Analyse du projet de loi Pour une République numérique

Publié le 03 mars 2016 par Davidfayon

Etant donné l'évolution rapide des nouvelles technologies mais également leur rôle central dans l'économie, apporter une réponse législative en encadrant mieux leurs usages n'est plus aujourd'hui une vue de l'esprit mais un impératif. Partant de ce principe, la France ne pouvait donc échapper à la règle et se devait donc de mettre en place un cadre juridique plus en phase afin de régir avec davantage d'efficacité les diverses pratiques actuelles en matière de numérique.

Aussi il est nécessaire de revenir sur le projet de loi " pour une République numérique " présenté récemment en Conseil des ministres avec un bref rappel des diverses étapes qu'a connu le texte et ses objectifs principaux et examiner la traduction concrète pour l'utilisateur final, c'est-à-dire le consommateur numérique comme vous et moi.

Genèse du texte Pour une République numérique

Ce projet de loi est issu d'un long processus de concertation qui émane du Gouvernement. En effet, le projet commence à voir le jour entre octobre 2014 et février 2015 lorsque, suite à la demande formulée par le Gouvernement, le Conseil National du Numérique rend une consultation contenant près de 4 000 contributions.

A partir de là, le Gouvernement a évalué les points jugés particulièrement importants et devant impérativement faire l'objet d'une loi : il met en place sa stratégie numérique.

La troisième étape est probablement celle qui a apporté une certaine originalité au sein du processus législatif
concernant ce projet de loi. Pourquoi ? Parce que dans le but de coller avec le thème du projet de loi, le Gouvernement a souhaité donner la parole aux citoyens à travers une démarche éminemment moderne : passer par le numérique. Du 26 septembre 2015 au 18 octobre 2015, une consultation publique fut organisée en ligne afin que chacun puisse proposer de nouveaux articles ou encore modifier ceux déjà existants. Cette consultation a rencontré un franc succès avec plus de 21 000 participants et plus de 8 000 contributions.

En date du 9 décembre 2015, le projet de loi a été présenté en Conseil des ministres par le ministre de l'économie, de l'industrie et du numérique, Emmanuel Macron. Le jour même, le texte fait alors l'objet d'une procédure accélérée en vue d'une adoption la plus rapide possible.

Une fois adopté en Conseil des ministres, le projet de loi a alors été présenté aux parlementaires. Le 26 janvier 2016, l'assemblée nationale vote en faveur de l'adoption du projet de loi. La balle est alors dans le camp des sénateurs et les semaines voire les mois à venir seront consacrés à la navette parlementaire avant la promulgation et le décret.

Le projet de loi pour une République Numérique : quèsaco ?

Celui-ci est constitué de trois titres :

  • La libre circulation des données et du savoir
  • La protection des internautes
  • La garantie de l'accès au numérique pour tous.

1. Favoriser la circulation des données et du savoir (open data)

L'open data décrit donc un phénomène d'ouverture des données consistant en leur mise à disposition à tous, de manière simple et surtout gratuite. C'est un mouvement d'inspiration citoyenne et visant à dynamiser la vie publique, enrichir le débat démocratique ou encore faire évoluer le service public en général.

Le projet de loi tend à " coller " à ce concept en mettant en place des mesures législatives particulières telles que décrites ci-dessous.

    Obligation pour les administrations de mettre à disposition du public leurs données y compris pour un usage commercial

Le projet de loi pose le principe de diffusion par défaut des données produites par les administrations (comme les études statistiques ou encore les enquêtes publiques), sauf dans les secteurs particulièrement sensibles tels que la défense. Ces données pourront ainsi être consultées par toutes et tous, personne physiques ou morales, du secteur privé ou public, et tous auront le droit de les réutiliser moyennant le paiement d'une redevance le cas échéant.

Sur le papier, permettre à tous de consulter ce type de données peut en effet paraître bénéfique. Néanmoins cela se révèle effrayant si l'on imagine que des ces données profitent directement à des entreprises peu scrupuleuses.

