« La (Loi) République (Numérique) affirme le droit et impose le devoir ». V. Hugo.

Le 10 novembre 2016

La loi n°2016-1321 du 7 octobre 2016 pour une République numérique, dite « Loi République Numérique » a été publiée au Journal Officiel le 8 octobre 2016.

Tour d’horizon des nouveautés législatives ayant des conséquences pour les entreprises.

La mise en place d’un système permettant la portabilité des données des internautes

La Loi République Numérique se propose, en ses articles 48 et suivants, comme une loi « d’application » de l’article 20 du Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données personnelles (notre article sur ce sujet, ici) et insère, en ce sens, dans le Code de la consommation, des dispositions portant sur la « portabilité des données ».

Le texte impose ainsi aux entreprises de mettre en place un mécanisme permettant au consommateur de pouvoir « récupérer » l’ensemble de ses données, y compris les fichiers mis en ligne par le consommateur, sauf à ce que les données aient fait l’objet « d’un enrichissement significatif », un tel terme étant appelé à être précisé par décret.

Les entreprises ont jusqu’au 25 mai 2018, date d’entrée en vigueur de ces dispositions, pour se mettre en conformité.

La protection des mineurs

La Loi République Numérique renforce les droits des mineurs en imposant que l’information qui leur est destinée soit également adressée aux titulaires de l’autorité parentale, lesquels peuvent exercer les droits (d’accès, de rectification, de portabilité, etc.) du mineur concerné.

Le majeur peut également s’adresser au responsable de traitement ayant collecté ses données personnelles lorsqu’il était mineur afin de les voir supprimer par ce dernier, ainsi que par tout destinataire potentiel.

Les entreprises doivent donc s’exécuter face à une demande de droit à l’oubli exercée par un majeur concernant des actes réalisés lorsqu’il était mineur.

Ces dispositions légales sont une première étape avant l’application du Règlement Européen précité en 2018 qui étendra à tous (sous certaines conditions) l’application du droit à l’oubli.

Le renforcement de l’information des internautes concernant la durée de conservation de leurs données

Conformément au Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données, la Loi République Numérique impose désormais que l’information de la personne dont les données personnelles sont collectées, comporte « la durée de conservation » desdites données ou en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

La rédaction d’une « Charte Vie Privée » s’impose encore davantage afin de respecter cette obligation légale, comme plus généralement celle d’information loyale et transparente en matière de traitement de données personnelles au sens de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « Informatique et Libertés », en particulier sur :

1. l’identité du responsable de traitement,
2. la finalité du traitement,
3. le caractère obligatoire ou facultatif des réponses,
4. les conséquences éventuelles d'un défaut de réponse,
5. des destinataires ou catégories de destinataires des données,
6. le droit d’accès, de rectification, de suppression, le cas échéant, pour motifs légitimes,
7. le droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort (cf. ci-après),
8. des transferts de données à caractère personnel envisagés à destination d'un Etat non-membre de la Communauté européenne,
9. la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

L’encadrement de la mort numérique

Le législateur s’est penché sur l’encadrement de la mort numérique et a, pour cela, renforcé les pouvoirs de la CNIL.

En effet, toute personne peut désormais définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel auprès des responsables de traitement de ses directives, lesquelles directives peuvent être enregistrées également auprès « d’un tiers de confiance numérique certifié par la CNIL ».

Ces directives, ou sorte de « testament numérique », peuvent désigner une personne chargée de leur exécution ; à défaut, les héritiers seront désignés.

En l’absence de toute directive, les héritiers peuvent s’adresser aux responsables de traitement afin de:

  • accéder aux traitements de données permettant « l’organisation et le règlement de la succession du défunt »; 
  • recevoir communication des « biens numériques » ou des « données s’apparentant à des souvenirs de famille, transmissibles aux héritiers » ;
  • faire procéder à la clôture des comptes utilisateurs du défunt et s’opposer à la poursuite des traitements de données à charge pour le responsable de traitement d’en justifier.

De façon générale, tout prestataire d’un service de communication au public en ligne informe l’utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu’il désigne.

