Loi pour une République Numérique : petit récapitulatif des nouveautés en matière de protection des utilisateurs du numérique et d’Open Data

​La loi n°2016-1321 du 07 octobre 2016 pour une République Numérique a pour objectif de « préparer la France aux enjeux numériques du XXIème siècle » en proposant « un cadre nouveau, qui combine soutien à l'innovation et aux nouveaux modèles économiques, ouverture élargie des données, protection renforcée des personnes, renforcement de la loyauté des plateformes et déploiement de l'accès au numérique » (exposé des motifs).

La loi pour une République Numérique s’articule principalement autour de trois axes : l’élargissement des missions et pouvoirs de la Commission Nationale de l’Informatique et des Libertés (« CNIL »), le renforcement des droits des utilisateurs, et le rôle de l’administration dans les échanges de données. Elle apporte ainsi un certain nombre de modifications à la Loi Informatique et Libertés du 6 janvier 1978 (la « LIL »), ainsi qu’à d’autres textes en vigueur dans le domaine numérique.

Sur les missions et pouvoirs de la CNIL

L’élargissement des compétences de la CNIL (Article 11 LIL)

La loi pour une République Numérique a élargi le champ des fonctions consultatives de la CNIL en prévoyant que, désormais, la CNIL sera saisie pour avis de « tout projet de loi ou décret ou toute disposition de projet de loi ou décret relatifs à la protection des données à caractère personnel ou au traitement de telles données ». L’avis de la CNIL fera l’objet d’une publication au même titre que le texte commenté.

Par ailleurs, la CNIL voit également consacrée sa mission de promotion de « l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données », ainsi que la conduite d’une réflexion sur les « problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques ».

Enfin, la CNIL pourra certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne.

La réorganisation de la procédure de sanction (Article 45 et 46 LIL)

La Loi République Numérique prévoit désormais que le prononcé d’un avertissement doit être précédé d’une mise en demeure, sauf dans le cas où le manquement constaté ne peut faire l'objet d'une mise en conformité.

Par ailleurs, le délai fixé pour mise en conformité après mise en demeure préalable adressé par le Président de la CNIL peut être ramené « en cas d'extrême urgence » à vingt-quatre heures (au lieu de cinq jours en principe).

De plus, la CNIL pourra saisir le juge des référés pour voir prononcer « toute mesure nécessaire à la sauvegarde des droits et libertés » et non plus uniquement « toute mesure de sécurité ».

En matière de publicité des sanctions, la CNIL pourra désormais ordonner aux responsables de traitement d’informer
« individuellement de cette sanction, à leur frais, chacune des personnes concernées. »

Le renforcement du pouvoir de sanction pécuniaire de la CNIL (Article 47 LIL)

Le plafond maximal des sanctions pécuniaires est porté à 3 millions d’Euros, au lieu de 300.000 € précédemment.

A compter du 25 mai 2018, date d’entrée en vigueur du Règlement européen 2016/679 du 21 avril 2016 sur la protection des données personnelles, le plafond du montant maximal des sanctions sera porté à 20 millions d’Euros ou, dans le cas d’une personne morale, à 4% du chiffre d’affaires annuel mondial total de l'exercice précédent (article 83 du Règlement).

Le renforcement des droits des utilisateurs.

La création de nouveaux droits pour les utilisateurs (Article 40 LIL)

La loi pour une République Numérique prévoit la création de nouveaux droits destinés à assurer une meilleurs protection de l’utilisateur et de ses données :

  • Un « droit à l’oubli » spécifique aux mineurs permettant d’obtenir l’effacement, dans les meilleurs délais, des données à caractère personnel qui ont été collectées lorsque la personne concernée était mineure.
  • Un droit à la « mort numérique », qui prévoit que toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès.
  • Un « droit à la portabilité » permettant aux utilisateurs de se voir reconnaître « en toutes circonstances un droit de récupération de l'ensemble de ses données ». Ainsi, tout fournisseur d'un service de communication au public en ligne devra proposer au consommateur une fonctionnalité gratuite permettant la récupération, notamment, des fichiers mis en ligne par le consommateur, ou des données résultant de l'utilisation de son compte d'utilisateur (article L. 224-42-3 du Code de la Consommation).
  • Un renforcement du secret des correspondances électroniques privées : sauf consentement exprès et spécifique de l’utilisateur, valable pour une durée maximale d’un an, le traitement automatisé d'analyse, à des fins publicitaires, statistiques ou d'amélioration du service, du contenu de la correspondance en ligne, de l'identité des correspondants ainsi que, le cas échéant, de l'intitulé ou des documents joints, par le fournisseur de services de communications en ligne, est interdit (article L. 32-3 du Code des postes et des communications électroniques).
  • L’exclusion de toute discrimination, notamment tarifaire, en particulier de la part des fournisseurs d’accès, au regard du contenu des données transmises, de leur source, de leur destination, ou encore de leur protocole de communication (article L. 33-1. du Code des postes et des communications électroniques). C’est la consécration du principe général de la
    « neutralité de l’internet » qui permettra la mise en œuvre du règlement (UE) 2015/2120 du 25 novembre 2015 établissant des mesures relatives à l'accès à un « internet ouvert ».
Une meilleure information des consommateurs (Article L. 111-7 du Code de la consommation)

La loi pour une République Numérique instaure une obligation générale d’information incombant aux opérateurs de plateformes en ligne, ces dernières étant définies comme « toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication en ligne reposant sur :

  1. le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers,
  2. la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service».