    La création de " données d'intérêt général "

Le projet de loi prévoit un élargissement des entités concernées par la diffusion des données produites. En effet, outre les entités dites " classiques " relevant du service public, sont aussi concernées les entreprises délégataires de service public tels que les EPIC (établissement publics, industriels et commerciaux), ils relèveront donc du principe de l'open data car les données produites par ceux-ci auront le statut de " données d'intérêt général ".
Le problème soulevé est que le projet de loi n'en donne aucune définition. Ainsi, autoriser la diffusion de données que personne n'est en mesure d'expliquer leur nature apparaît comme compliqué...

    Création de la notion de " domaine commun informationnel "

Cette notion désigne [1] " l'ensemble des objets qui ne sont pas ou plus protégés par le Code de la propriété intellectuelle, que ce soit parce que la durée de protection est arrivée à échéance ou qu' ils sont, par nature, exclus du champ de la propriété intellectuelle ".

Ce domaine commun informationnel vise à permettre à tous de consulter gratuitement, par exemple, les travaux des chercheurs composant le CNRS. Il s'agit ici d'un exemple parfait des bienfaits potentiels de l'open data : la libre consultation des données entraîne ici la libre circulation du savoir.

    Mise en place de la neutralité d'Internet et les pouvoirs de sanction de l'ARCEP

Cette section fait ici directement écho à notre précédent article dans lequel nous avions traité de la notion de neutralité du web. Le projet de loi " Pour une République numérique " prévoit un renforcement des pouvoirs de l'ARCEP (Autorité de régulation des communications électroniques) dans le cadre de son objectif d'assurer la neutralité d'Internet. En effet, ses possibilités de contrôle ainsi que son pouvoir de mise en demeure seront accrus.

    Principe de secret des correspondances numériques

L'article 22 du projet de loi vient modifier l'article L. 32-3 du Code des postes et des communications électroniques en y ajoutant l'obligation, pour les " éditeurs de services de communication au public en ligne permettant aux utilisateurs [...] d'échanger des correspondances ", de garantir le secret desdites correspondances.

De plus, le même article précise que " l'éditeur prend les mesures nécessaires pour garantir le secret et l'intégrité́ des correspondances échangées par l'intermédiaire de ses services ".Cette mesure semble donc aller dans le bon sens, à savoir une plus grande sécurité du secret des utilisateurs.

Cette nouveauté législative est alors une bonne initiative pour l'utilisateur final dans la mesure où la sécurité de ses échanges numériques est liée aux mesures de protection prises par son fournisseur de messagerie. Ces derniers étant désireux de conserver leurs utilisateurs/clientèle, ils devront alors améliorer les systèmes de protection dont ils disposent et ce, au bénéfice de tout un chacun.

    Obligation de loyauté et de transparence de la part des plateformes en ligne

L'article 13 du projet de loi propose de modifier l'article L. 111-5-1 du Code de la consommation en proposant une définition de la notion de plateforme en ligne : " Sont qualifiées de plateformes en ligne, au sens du présent article, les activités consistant à classer ou référencer des contenus, biens ou services proposés ou mis en ligne par des tiers, ou de mettre en relation, par voie électronique, plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service, y compris à titre non rémunèré, ou de l'échange ou du partage d'un bien ou d'un service. Sont qualifiées de plateformes en ligne les personnes exerçant cette activité́ à titre professionnel ".

Cette nouveauté permettrait de mieux définir les entités visées par l'obligation de transparence et de loyauté envers les consommateurs/utilisateurs finaux.

En quoi consisteraient ces obligations ? Celles-ci s'illustreraient par le fait de transmettre à l'utilisateur des conditions générales d'utilisation du service plus claires et plus transparentes, y compris concernant les modalités " de référencement, de classement et de déréférencement des contenus, biens ou services auxquels ce service permet d'accéder ".

Ici encore nous ne pouvons qu'accueillir à bras ouvert une telle initiative dans la mesure où plus les rapports sont clairs entre les utilisateurs et les fournisseurs de services, plus leur relation paraît saine, constructive et surtout, à l'abri de certains abus - à condition toutefois que la charge de travail induite pour les plateformes en ligne soit acceptable.

