La loi Lemaire renforce la protection des données personnelles et anticipe le règlement européen 2016/679.
Le chapitre 2 de la loi pour une République numérique, dite « loi Lemaire » (1), est consacré à la protection de la vie privée en ligne et comprend un certain nombre de dispositions qui viennent modifier la loi Informatique et libertés (2) et anticiper l’applicabilité du règlement européen 2016/679 sur la protection des données (3).
Consécration de la notion d’empowerment
La loi Lemaire vient modifier l’article 1er de la loi Informatique et libertés en ajoutant que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».
Il est important de relever que ce droit est visé dans le même article que l’identité humaine, les droits de l’homme, la vie privée, les libertés individuelles ou publiques.
En conséquence, ce droit figure parmi ceux pour lesquels la formation restreinte de la Cnil, saisie par le président de la Commission, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat et après une procédure contradictoire notamment ,décider de l’interruption de la mise en œuvre du traitement pour une durée maximale de trois mois ou encore prononcer un avertissement visé au 1° du I de l’article 45 de la loi Informatique et libertés.
Consécration par la loi Lemaire du droit à la portabilité des données
La loi Lemaire vient insérer dans le Code de la consommation un nouveau droit du consommateur à la récupération et à la portabilité de ses données. Ce droit, tel qu’il est prévu dans la loi pour une République numérique, s’il anticipe les dispositions de l’article 20 du règlement européen qui crée un « droit à la portabilité des données » pour les personnes concernées, est plus étendu en ce qu’il ne concerne pas uniquement les données personnelles.
En effet, la loi Lemaire crée, en sus, une nouvelle obligation incombant aux fournisseurs de services de communication en ligne de proposer au consommateur une fonctionnalité gratuite permettant la récupération des données suivantes :
- tous les fichiers mis en ligne par le consommateur ;
- toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause. Ces données sont récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ;
- les autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes :
- ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ;
- l’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services.
En revanche, ce droit à la portabilité de la loi Lemaire n’entrera en vigueur qu’à compter du 25 mai 2018, date d’entrée en vigueur du règlement européen 2016/679.
Droit des personnes décédées
Face à la multitude de données persistantes sur le web, en particulier sur les réseaux sociaux, la loi Lemaire, si elle prévoit que les droits d’accès, d’opposition, d’interrogation et de rectification s’éteignent au décès de leur titulaire, intègre néanmoins la possibilité pour les personnes d’organiser la gestion de leurs données en ligne une fois qu’elles seront décédées.
Ainsi, elle octroie la possibilité, pour toute personne, de son vivant, d’organiser les conditions de conservation et de communication de ses données à caractère personnel après son décès.
Ses choix pourraient être enregistrés auprès d’un tiers de confiance certifié par la Cnil ou du responsable du traitement concerné, selon que les données seront générales ou particulières. La personne concernée pourra encore désigner une personne chargée de l’exécution de ses directives.
Par ailleurs, les prestataires de service de communication en ligne devront informer l’utilisateur du sort de ses données à son décès et lui permettre de choisir de les communiquer ou non à un tiers qu’il désigne.
Consécration du droit à l’oubli numérique des mineurs
La loi Lemaire insère au sein de la loi Informatique et libertés un droit à l’oubli spécifique des mineurs et une procédure dédiée accélérée (un mois à compter de la demande) pour l’exercice et la prise en compte de ce droit lorsque ses données ont été collectées dans le cadre de l’offre de service de la société de l’information.
Dès lors, les plateformes web (en ce incluant les réseaux sociaux, les moteurs de recherche ou encore les plateformes d’échanges en ligne) devront agir dans les meilleurs délais pour procéder à l’effacement des données concernées dès lors qu’elles concernent des personnes mineures au jour de la collecte.
Renforcement de l’information des personnes concernées
La loi pour une République numérique vient ajouter aux informations devant d’ores et déjà être portées à la connaissance des personnes concernées, aux termes de l’article 32 de la loi Informatique et libertés (2), l’obligation, pour le responsable du traitement, d’informer de l’existence d’un droit, pour la personne concernée, à définir des directives relatives au sort de ses données à caractère personnel après sa mort.
Ce droit concerne également la durée de conservation des données traitées ou, en cas d’impossibilité, les critères utilisés permettant de déterminer cette durée.
Toutefois, en ne sélectionnant que ces informations, la loi Lemaire ne reprend pas toutes les nouvelles exigences d’information posées par le règlement européen.
Facilitation de l’exercice des droits des personnes concernées
La loi Lemaire prévoit encore que, sauf dans le cas des traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat intéressant la sûreté de l’Etat, la défense ou la sécurité publique, le responsable du traitement devra donner la possibilité à la personne concernée d’exercer ses droits par voie électronique, dès lors qu’il aura collecté les données personnelles de manière électronique.
L’abrogation de cet article est d’ores et déjà prévue pour le 25 mai 2018, date à laquelle le règlement européen sera applicable, dans la mesure où il prévoit lui-même, à son article 12, que lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
Pouvoir de sanction de la Cnil renforcé
Alors que le plafond maximal des sanctions pécuniaires pouvant être prononcées par la Cnil était de 150 000 euros, il passe avec la loi pour une République numérique à 3 millions d’euros pour une anticipation « intermédiaire » sur l’augmentation du plafond du montant des sanctions prévues par le règlement européen qui prévoit un montant pouvant atteindre jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.
Elargissement des missions de la Cnil
La loi Lemaire prévoit la saisine de la Cnil pour avis sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatif à la protection des données à caractère personnel ou au traitement de telles données.
La loi pour une République numérique prévoit également la publicité systématique des avis de la Cnil sur ces projets de texte.
De même, la Cnil se voit investie d’une nouvelle mission de certifier, homologuer et publier des référentiels ou des méthodologies aux fins de certification des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation.
Coopération renforcée entre les autorités en interne
La loi pour une République numérique prévoit la possibilité d’une saisine réciproque de la Cnil et de l’Autorité de régulation des communications électroniques et des postes (Arcep) pour toute question concernant leurs domaines d’intervention respectifs.
Coopération renforcée entre les autorités européennes de protection des données
La loi Lemaire prévoit enfin que la Cnil pourra, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un État non membre de l’Union européenne, dès lors que le pays offre un niveau de protection adéquat, procéder à des opérations de contrôle et lui communiquer les informations qu’elle recueille ou qu’elle détient.
Pour ce faire, elle devra préalablement conclure une convention organisant ses relations avec l’autorité en question.
La loi Lemaire permet donc à la réglementation Informatique et libertés française de faire un premier pas vers le renforcement de la protection des données à caractère personnel et des missions de la Cnil par anticipation du règlement 2016/679 qui sera d’application immédiate dès le 25 mai 2018.
Les organismes responsables du traitement doivent reprendre les modifications apportées par la loi Lemaire pour identifier un plan d’actions de mise en conformité. Ces modifications doivent être intégrées dans la road map de mise en conformité au règlement européen. Les dispositions d’application immédiate de la loi Lemaire doivent être gérées en priorité.
Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique
(1) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(2) Loi 78-17 du 6-1-1978, art. 32.
(3) Règlement (UE) 2016/679 du 27-4-2016.