Ces plateformes seront tenues de délivrer au consommateur une information « loyale, claire et transparente » sur :

  • les conditions générales d'utilisation du service d'intermédiation,
  • les modalités de référencement, de classement et de déréférencement des contenus, des biens ou des services auxquels ce service permet d'accéder,
  • l'existence d'une relation contractuelle, d'un lien capitalistique ou d'une rémunération influençant le classement ou le référencement des contenus,
  • la qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale, lorsque des consommateurs sont mis en relation avec des professionnels ou des non-professionnels.

Par ailleurs, cette obligation d’information loyale, claire, et transparente s’applique à toute personne physique ou morale lorsque son activité consiste, à titre principal ou accessoire, à collecter, à modérer ou à diffuser des avis en ligne provenant de consommateurs.

Utilisation d’un NIR chiffré à des fins de recherche ou de statistiques (Article 22.I bis LIL)

La loi pour une République Numérique a allégé les formalités pour certains types de traitements aux fins de recherche scientifique ou d’analyse statistique qui rentraient auparavant dans le champ des traitements soumis à autorisation de la CNIL.

Il est désormais prévu que les traitements portant sur des données à caractère personnel parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR ou numéro de sécurité sociale), ou qui requièrent la consultation de ce répertoire, seront soumis à déclaration auprès de la CNIL lorsque ces traitements ont pour finalité exclusive (i) l’établissement de statistiques publiques par le service de statistique public ou (ii) la recherche scientifique ou historique.

Ces traitements ne pourront procéder à l’utilisation du NIR que si ce dernier a, à l’issue d’une opération cryptographique, été substitué par un « code spécifique non signifiant » Les modalités de renouvellement de cette opération cryptographique seront précisées par décret en Conseil d’Etat pris après avis de la CNIL.

Le rôle de l’administration dans l’échange des données

Généralisation de l’ « Open DATA » et des Standards ouverts

La loi pour une République numérique met en œuvre l’ « ouverture de l’accès aux données publiques ». Il incombera désormais à l’administration de mettre à disposition les documents qu’elle édite au format électronique, c’est-à-dire les documents mis en ligne à disposition du citoyen « dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé » (nouvel article L.300-4 du Code des relations entre le public et l’administration).

La loi pour une République Numérique a également introduit la notion de « données d’intérêt général » afin accroître l’ouverture des données collectées par des personnes titulaires de délégations de service public. Ces personnes devront fournir à l’autorité concédante, dans un standard ouvert librement réutilisable et exploitable par un système de traitement automatisé, les données collectées ou produites à l’occasion de l’exploitation du service public, que l’autorité concédante pourra extraire et exploiter librement notamment par la mise à disposition à titre gratuit à des fins de réutilisation à titre gratuit ou onéreux, sous réserve bien entendu des secrets protégés par la loi et des limites à la liberté d’accès aux documents administratifs prévues aux articles L.311-5 à L.311-7 du Code des relations entre le public et l’administration (nouvel article 53-1 de l’ordonnance n°2016-65 du 29 janvier 2016).

Par ailleurs, les auteurs d’un écrit scientifique issu d'une activité de recherche financée au moins pour moitié par des dotations de l'Etat, des collectivités territoriales ou des établissements publics auront la possibilité de mettre celui-ci gratuitement à disposition par voie numérique à l’expiration d’un délai de six mois à compter de la date de la première publication pour une publication dans le domaine des sciences, de la technique et de la médecine et de douze mois dans celui des sciences humaines et sociales (nouvel l’article L. 533-4 du Code de la Recherche).

Le rapprochement de la CNIL et de la CADA (Article 15 bis LIL)

Si le projet d’une fusion a finalement été écarté lors des discussions parlementaires, la Commission nationale de l’informatique et des libertés et la Commission d’accès aux documents administratifs pourront néanmoins se réunir dans un collège unique lorsqu’un sujet d’intérêt commun le justifie, sur l’initiative conjointe de leurs présidents.

Ce document (ainsi que toutes les informations accessibles via les liens présents dans ce document) est fourni uniquement à titre informatif et ne constitue en aucun cas un conseil juridique. Des conseils juridiques professionnels sont nécessaires avant une quelque action résultant du contenu de ce document.