2. Protection des internautes

Un autre axe fort du projet de loi est le respect des droits des internautes. Il est au cœur du débat et englobe non seulement un changement/évolution du rôle de la CNIL, cela concerne également le fait pour les utilisateurs de pouvoir décider de récupérer un certain nombre de données que ces derniers auront mises en ligne. Cela comporte aussi le droit ou non pour l'individu d'éventuellement décider de marchander ses données personnelles, le fait de faire disparaître certaines données parfois préjudiciables pour l'individu (droit à l'oubli) ou encore de savoir ce qu'il adviendra de ses données personnelles après son décès.

    Evolution des missions de la CNIL

De manière générale, la commission sera associée de manière plus étroite lorsqu'il sera question d'adopter des lois régissant la protection des données personnelles des internautes. En effet, le projet de loi dispose que la CNIL devra être consultée et donner son avis concernant toute disposition ou décret concernant la protection ou le traitement des données des utilisateurs.

De plus, les missions générales de la CNIL concernant le respect de la loi " informatique et libertés " seront élargies. La commission devra également promouvoir l'utilisation des technologies protectrices de la vie privée (comme le chiffrement des données par exemple) ; la commission devra également conduire une réflexion générale concernant le respect d'une certaine éthique concernant l'usage des technologies numériques ainsi que les questions sociétales soulevées par celles-ci.

Par ailleurs, la première version du projet de loi prévoyait que tout traitant ou sous-traitant des données pouvait consulter la CNIL afin d'être guidé et accompagné en matière de conformité avec l'ensemble des textes législatifs concernant les technologies numériques. Cette possibilité n'a malheureusement pas été retenue dans la version finale du projet de loi.... Il est ici extrêmement regrettable que cette mesure ait été supprimée dans la mesure où, étant donnée la complexité et la multitude des dispositions qu'impliquent les échanges et l'utilisation des technologies numériques, une entreprise désireuse de s'assurer du fait qu'elle respecte bel et bien la loi n'a pas la possibilité de demander l'aide de la CNIL et doit alors se débrouiller seule au risque d'enfreindre la législation...

Enfin, le projet de loi prévoit un rapprochement entre la CNIL et la CADA (commission d'accès aux documents administratifs). Les présidents de chaque commission siègent à la fois dans l'une et l'autre et se réunissent en une commission unique afin de travailler sur des sujets d'intérêt commun. Il en ressort une diminution du risque d'avis contraires ou d'actions divergentes en matière de numérique, donc une plus grande cohérence générale. En revanche, au risque d'apparaitre comme un insatisfait chronique, peut-être aurait-il fallut fusionner ces deux institutions au lieu de maintenir deux entités distinctes. Cela aurait répondu au choc de simplification.

    Procédure de sanction de la CNIL

Toute sanction ou mise en demeure prononcée par la commission devra impérativement être précédée d'une mise en demeure de la part de son président. Cependant, pas de mise en demeure préalable dans le cas d'une faute commise par un acteur numérique ne pouvant donner lieu à une mise en conformité. Tel sera le cas notamment dans le cadre d'un manquement/faute en matière de sécurité informatique.

De plus, les possibilités pour la CNIL de saisir le juge des référés seront élargies. Celle-ci pourra alors demander au juge des référés de prendre " toute mesure nécessaire " au respect des libertés et de la loi là où précédemment elle ne pouvait saisir celui-ci que pour demander " les mesures nécessaires à la sauvegarde des droits et libertés des utilisateurs ".

Un apport citoyen, et c'est assez rare pour que l'on en fasse mention, issu de la consultation publique a été retenu et prévoit qu'en cas de faille de sécurité impliquant des données personnelles, la responsable du traitement des données devra informer individuellement chaque personne concernée, et potentiellement préjudiciée, par la faille de sécurité en question. Cela fait penser aux constructeurs automobiles qui rappellent certains modèles.
En revanche, aucune augmentation des pouvoirs de sanction de la CNIL. La première version du projet de loi prévoyait une possibilité de sanction financière pouvant s'élever à 20 millions d'euros pour les personnes physiques et jusqu'à 4 % du chiffre d'affaires mondial pour les entreprises. Nous sommes ici forcés de constater que malgré une évolution positive des missions de la CNIL, celle-ci ne se voit toujours pas dotée d'une réelle possibilité de faire respecter ce qu'elle a pour mission de défendre car elle n'a toujours pas le pouvoir de frapper fortement là où cela fait mal : le portefeuille.

