Protection des données personnelles : ce que va changer la Loi sur le numérique

Secret des correspondances, droit à l'oubli ou encore pouvoirs de la Cnil... Le projet de loi veut imposer le concept de libre disposition des données personnelles d'un utilisateur.

Le tant attendu projet de loi pour la République numérique d'Axelle Lemaire a enfin pris forme. Fruit d'une grande concertation nationale de près d'un an, le projet de loi est désormais soumis à une ultime consultation en ligne jusqu'au 18 octobre. L'occasion pour le JDN de faire le point sur les différents volets de ce projet de loi participatif.

Cette loi est "une loi de progrès du droit", explique le gouvernement. Une loi qui affirme les grands principes nécessaires à la protection des citoyens, en matière de données personnelles notamment, nous promet-on. Ainsi le projet de loi prend-t-il le soin de réaffirmer le fameux secret des correspondances dans un article 22 qui stipule que "tout traitement automatisé d’analyse du contenu de la correspondance en ligne ou des documents joints à celle-ci constitue une atteinte au secret des correspondances, sauf lorsque ce traitement a pour fonction l’affichage, le tri ou l’acheminement de ces correspondances, ou la détection de contenus non sollicités ou malveillants". Oui, Gmail, Outlook ou Yahoo mail peuvent étudier vos échanges d'emails s'il s'agit de mettre en exergue ceux-qui sont les plus à même de vous intéresser ou, au contraire, de filtrer les spams.

Google ne pourra plus lire vos mails pour des pubs ciblées

"Ces services ne pourront en revanche plus examiner automatiquement le contenu des correspondances privées échangées en leur sein pour des fins commerciales, comme ils pouvaient le faire jusque-là", explique Alan Walter, avocat associé au sein du cabinet Walter Billet. La fin de la publicité ciblée via le scan des mails dans Gmail et consorts ? Les Français pourront en tout cas désormais invoquer l'article 226.1 et suivant du code Pénal pour poursuivre en justice les contrevenants. Mais l'histoire récente montre qu'un tel combat judiciaire ne peut se mener avec succès que s'il est mené à l'échelle européenne. Ne reste plus qu'à espérer qu'il fera effet domino chez nos voisins.

Alors que la quantité des données nous concernant, online, croît de manière exponentielle, la loi veut redonner le contrôle aux individus sur leurs données personnelles. C'est le principe de la "libre disposition de ses données" de l'article 16 qui se veut une alternative à l'absence d'un droit de propriété sur les données. Et dans cette perspective, le projet de loi fait de la Cnil un véritable garde-fou entre l'internaute et les services de traitement de données. Sur le droit à l'oubli des mineurs, celle-ci pourra être saisie en cas d'absence ou d’absence de réponse de la part du responsable de traitement. Elle se prononcera sur la demande dans "un délai de 15 jours", affirme le projet de loi. Un vœu pieux selon Alan Walter qui affirme que "l'institution va vite être dépassée". Une prédiction que les problèmes rencontrés par Google au moment d'appliquer lui-même le droit à l'oubli (56 jours pour traiter les demandes au début) semble conforter.

Plus de prérogatives pour la Cnil... Mais quid des moyens ?

L'avocat estime qu'il en va de même pour l'article 17 qui propose au président d'assemblée parlementaire de "soumettre à l'avis de la commission une proposition de loi comportant des dispositions relatives à la protection des données à caractère personnel" et l'article 18 qui donne à la Cnil le pouvoir de "certifier la conformité du processus d'anonymisation totale ou partielles de jeux de données à caractère personnel". "C'est très positif de donner plus de prérogatives à l'institution mais, s'il y a une nette amélioration récemment, on se rend compte que les gens de la Cnil n'ont eux-mêmes pas toujours le temps de répondre à nos sollicitations", explique-t-il. "Et je doute qu'ils soient vraiment outillés pour le faire à un tel rythme et une telle échelle avant quelques années". D'autant que se profile dans les années à venir une fusion compliquées avec la Cada

L'article 21 du projet de loi renforce en tout cas la procédure de sanction de la Cnil, qui pourra prononcer "une sanction immédiate lorsque le manquement ne peut pas être réparé. Dans un exercice de pédagogie, le gouvernement donne l'exemple suivant : "la CNIL pourra sanctionner financièrement une entreprise ayant perdu des milliers d’adresses email, ce qui n’est pas possible aujourd’hui (simple mise en demeure)". Le projet de loi propose également de raccourcir les délais de mise en demeure en cas d’urgence, le ramenant à 24 heures. "On notera quand même que le montant de la sanction pécuniaire ne bouge lui pas", note Alan Walter, un brin taquin. D'un montant maximal de 150 000 euros, et, en cas de récidive, jusqu’à 300 000 euros. Un montant par vraiment dissuassif pour les géants américains. 

Cnil / Privacy