relatif à l’Open Data, nous nous penchons aujourd’hui sur son second axe fort, qui porte sur la protection des données personnelles. Si plusieurs mesures fortes sont passées à la trappe, des réformes importantes restent au programme.

Alors que l’Union européenne s’apprête à adopter définitivement le « paquet » relatif aux données personnelles, le gouvernement de Manuel Valls a voulu prendre les devants en inscrivant dans le projet de loi Lemaire plusieurs mesures censées conduire à une meilleure protection des internautes dans la « société numérique ». Cela passe par de nouveaux droits pour les particuliers, de même que par un renforcement – pour le moment assez léger – de la Commission nationale de l’informatique et des libertés (CNIL).

Le texte porté par la secrétaire d’État au Numérique commence ainsi par poser dans la loi Informatique et Libertés de 1978 que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».

Selon le gouvernement, ces dispositions vont permettre de renouveler le sens donné à la protection des données personnelles : « Il s’agit de passer d’une posture uniquement défensive, de protection des données personnelles à une posture plus offensive de maîtrise, de contrôle et plus encore de capacité pour l’utilisateur à mobiliser et utiliser ses données pour ses propres finalités. »

Un nouveau droit de récupération de ses données

La consécration de ce principe se manifestera notamment par l’instauration d’un nouveau droit à la « portabilité des données ». L’idée ? Que les internautes puissent récupérer une copie des fichiers qu’ils ont déposés sur un site tel que Facebook (photos, vidéos...) ou que la plateforme a collectés à leur égard.

Chaque « fournisseur d’un service de communication au public en ligne » se verra en ce sens contraint de proposer à ses utilisateurs « une fonctionnalité gratuite permettant la récupération licite » de :

  • Tous les « fichiers mis en ligne par le consommateur ».
  • Toutes les « données associées au compte utilisateur du consommateur et résultant de l’utilisation de ce compte, notamment les données relatives au classement de contenus ».

D’après l’exécutif, « la perspective de perdre ses données ou de devoir se lancer dans une récupération manuelle de celles-ci peut inciter le consommateur à renoncer à changer d’opérateur, quand bien même il ne serait plus satisfait de ses services » – notamment s’agissant du cloud.

Le projet de loi Lemaire impose de ce fait aux plateformes d’offrir une « requête unique étendue au moins à un type ou un format de fichiers ou données », histoire que l’internaute n’ait pas à récupérer ses fichiers un à un. Les données fournies à l’utilisateur ne devront pas forcément être mises à disposition dans un format ouvert, à condition que celui-ci en ait été préalablement informé.

Les fournisseurs de services de courrier électronique, de type Gmail ou Hotmail, se voient quant à eux tenus de proposer « une fonctionnalité gratuite permettant au consommateur de transférer directement les messages qu’il a émis ou reçus au moyen de ce service (...), ainsi que sa liste de contacts, vers un autre fournisseur de service de courrier électronique ».

Ils devront d’autre part mettre gratuitement à la disposition de leurs utilisateurs sur le départ une offre leur permettant « de continuer, pour une durée de six mois à compter de la résiliation ou de la désactivation du service, à avoir accès gratuitement au courrier électronique reçu sur l’adresse électronique initialement attribuée ». Ces internautes pourront ainsi continuer à se servir de leur adresse mail, le temps d’effectuer la transition, même si ce service est d'ores et déjà rendu (sur la base du volontariat) par certains acteurs.

Chaque manquement à ces dispositions sera passible d’une amende administrative pouvant atteindre 15 000 euros. Mais comme souvent, le diable se cache dans les détails... D’un, ces dispositions ne s’appliqueront qu’aux services en ligne « dont le nombre de comptes utilisateurs ayant fait l’objet d’une connexion au cours des douze derniers mois » sera supérieur à un seuil fixé par décret.

Difficile donc de savoir quels seront les sites concernés, même si l’on imagine facilement que les géants tels que YouTube, Deezer ou Yahoo Mail ne pourront pas y échapper... De deux, ces mesures entreront en vigueur dix-huit mois après la publication de la loi Lemaire au Journal officiel – soit pas avant 2018.

Faciliter l'accès des héritiers aux données d'une personne décédée

Alors que la loi Informatique et Libertés rend aujourd'hui très difficile – sinon impossible – la transmission des données personnelles d’un défunt (issues d’un webmail ou d’un réseau social par exemple), le texte porté par la secrétaire d’État au Numérique tend à faciliter la vie des proches et de la famille.