    Le droit à la portabilité et à la récupération des données des internautes

Le projet de loi propose d'introduire dans le Code de la consommation un droit à la récupération et à la portabilité des données pour les utilisateurs. Il est à noter que cette obligation pèserait non seulement sur les fournisseurs de service de courrier électronique mais également sur les fournisseurs de service de communication au public en ligne. Cette mesure profiterait en revanche aux utilisateurs ayant la qualité de consommateur mais également à ceux ayant la qualité de professionnels.

Les fournisseurs de service de courriers électroniques devraient alors mettre en place une fonctionnalité gratuite de transfert direct des messages ainsi que de leur liste de contacts vers un autre fournisseur. Concernant les services de communication au public en ligne, le public en question devrait avoir le droit de récupérer tous les fichiers mis en ligne par leurs soins ainsi que toutes les données associées à leurs comptes.
Cette disposition est plus large que le simple droit à la portabilité des données car celle-ci pose un champ plus large : sont concernées toutes données mises en ligne par l'utilisateur.

Cette mesure est incontestablement une bonne nouvelle pour tous les utilisateurs car cela vient nous apporter une mobilité bien plus grande et donc dynamiser les activités numériques : changer de prestataire stimule la concurrence, stimuler la concurrence profite directement aux consommateurs de numérique que nous sommes. Malgré tout les données pourraient être portées et happées par les plateformes les plus puissantes.

Une interrogation persiste cependant : dans la mesure où d'une part ce nouveau droit pris au niveau local est plus large que le droit à la portabilité des données prévue au niveau européen et que d'autre part ces deux niveaux juridiques doivent s'articuler et fonctionner l'un avec l'autre, existe-il un risque que l'un court-circuite l'autre ? Cette question est pour l'instant sans réponse.

Enfin, il est également prévu qu'en dessous d'un certain seuil, certains fournisseurs de service n'auraient pas à respecter ces obligations : quel seuil ? Aucune réponse à ce sujet pour le moment.

    Autodétermination informationnelle et droit des personnes

Nous traitons ici d'une avancée potentielle majeure : chacun devrait avoir le droit de décider de ce qui sera fait de ses données personnelles. Ce concept a été créé par la Cour constitutionnelle allemande en 1983 et ne comporte pas en principe l'idée selon laquelle ces données sont la propriété des individus. Cette conception s'oppose donc à l'aliénation par l'individu des données personnelles le concernant.

Or le projet de loi prévoit que les individus ont le droit de décider et de contrôler ce qui est fait de leurs données personnelles : on peut donc voir ici la possibilité pour l'utilisateur de marchander ses données.
Dans une certaine mesure, cette disposition apparaît comme totalement compréhensible. En effet, à partir du moment où l'utilisateur est à la base de la production de ses données personnelles, celui-ci devrait avoir le droit d'en faire ce qu'il souhaite, y compris de la marchander et de la vendre.

Cependant, et c'est ici une vision totalement personnelle, même si le fait de permettre aux utilisateurs de décider quoi faire des données qu'ils ont produites est une bonne idée, permettre à ces derniers d'éventuellement en tirer profit en les vendant m'apparaît comme déplacé. En effet, les données personnelles renvoyant à l'idée de l'identité de la personne, il n'est alors pas exclu de considérer ces données comme une extension de celle-ci, ainsi tout ou partie d'un individu ne pouvant faire l'objet d'activité mercantile, il devrait en être de même pour les données personnelles.

Poster les photos de ses dernières vacances aux Bahamas, rechercher un produit ou encore surfer de site en site sont autant de traces laissées derrière nous sur le net. Effacer ses données est souvent d'une grande difficulté étant donné l'aspect particulièrement versatile du monde numérique. Par ailleurs, cela peut s'avérer dangereux pour tout internaute et à plus forte raison pour les mineurs.

