Le projet de loi Numérique va-t-il assez loin sur la protection des données personnelles?
Le 26 septembre dernier, une consultation publique de trois semaines était lancée par Axelle Lemaire, Secrétaire d’État au numérique, invitant les citoyens à «écrire ensemble» un projet de loi pour une «République numérique», visant à moderniser et enrichir le corpus législatif qui gouverne Internet. Il en résulte «un texte court, ramassé, dynamique» qui «pose les grands principes d’une société numérique» s’est félicité Manuel Valls. Présenté cette semaine en Conseil des ministres, le texte définitif pourrait être adopté à l’automne en Conseil des ministres pour être déposé à l’Assemblée nationale courant 2016.
Sur le fond, le projet ne bouleverse pas le cadre actuel en matière de protection des données sur Internet. Le dispositif en vigueur repose sur une loi du 6 janvier 1978, dite «loi Informatique et Libertés», complétée par une directive communautaire transposée en France par la loi du 6 août 2004. Dans ce texte, le législateur reconnait que «l’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques». Pour veiller au respect de ces principes, une autorité administrative indépendante, la Commission Nationale Informatique et Liberté (CNIL), est chargée de protéger la vie privée et les libertés des citoyens dans l’espace digital. Elle assure pour toute personne un droit d’accès, d’opposition et de rectification des données personnelles collectées sur internet.
Quels recours pour le particulier?
Concrètement, toute personne est en droit de demander au responsable d’un fichier de données de lui faire parvenir l’ensemble des données qu’il possède le concernant et d’exiger, selon les cas, que ces données soient effacées, rectifiées, complétées ou mises à jour. Si le responsable du fichier ne répond pas de manière satisfaisante dans un délai de deux mois, l’utilisateur peut adresser une plainte auprès de la CNIL, qui dispose alors d’un arsenal de sanctions, allant du simple avertissement à des poursuites pénales, jusqu’au retrait de l’autorisation accordée par la CNIL, nécessaire pour collecter des données personnelles.
Ces droits peuvent être exercés contre n’importe quelle personne collectant des données sur Internet, y compris les moteurs de recherche. En ce sens, la Cour de justice de l’Union européenne a récemment jugé que les moteurs de recherche étaient responsables du traitement des informations qu’ils génèrent et consacré un véritable «droit à l’oubli» (C-131/12, 13 mai 2014). Ce droit à l’oubli n’est cependant pas illimité, les tribunaux considérant que les moteurs de recherches peuvent toujours s’opposer à l’effacement d’informations de portée historique, liées à un fait d’actualité ou à une personne publique. L’oubli numérique ne saurait donc constituer un droit à remodeler l’Histoire.
Pas de réformes en profondeur
Aucune disposition du projet de loi ne vise à réformer en profondeur ce dispositif. Il est essentiellement prévu de renforcer les pouvoirs de la CNIL pour assurer une meilleure protection des personnes. Certaines innovations sont envisagées, comme l’accompagnement des entreprises dans les démarches relatives aux traitements des données, l’instauration d’un droit à la portabilité des données en cas de changement de prestataires de services numériques (e-mails, photos, listes de contacts etc.), ou encore l’affirmation d’un droit à l’oubli renforcé pour les informations collectées à l’égard d’une personne mineure. Le collecteur de données devra faire droit à la demande dans les meilleurs délais et la CNIL disposera d’un délai de 15 jours pour statuer en cas de refus ou de silence du responsable de traitement.
Le dispositif le plus novateur et qui mérite qu’on s’y attarde, réside dans l’article 20 du
projet, instituant un statut pour la «mort numérique». La gestion des données après la mort soulève actuellement d’importantes difficultés. Les héritiers n’ont pas nécessairement connaissance des données laissées par la personne décédée, et le principe du secret des correspondances les prive du droit d’accès aux profils du défunt. Google, Linkedin et autres géants du net, organisent leurs propres modalités de suppression de compte d’un utilisateur décédé. Facebook propose de façon insolite le maintien du profil des utilisateurs décédés en mémorial afin que leurs «amis» puissent leur rendre hommage.
Le nouveau statut de la mort numérique
Avec l’adoption du nouveau projet, toute personne pourra, de son vivant, organiser les
conditions de conservation et de communication de ses données à caractère personnel après son décès. La personne pourra transmettre des directives sur le sort de ses données à caractère personnel à la CNIL ou à un responsable de traitement et pourra désigner une personne chargée de leur exécution. À défaut, la qualité d’«exécuteur numérique testamentaire» incombera aux héritiers, tout en préservant le secret des données du défunt. Chaque plateforme sera enfin tenue d’informer ses utilisateurs du devenir réservé à ses données en cas de décès.
En dehors de ces aménagements, le projet de loi n’apporte pas de refonte du système de protection. C’est la raison pour laquelle certains détracteurs du texte considèrent qu’il ne serait pas suffisamment ambitieux. À l’opposé, on peut voir dans le maintien du dispositif actuel le signe de son succès et de son efficacité depuis près de trente ans.
Au-delà du contenu de ce texte, il faut surtout voir dans cette consultation une révolution sur le plan constitutionnel et une renaissance du «contrat social», puisque c’est la première fois qu’un projet de loi d’une telle ampleur fait l’objet d’une consultation préalable directe des citoyens. Il est passionnant de constater que cette expérience de démocratie participative naît d’un projet de loi relatif à Internet, longtemps qualifié de «Far West» juridique. Pour encadrer cet espace de liberté, on demande aux utilisateurs du web de proposer leurs propres règles. Comme l’énonçait Jean-Jacques Rousseau : «l’obéissance à la loi qu’on s’est prescrite est liberté»1.
1 J.J Rousseau, Du contrat social, Flammarion, Collection Gf, numéro 1058.
Baptiste Robelin est avocat au Barreau de Paris depuis 2012. Il est également co-fondateur de Adopte un CTO dont le service est de «proposer aux start-up de pitcher leur idée comme elles le feraient avec des investisseurs, mais devant un parterre de développeurs et d’ingénieurs, avec l’espoir que leur idée séduise et leur amène un partenaire aussi intrigué que compétent».
- Ask A VC : comment modéliser un compte de résultat — Partie 6/6 : analyse de sensitivité - 21/05/2024
- Ask A VC : comment modéliser un compte de résultat — Partie 3/6 : les Coûts Fixes - 16/01/2024
- Question à un VC : Pourquoi les marges unitaires sont-elles si importantes pour votre modèle d’affaires? - 13/11/2023