La loyauté des plateformes et l’information des consommateurs

a)     Le cadre général

Le législateur a renforcé les dispositions issues de la loi Macron d’aout 2015 sur les plateformes d’intermédiation, en créant le statut « d’opérateur de plateforme en ligne » défini de la façon suivante :

«  Toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :

« 1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ;

« 2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service. »

Cet opérateur de plateforme en ligne est tenu de délivrer au consommateur une information loyale, claire et transparente, en particulier par le biais de ses Conditions Générales d’Utilisation (CGU), sur :

1° Les modalités de référencement, de classement et de déréférencement des contenus, des biens ou des services auxquels son service permet d'accéder ;

2° L'existence d'une relation contractuelle, d'un lien capitalistique ou d'une rémunération à son profit, dès lors qu'ils influencent le classement ou le référencement des contenus, en ligne ;

3° La qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale.

Un décret d’application est attendu pour préciser les conditions d’application de ces obligations en tenant notamment compte de la nature de l’activité des opérateurs de plateforme en ligne.

Outre ces obligations générales, des obligations spécifiques sont susceptibles d’être appliquées à certains opérateurs.

b)     Le cadre spécifique relatif aux plateformes d’intermédiation dans le domaine du logement

Désormais, toute commune peut imposer que la mise en location de courte durée d’un local meublé soit soumise à i) une déclaration préalable (c’était déjà le cas) et ii) un enregistrement administratif auprès de la commune.

Ces dispositions se répercutent directement à l’égard de toute personne qui se livre ou prête son concours contre rémunération, sur Internet, à la mise à disposition d’un local meublé et qui a pour obligation de publier dans l’annonce relative au local, le numéro de déclaration imposé le cas échéant par la commune du lieu du local.

L’opérateur doit également s’assurer que le logement n’est pas loué plus de 120 jours par an.

c)     Le cadre spécifique relatif aux sites Internet d’avis

Les sites Internet qui diffusent des avis en ligne provenant de consommateurs sont tenus de délivrer une information loyale, claire et transparente, sur les modalités de publication et de traitement des avis en ligne, en précisant notamment :

  1. Si ces avis font l’objet d’un contrôle, et le cas échéant, lequel ;
  2. La date de l’avis et ses éventuelles mises à jour.

Ces sites Internet doivent également justifier du refus de la mise en ligne d’une annonce ainsi que permettre aux professionnels de signaler un avis suspect, à condition d’en justifier.

Tout opérateur de plateforme en ligne concerné au sens de la loi doit donc amender ses CGU et modifier la présentation de son site Internet afin de répondre à ces nouvelles prescriptions légales d’ordre public, sous peine d’une amende ne pouvant excéder 375 000 euros pour une personne morale.

La consécration du droit au secret de la correspondance numérique

A supposer que les articles actuels du Code pénal n’aient pas été suffisamment précis sur le secret de la correspondance, la Loi République Numérique vient réaffirmer que ce droit s’applique bien aux correspondances électroniques privées.

Les opérateurs et les fournisseurs d’accès à Internet doivent garantir le secret de ces correspondances.

Surtout, « le traitement automatisé d'analyse, à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur, du contenu de la correspondance en ligne, de l'identité des correspondants ainsi que, le cas échéant, de l'intitulé ou des documents joints (… ) est interdit, sauf si le consentement exprès de l'utilisateur est recueilli à une périodicité fixée par voie réglementaire, qui ne peut être supérieure à un an. Le consentement est spécifique à chaque traitement. »

L’action de groupe en matière de données personnelles

En sus de la Loi République Numérique, les parlementaires ont également voté la Loi pour la Justice du 21ème siècle, laquelle a créé une action de groupe pouvant être exercée devant le juge civil ou le juge administratif, et ayant uniquement pour objectif de faire cesser un manquement au droit des données personnelles par un responsable de traitement.

Cette action, qui ne permet aucune réparation d’un préjudice, est au surplus limitée à quelques associations ou organisations syndicales soumises à des conditions restrictives.

Un accès aux données publiques

Enfin, la Loi République Numérique consacre un principe d’un accès renforcé à certains documents et données émanant des administrations et autres établissements publics, tels que, par exemple, les vitesses maximales sur les réseaux autoroutiers, les données de consommation d’énergie, les valeurs foncières déclarées lors des ventes immobilières, etc.

Ce dispositif crée de nouvelles opportunités pour les entreprises, que cela soit en termes d’analyse de données, comme de publication de données sur leur site Internet.

Jérôme Sujkowski