L'e-commerce doit s'attendre à un véritable Big Bang légal en 2014 Un règlement européen va protéger des données personnelles
Deuxième gros dossier sous les projecteurs cette année, celui de la protection des données personnelles. Un règlement européen sur le sujet est actuellement en discussion. Le texte, déposé en janvier 2012 et retravaillé par la suite, remet d'abord à plat toutes les règles en matière de protection des données et en particulier la directive de 1995 (dont la transposition en France était passée relativement inaperçue, dans la mesure où elle s'inspirait en grande partie de la loi Informatique et Libertés française de 1978).
Il s'attaque également à trois sujets épineux. Premièrement, arrêter une définition des "données à caractère personnel". Deuxièmement, définir les contours du consentement que les entreprises devront requérir des individus pour pouvoir traiter légalement leurs données personnelles. Aujourd'hui, plusieurs motifs le justifient : si la personne a donné son consentement, si utiliser ses données est nécessaire à l'exécution du contrat (par exemple, livrer une commande nécessite de manipuler l'adresse postale de l'acheteur), si utiliser ses données répond à un objectif de santé publique ou d'intérêt général, ou encore si utiliser ses données répond à l'intérêt légitime des entreprises sous réserve que soit respecté l'intérêt des individus. Ce dernier cas (opt-out) est par exemple celui des mailings papiers, alors que l'e-mailing nécessite un consentement explicite (opt-in). "Le projet de règlement maintient l'opt-out mais la discussion se poursuit autour du périmètre de 'l'intérêt légitime' des entreprises comme des individus. En outre, le texte renforce les conditions d'obtention de leur consentement", explique Marc Lolivier.
A l'heure du big data, un enjeu colossal
Troisièmement, le règlement place de nouvelles obligations à la charge des entreprises. Elles reposent d'abord sur de nouveaux droits reconnus aux individus (droit à l'oubli, droit à la portabilité des données dans un format standard, droit à l'information renforcé...). En outre, la mise en place d'un correspondant informatique et libertés deviendrait obligatoire pour toute entreprise de plus de 250 salariés, tout comme la prise en compte des questions de protection des données personnelles dès la conception des produits ou services des entreprises (c'est le "privacy by design"). Et les sanctions seraient considérablement renforcées, pouvant atteindre jusqu'à 2% du chiffre d'affaires mondial de l'entreprise jugée fautive.
"Ce nouveau règlement concerne donc tous les e-commerçants mais aussi tous les acteurs du numérique voire de l'économie au sens large, prévient Marc Lolivier. De plus, à l'heure où le big data est identifié comme un axe de développement fort de l'économie numérique, l'enjeu de ce texte apparaît colossal. Bref, on s'apprête à vivre un Big Bang légal en matière de règles de protection des données." Et comme tout règlement européen, celui-ci s'appliquera directement sans avoir besoin d'être transposé en droit national. Pas le droit à l'erreur, donc.
Adopté par la Commission, le texte est en cours d'examen par le Parlement européen et, en parallèle, en discussion au Conseil. Le Conseil n'ayant pas encore abouti à une position commune, l'examen sera vraisemblablement repris après les élections européennes.
De récentes recommandations de la Cnil sur les cookies et les données bancaires
Toujours sur le volet de la protection des données personnelles, la Cnil a émis fin 2013 de nouvelles recommandations sur l'utilisation de cookies, en les assortissant de fiches pratiques. "La Commission pourrait également intervenir sur ces sujets, dans le cadre des travaux qu'elle mène sur l'application de la directive de 2009, qui suscite de nombreuses difficultés d'interprétation en France comme dans les autres Etats membres", précise Marc Lolivier.
Fin 2013, la Cnil a également publié des recommandations sur l'utilisation des données de carte bancaire dans le cadre de la vente en ligne. Autrement dit sur la possibilité, pour les sites marchands, de stocker ces données. "La Cnil prévoit dans ses recommandations de nouvelles obligations pour les entreprises, sur lesquelles nous travaillons", souligne le délégué général de la Fevad.