Ainsi, le projet de loi apporte une innovation concernant leur protection dans la mesure où le droit positif ne comporte pas de protection suffisante en la matière. En effet, les mineurs et leurs représentants légaux ne disposent que du droit d'opposition pour se protéger de tout type d'atteinte à la vie privée concernant les données personnelles récupérables en ligne. Cette innovation consiste en l'effacement sans motif particulier des données personnelles mises en ligne par des personnes mineures à travers " l'offre de services de la société de l'information " [2] et pouvant leur porter préjudice avant ou durant la majorité.

Cette disposition tire les conséquences de l'arrêt Google Spain rendu par la CJUE le 13 mai 2014 et consacrant au niveau européen un droit à l'oubli pour les personnes mineures, la France cherche donc à anticiper la mise en place d'un éventuel règlement européen concernant l'effacement des données personnelles relatives aux mineurs.
Cependant, nous regretterons ici que le concept " d'offre de services de la société de l'information " ne soit pas défini dans le projet de loi. A supposer que ce concept soit interprété à la lumière de la directive 2015/1535/EC qui la définit comme " tout service presté normalement contre rémunération à distance par voie électronique ", il en résulterait une application de ce droit limitée à des services payants. Or les internautes ont tendance à utiliser les services les moins chers possibles voire gratuits et à plus forte raison lorsqu'il s'agit d'utilisateurs mineurs...

    Les données personnelles après le décès

Si les données mises en ligne par les utilisateurs sont au cœur du débat de leur vivant, il n'en demeure pas moins que ces données ne disparaissent pas lorsque l'individu décède. Ainsi, la question de ce qu'il advient des données personnelles d'une personne décédée ne peut être laissée de côté.

Le projet de loi propose donc de laisser l'individu faire le choix de ce qu'il adviendra des données le concernant postérieurement à son décès, il sera également possible de désigner des tiers de confiance par l'intermédiaire d'une désignation de ces derniers auprès de la CNIL. Ces tiers, s'ils sont désignés, auront pour mission de suivre et de faire respecter des directives générales édictées par le défunt. En outre, des directives plus pointues/particulières pourront être transmises directement au responsable du traitement des données.

A défaut de désignation de tiers de confiance, le traitement des données personnelles de l'individu décédé sera transmis à ses héritiers à savoir les descendants et le conjoint. A défaut de désignation précise, le projet de loi prévoit que l'ensemble des héritiers exerceront conjointement les " droits informatiques et libertés " du défunt.
Partant du principe que le projet de loi autorise l'utilisateur à contrôler le futur de ses données personnelles mises en ligne, le défunt peut tout à fait enjoindre ses héritiers ou autres tiers de confiance d'utiliser ses données afin de poursuivre une finalité autre que celle pour laquelle elles avaient été mises en ligne au départ, à quand un mémorial/sépulture en ligne ?

Enfin, cette proposition pose un autre problème : comment une plate-forme peut-elle avoir la certitude que la personne en question est bel et bien décédée ? Dans une vision extrême, cette loi pourrait donner lieu à des situations pouvant de prime abord faire sourire mais pourtant grave : un individu bel et bien vivant mais dont la fausse mort pourrait être exposée aux yeux de tous sur le web.

3. Garantir l'accès au numérique pour tous

Le troisième grand axe du projet de loi répond au leitmotiv français d'égalité entre les citoyens. Malgré un nombre de dispositions relativement faibles par rapport aux deux thèmes abordées plus haut, le projet de loi vient renforcer d'une part l'accès au numérique et à l'information pour les personnes en situation de handicap ; puis dans un second temps vient renforcer la protection et le maintien de l'accès aux services téléphoniques et de connexion Internet pour les familles les plus démunies.

    Renforcement de l'accès au numérique pour les personnes handicapées

L'égalité entre les citoyens étant une préoccupation majeure du gouvernement, du moins si l'on en croît les communiqués de presse, le projet de loi Pour une République numérique ne pouvait s'abstenir d'apporter un accès plus important au numérique pour tous les citoyens et en particulier pour les publics dits " fragiles ".

Ainsi, l'article 43 dispose que les services téléphoniques des organismes réalisant une mission de service public devront mettre à disposition des personnes sourdes et malentendantes un service de traduction écrite, visuelle et simultanée. Concernant les entreprises privées, ces dernières auront l'obligation de fournir le même type de service aux personnes sourdes et malentendantes et ce, à des prix et selon des conditions abordables.