De son vivant, chaque personne aura la faculté de laisser des « directives » définissant la manière dont elle souhaite que soient exercés ses droits d’accès, de rectification ou d’opposition après son décès. Ces consignes pourront être générales, enregistrées auprès d’un tiers de confiance certifié par la CNIL, ou particulières, c'est-à-dire confiées à chaque site.

Il est surtout prévu qu’en l’absence de directives, les héritiers seront automatiquement en capacité d’accéder aux données de l’internaute décédé. Et ce dans l’ordre de priorité suivant : les descendants, le conjoint, « les héritiers autres que les descendants qui recueillent tout ou partie de la succession ».

Une mesure qui a été assez sévèrement taclée par la CNIL, l’institution estimant que « cette possibilité ouverte trop largement » est susceptible de créer des difficultés lors des successions, par exemple en cas de « découverte de secrets du défunt liés à sa vie privée ou professionnelle ». La Commission aurait en ce sens préféré que le législateur assortisse son dispositif de « conditions strictes et de garanties [permettant de] préserver la mémoire du défunt ».

Un « droit à l’oubli » pour les mineurs

Afin d’aider les internautes à faire disparaître de la Toile certaines erreurs de jeunesse, le projet de loi Lemaire impose à tous les responsables de traitements de données personnelles « d'effacer dans les meilleurs délais » les images, informations, vidéos... conservées au sujet d’une personne « mineure au moment de la collecte » – et ce sur demande de l’intéressée.

Autrement dit, il sera possible d’obtenir sans justification particulière, autre que son âge, le retrait de données mises en ligne avant ses dix-huit ans. Si le service en ligne (réseau social, plateforme de vidéos...) ne s’est pas exécuté dans un délai d’un mois, le plaignant pourra alors saisir la CNIL, qui aura quinze jours pour se prononcer.

Ce nouveau droit, qui profitera en fait aux adolescents comme aux adultes, ne pourra cependant être activé lorsque le traitement des données litigieuses se révèle nécessaire « pour exercer le droit à la liberté d’expression et d’information », pour la constatation, l'exercice ou la défense de droits en justice, pour des opérations à des « fins scientifiques statistiques et historiques », etc.

Des motifs trop vagues aux yeux de la CNIL, qui estime d’autre part qu’il aurait été plus cohérent et efficace de modifier l’article 38 de la loi Informatique et Libertés (relatif au droit d’opposition des personnes).

La CNIL devra être saisie plus souvent par le gouvernement

Même si les avis de la CNIL restent consultatifs (ce qui signifie que le gouvernement n’est pas tenu de les suivre), ceux-ci deviendront bien plus fréquents avec la loi Lemaire. Il est en effet prévu que l’autorité administrative indépendante soit obligatoirement saisie de tout projet de loi ou de décret relatif à « la protection des données à caractère personnel ou au traitement de telles données ».

Cette évolution qui élargi considérablement le champ actuel de la loi de 1978 – lequel s’étend à la seule « protection des personnes à l'égard des traitements automatisés » – fait suite à une revendication de la Commission, pour qui cette formulation conduit « parfois à des interprétations divergentes », la création d’un fichier par la loi n’étant pas toujours regardée comme relevant de la « protection » des données personnelles.

En revanche, la CNIL ne pourra toujours pas être saisie d’une proposition de loi portée par un député ou un sénateur. Le gouvernement, qui avait pourtant engagé cette réforme, a justifié ce recul en affirmant que « le Conseil d’État a considéré que cette disposition donnait des précisions qui relevaient de la procédure parlementaire, lesquelles ne pouvaient trouver leur place que dans le cadre d’une loi organique et non dans le cas d’une loi ordinaire comme c’est le cas en l’espèce ».

cnil
Crédits : Xavier Berne (licence: CC by SA 3.0)

La CNIL voit malgré tout ses missions étendues à la promotion de « l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ». L’institution est d’autre part chargée de conduire « une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques, en impliquant des personnalités qualifiées et en organisant des débats publics ».

On imagine que pourront être abordées dans ce cadre les questions relatives à l'intelligence artificielle ou à la télémédecine par exemple.

Toujours pas de revalorisation des amendes de la CNIL

Actuellement, lorsque la gardienne des données personnelles constate un manquement à la loi Informatique et Libertés, elle peut demander au responsable du traitement concerné de rentrer dans le pas sous cinq jours, dès lors qu’il y a urgence.

Le projet de loi Lemaire ramène ce délai à 24 heures en cas « d’extrême urgence », ce qui permettra à la CNIL de presser davantage les acteurs laissant fuiter des données personnelles, par exemple. Si un organisme épinglé ne donne pas suite à une mise en demeure adressée par l’autorité administrative, cette dernière continuera d’avoir les mêmes armes à son ceinturon : sanction pécuniaire, injonction de cesser le traitement, possibilité de saisir la justice, etc.

