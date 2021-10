• Consécration de l’open data comme facteur d’innovation

« L’ouverture des informations numériques produites par les pouvoirs publics, les acteurs privés et l’ensemble des usagers du net est un puissant catalyseur d’innovation et de développement économique. Elle contribue à la démocratisation et à la vitalité de notre société » (exposé des objectifs de la loi).

Fort de cet objectif, les articles 1 à 7 de l’avant-projet consacrent définitivement les principes d’accès libre, de diffusion obligatoire et de réutilisation libre des données produites par les administrations dans le cadre de leur mission de service public.

L’avant-projet modifie la loi n° 17 juillet 1978 portant amélioration des relations entre l’administration et le public et transposant la directive européenne du 26 juin 2013 révisant la directive 2003/98/CE concernant la réutilisation des informations du secteur public. Néanmoins, ce n’est pas le seul projet de texte qui transpose cette directive. Un projet déposé (Fonction publique : gratuité et réutilisation des informations du secteur public) précédemment par Mme Valter, Secrétaire d’État chargée de la réforme de l’État et de la simplification, est en cours de discussion à l’Assemblée nationale. Certaines associations, qui défendent l’idée d’un Gouvernement numérique totalement ouvert, contestent que la combinaison de ces deux textes ne réponde pas encore aux attentes liées à l’ouverture de certains fonds : jurisprudence, données culturelles, données de transport, données de santé. Parfois des redevances sont prévues, parfois des systèmes de fond de concours faisant exception à ces projets de lois ne sont pas remis en cause par ceux-ci, et parfois c’est l’accessibilité même qui n’est pas encore obtenue.

Dans le cadre d’une « économie du savoir » portée par le projet de loi, les articles 8 et 9 sont à suivre. Ces articles créent la notion de domaine commun informationnel, une vision élargie et combinée du Domaine public immatériel consacré par le Code de la Propriété Intellectuelle et du Code de la domanialité publique. Ainsi des « communs » sont consacrés parmi lesquels on retrouvera les droits de propriété intellectuelle et industrielle dont la protection légale a expiré, ainsi que les idées et méthodes publiquement divulguées, dans le respect du secret industriel et commercial notamment.

Toujours dans un esprit d’accessibilité aux données, les recherches financées pour tout ou partie par des fonds publics de l’État pourront désormais être mises à disposition gratuitement sous forme numérique dans une base de données publiques et libre d’accès des travaux scientifiques. Cette dernière disposition met la France en conformité avec le projet Horizon 2020 ouvert depuis plusieurs années par l’Union Européenne.

Enfin le NIR, numéro de sécurité sociale qui est une donnée de santé dite « sensible » pourra faire l’objet d’un traitement anonymisé et encadré, aux seules finalités de statistique publique, recherche scientifique ou historique.

• Environnement ouvert et neutralité de l’internet

Le principe de « neutralité de l’internet » qui a fait couler beaucoup d’encre fait sa grande apparition législative. L’objectif de la neutralité est d’éviter que les opérateurs puissent favoriser certains services, ou restreindre l’accès des utilisateurs, en bridant l’accès à certains contenus ou services en ligne, et ce, en dehors des préconisations légales.

Ainsi le projet de loi définit la neutralité de l’internet comme permettant de garantir un « traitement égal et non discriminatoire du trafic par les opérateurs dans la fourniture des services d’accès à Internet ». Cette neutralité garantit également le droit des utilisateurs, « d’accéder et de contribuer à Internet ». Concrètement, un fournisseur d’accès à internet (FAI) ne pourra pas réduire arbitrairement la bande passante accordée à une plateforme telle que YouTube/Dailymotion, tout en favorisant d’autres sites partenaires.

Au terme du projet de loi, l’ARCEP (Autorité de Régulation des Communications Electroniques et des Postes) sera logiquement l’autorité compétente pour mettre en demeure les fournisseurs ou exploitants ne se conformant pas à ce principe.

• Droit à la portabilité des données

L’obligation de garantir la portabilité des données, est étendue à tous les prestataires de données numériques. En effet, le projet de loi, consacrant une jurisprudence récente, introduit cette portabilité qui concerne tous les services de courrier électronique (mail), mais aussi à tous les fournisseurs d’un service de communication au public en ligne (réseaux sociaux, plateforme d’intermédiation…). Le fournisseur de service doit proposer gratuitement une fonctionnalité permettant la récupération des données conservées par l’utilisateur, et leur transfert vers un autre prestataire éventuel.