L'article 44 du projet de loi vise à assurer un meilleur accès des sites Internet publics en venant modifier la loi sur l'égalité des chances. Ainsi, les personnes en situation de handicap devront pouvoir avoir accès à tout type d'information numérique liée aux sites Internet publics et ce, concernant tout type d'information.

Chaque acteur public devra présenter un plan pluriannuel de mise en accessibilité de leur services numériques de communication et toutes les pages de leurs sites Internet devront comporter une mention visible précisant s'il est ou non conforme aux règles relatives à l'accessibilité ainsi qu'un lien renvoyant à une page indiquant notamment l'état de mise en œuvre du schéma pluriannuel de mise en accessibilité et du plan d'action de l'année en cours et permettant aux usagers de signaler les manquements aux règles d'accessibilité.

Même si nous n'entrerons pas dans le débat complexe de savoir si l'ensemble des citoyens français disposent des mêmes chances, nous ne pouvons ici qu'acquiescer et encourager ce type d'initiative visant à permettre à des personnes en situation de handicap d'accéder à l'information même si cela génère un surcoût dans le développement des services.

    Maintien des connections Internet pour les familles en difficulté financière

Le projet de loi vient modifier l'article L. 115-3 du Code de l'action sociale et des familles. Cette disposition vise à permettre à des familles éprouvant des difficultés financières de pouvoir conserver un accès, même restreint, à la fourniture d'énergie ou encore d'eau dans leur logement lorsqu'une demande d'aide a été formulée auprès de la collectivité et que la collectivité n'a pas encore statué sur la demande d'aide en question.
La modification apportée vise à inclure également un accès/maintien des services téléphoniques et d'accès à Internet en faveur de ces familles même en cas de non-paiement des factures.

Ainsi, en attendant une réponse concernant la demande d'aide, les services téléphonique et d'accès au net seront maintenus. Les fournisseurs de service devront assurer à ces familles " la possibilité de recevoir des appels ainsi que de passer des communications locales et vers les numéros gratuits et d'urgence. Le service d'accès à internet maintenu peut être restreint par l'opérateur sous réserve de préserver un accès fonctionnel aux services de communication au public en ligne et aux services de courrier électronique ".

Au final, notre avis reste relativement mitigé concernant ce projet de loi. Nous ne bouderons tout de même pas notre plaisir quand, enfin, le législateur démontre sa volonté d'entreprendre de nouveaux projets législatifs en matière de nouvelles technologies. Néanmoins, il semble juste de rappeler que d'une part nous sommes tout de même très loin d'une réelle " co-écriture de la loi entre le citoyen et ses dirigeants " comme tel que cela fut présenté dans la mesure où la consultation publique n'a apporté que 8 nouveaux articles sur un projet de loi qui en compte une quarantaine ; d'autre part nous ne pouvons que déplorer la mollesse récurrente de certaines dispositions, car lorsqu'il s'agit de donner des pouvoirs plus importants à des institutions (telles que la CNIL ou l'Arcep) qui sont également des pièces maîtresses du dispositif que nous venons de présenter, celles-ci ne disposent pas de pouvoirs assez forts pour jouer pleinement leurs rôles. Cependant nous ne pouvons que saluer ce geste et encourager des mises à jour régulières de celui-ci afin de réduire le gouffre entre lenteur de la machine étatique et le progrès numérique.

Une petite anecdote croustillante pour finir : un grand merci à Valérie Rabault et Karine Berger, députées, qui ont déposé l'amendement 843 visant à soumettre le lien hypertexte aux droits d'auteurs. En clair, ces deux représentantes du peuple ont proposé de conditionner toute utilisation d'un lien hypertexte au consentement du propriétaire des éléments vers lesquels ils renvoient. Fini Google, plus de vidéos sur YouTube, la mort de Facebook et de toute une série de start-up, merci de revenir dans le monde réel mesdames !

[1] http://www.cnnumerique.fr/wp-content/uploads/2015/11/CNNum_Fiche_Domaine-commun.pdf
[2] Article 32 du projet de loi pour une République numérique