Comment la Loi pour une République Numérique fait évoluer la protection des données à caractère personnel

La Loi pour une République Numérique, en réformant une partie de la Loi de 78 "Informatique et Libertés", vient améliorer la protection des utilisateurs, étendre les pouvoirs de la Cnil et imposer de nouvelles obligations aux fournisseurs de services.

La Loi pour une République Numérique vient, en anticipation de l’entrée en vigueur du Règlement général sur la protection des données, amender la Loi de 1978 relative à l’informatique aux fichiers et aux libertés.

A titre liminaire, il convient de constater que la suppression de l’article 6 du projet original, qui consacrait un principe de "quantified-self", constitue une perte symbolique. Cette maîtrise dont chaque personne dispose sur l’utilisation des données à caractère personnel la concernant validait une approche de la protection des données centrée sur les usages et pas sur un droit de propriété, clarifiant ainsi une incompréhension fréquente.

Entre élargissement des pouvoirs de la Cnil, renforcement des droits des utilisateurs et prise en compte des nouveaux usages, cette nouvelle révision profite aux utilisateurs (dont les droits se voient réaffirmés) comme à la Cnil (qui bénéficie d’un accroissement de sa sphère d’influence et de ses prérogatives de sanction). Seuls les prestataires voient leur lot de contraintes s’accroitre.

En premier lieu, les personnes dont les données sont traitées voient leurs droits renforcer, non seulement en matière d’information (la durée de conservation des données sera désormais portée à leur connaissance) mais également pour ce qui concerne l’exercice de leurs droits (lesquels devront, dans un souci de clarté et de simplicité, pouvoir être exercés par voie électronique) (art. 27 et 28).

De même, sont inaugurées les "directives", forme de dernières volontés numériques qui permettent à l’utilisateur de décider ce qu’il adviendra de ses données (conservation, effacement et/ou communication) après sa mort. Celles-ci peuvent être générales (et stockées sur un registre dont les modalités seront fixées par un décret à paraître) ou bien spécifiques à un ou plusieurs responsable(s) de traitement. A défaut de directives, les héritiers du défunt disposeront de cette faculté (art. 32).

Par ailleurs, l’utilisateur mineur voit l’introduction d’une procédure accélérée pour la suppression des données le concernant (quand bien même il serait devenu majeur depuis la mise en ligne), accompagnée de moyens coercitifs spécifiques que la Cnil pourra mettre en œuvre en cas d’inexécution par le responsable du traitement (art. 32).

Enfin, la diffusion de publicité contextualisée basée sur les contenus des e-mails des utilisateurs est désormais soumise à leur consentement exprès (art. 34).

Le principal renforcement des droits des utilisateurs profite aux victimes de harcèlement en ligne (happy slapping, slut-shaming et autre revenge porn), désormais réprimé par une incrimination spécifique introduite à l’article 226-2-1 du code pénal. Comme la Californie et l’Utah en 2013, pionniers en la matière, la France crée un délit ad hoc lorsqu’une atteinte à la vie privée porte sur "des paroles ou des images présentant un caractère sexuel", prévoit des condamnations pouvant atteindre deux ans d’emprisonnement et 60.000 euros d’amende (art. 33).

La Cnil quant à elle voit son périmètre d’intervention largement étendu avec l’introduction de dispositions relatives à (i) une obligation de consultation systématique pour tout projet de texte qui concerne la protection et/ou les traitements de données, (ii) la conduite de travaux de réflexions et la promotion de technologies visant à protéger la vie privée ainsi (iii) qu’une habilitation à certifier les procédés d’anonymisation (art. 29 et 30).

Enfin, l’évolution majeure de ce texte, souhaitée de longue date et votée afin d’anticiper l’entrée en vigueur du Règlement général en mai 2018, réside bien dans le montant des condamnations que la Cnil peut prononcer, lesquelles peuvent maintenant atteindre 3 000 000 d’euros (art. 33).

En somme, les acteurs les plus impactés par la mise en œuvre de cette réforme seront les fournisseurs de services en ligne qui voient non seulement mises à leur charge de nouvelles obligations (e.g., traitement accéléré des demandes de mineurs, directives post-mortem) mais qui devront également faire face à des sanctions accrues en cas de manquement.