Tout comme certains participants de la consultation relative à l’avant-projet de loi numérique, la Commission s’étonne vivement qu’il ne soit pas question d’augmenter le montant maximal des amendes infligées par l’institution (aujourd’hui limité à 150 000 euros).

Le gouvernement s’était justifié en expliquant que le règlement européen sur les données personnelles avait vocation à traiter cette question. La CNIL ne l’entend toutefois pas de cette oreille, estimant qu’il est « nécessaire » de modifier « dès à présent » ce montant. « Le projet de règlement européen à venir prévoit une augmentation substantielle du niveau de sanction (5 % du chiffre d’affaires mondial dans la limite de cent millions d’euros dans la version de compromis adoptée par le Parlement européen), mais il n’entrera pas en vigueur, en tout état de cause, avant deux ans et demi » regrette à cet égard l’autorité.

Seul petit « plus » : la gardienne des données personnelles pourra ordonner aux organismes sanctionnés qu’ils « informent individuellement » de leur condamnation (et à leur frais) « chacune des personnes concernées » par un manquement à la loi Informatique et Libertés. Cela signifie que vous pourriez prochainement être averti qu’un site s’est malencontreusement fait dérober l’adresse mail et le mot de passe que vous lui aviez confié...

Dépoussiérage de la loi Informatique et Libertés

De manière plus accessoire, le projet de loi Lemaire vient dépoussiérer la législation relative aux données personnelles en obligeant les responsables de traitements disposant d’un site Internet à permettre « à toute personne d’exercer par voie électronique » ses droits d’information, d’opposition, d’accès et de rectification prévus par la loi Informatique et Libertés. Si certains demandent actuellement de passer par un courrier traditionnel, les internautes qui le souhaitent devront pouvoir transmettre leur requête directement par mail ou via un formulaire en ligne.

D'autre part, les organismes qui collectent des données personnelles devront préalablement informer les internautes « de la durée de conservation des catégories de données traitées », exactement de la même manière que cela doit aujourd’hui se faire pour l'identité du responsable du traitement, sa finalité, les destinataires ou catégories de destinataires des données, etc. Tout en saluant ce pas en avant, la CNIL affirme que le législateur pourrait aller plus loin sur ce point, en ajoutant que cette information pourrait être délivrée « également, par la suite, de manière régulière » par les plateformes.

Renforcement du secret des correspondances

Alors que certains webmails repèrent les termes présents dans les messages de leurs utilisateurs pour afficher ensuite des publicités ciblées, le texte de la secrétaire d’État au Numérique entend enfin demander aux « éditeurs de services de communication au public » de « respecter le secret des correspondances », sachant que celui-ci devra couvrir « le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints à la correspondance ».

Tout « traitement automatisé d’analyse » de ces éléments sera prohibé, sauf lorsque cette opération aura pour fonction « l’affichage, le tri ou l’acheminement de ces correspondances, la fourniture d’un service bénéficiant uniquement à l’utilisateur ou la détection de contenus non sollicités ou de programmes informatiques malveillants ».

Le consentement de l'utilisateur pourrait toutefois permettre de contourner cette régulation, à moins d'interdire par défaut bon nombre de services de messagerie gratuits... Pour la CNIL, cette mesure est d'ailleurs « de nature à permettre aux opérateurs économiques assurant la fourniture d’un service de messagerie ou le stockage de données correspondantes de mesurer l’étendue de leur responsabilité, spécialement lorsque ceux-ci envisagent de recourir à des outils automatiques destinés à contextualiser ou personnaliser des messages publicitaires à destination de leurs clients ».

Début du marathon parlementaire, les regards fixés vers Bruxelles

Les nombreuses remarques formulées par la CNIL (voir son avis) sur ce qui n’était qu’un avant-projet de loi pourraient fortement influencer les parlementaires, maintenant que la balle est désormais dans leur camp. Les amendements risquent en effet d’être nombreux en vue de modifier ou supprimer certaines des dispositions du texte porté par Axelle Lemaire, par exemple s’agissant des pouvoirs de sanction de l’autorité administrative indépendante.

Le gouvernement ayant renoncé à plusieurs mesures fortes, à l’image de l’instauration d’une action de groupe dédiée aux litiges relatifs aux données personnelles, certains pourraient d’autre part proposer l’introduction de nouvelles mesures. Fin du suspense dans quelques jours, les débats parlementaires débutant le 13 janvier en commission, et le 19 janvier dans l’hémicycle.

Axelle Lemaire
Crédits : Assemblée nationale

chargement
Chargement des commentaires...