Ces dispositions vont également concerner les professionnels en vertu du nouvel article. L. 121-122 du Code de la consommation ce qui est louable. En effet, si les plus grandes entreprises peuvent négocier la portabilité dans leurs contrats de prestation informatique, les PME sont souvent démunies dans leur négociation face aux géants du web. Néanmoins inclure cette disposition pour les professionnels au sein du code de la consommation est contestable et ne va pas dans le sens de sa cohérence pourtant réclamée.

• Loyauté des plateformes

Le projet introduit la notion de loyauté des plateformes, créant, à la charge des acteurs du numérique (opérateurs, fournisseurs de service de communication en ligne…) une obligation de transparence (« information loyale, claire et transparente »). Cette transparence vise les modalités de référencement des biens et services, ainsi que les liens contractuels ou capitalistiques entre les plateformes et les personnes référencées.

Dans la pratique, si cette disposition est adoptée, les moteurs de recherche ou les market place rémunérés par des sociétés afin de mieux référencer leurs résultats, produits ou services, devront faire œuvre de transparence pour l’utilisateur de la plateforme. Le texte dispose que les modalités et conditions de référencement, déréférencement ou classement doivent apparaître dans les Conditions générales d’utilisation (CGU). Cette disposition méritera des éclaircissements sur la typologie des informations exigées. En tout état de cause, l’algorithme de référencement, point crucial pour Google et son écosystème, ne semble pas concerné. Enfin, les conditions d’intermédiation des plateformes devront également être transparentes.

Une « Autorité administrative » sera en charge de veiller au respect par les plateformes de l’application du droit à l’information des consommateurs. Néanmoins son pouvoir se cantonnera à émettre des recommandations et bonnes pratiques, la DGCCRF restant compétente pour diligenter des contrôles et prononcer des sanctions.

• Régulation des avis en ligne

Dans cet esprit de loyauté, les sites permettant la publication d’avis en ligne sont également soumis à l’obligation de préciser si les avis fournis ont fait l’objet d’une modération, et auquel cas, de quelle nature. Le but est de permettre au consommateur d’évaluer la fiabilité des informations fournies, et d’apurer peu à peu les « faux avis » présents sur les plateformes.

• Secret des correspondances numériques

Par un audacieux alinéa « le traitement automatisé d’analyse de contenu » est couvert par le secret des correspondances, ce qui revient à prohiber la pratique du Scan mail à visée publicitaire.

Cet article fera sans doute l’objet de vifs débats, cette pratique à visée publicitaire étant réalisée par de nombreux réseaux sociaux ou services de messagerie à des fins lucratives.

Le projet n’est pas non plus clair sur les exceptions permettant le traitement automatisé d’analyse de contenu, l’adverbe « malveillant » pouvant être interprété dans sa traduction anglaise (« malware) aux seuls programmes « espions », ou au contraire de manière beaucoup plus extensive à la détection du contenu délictuel. Dans ce dernier cas, cela priverait l’article de sa substance en permettant une surveillance préventive généralisée. Ici, le consensus voudrait que soit probablement introduit par la suite en cohérence avec l’article 5-I-7° de LCEN un droit de surveillance automatisée rattaché à l’intérêt général de la répression des infractions des plus graves : des crimes contre l’humanité, de l’incitation à la haine raciale ainsi que de la pornographie enfantine.

• Données personnelles : nouveaux droits pour les particuliers et pouvoirs pour la CNIL

Afin de garantir une meilleure protection des données personnelles des utilisateurs de services de communication en ligne, l’avant-projet de loi propose des nouveaux droits pour les utilisateurs, et plus de pouvoirs pour la CNIL.

Concernant la création de nouvelles prérogatives pour les utilisateurs, l’avant-projet de loi introduit pour la première fois dans un texte normatif français la notion de « droit à l’oubli » pour les mineurs. Plusieurs exceptions sont posées dont notamment celle de la liberté d’expression et d’information. Cette disposition, si elle va dans le sens du droit au déréférencement initié par la décision de la CJUE du 13 mai 2014 et appliquée par plusieurs décisions internes françaises, est néanmoins fortement bornée « aux seules personnes mineures ». L’avant-projet ne manque pas de préciser que ces dispositions s’appliqueront sous réserve de la version finale du Projet de règlement européen qui donnera un cadre attendu à ce droit à l’oubli qui est actuellement assez contesté et insécurisant pour les acteurs du web.

Toujours s’agissant des droits ouverts aux utilisateurs, une disposition pose plus de questions quant à sa traduction pratique, pour les responsables de traitement : le traitement de données de personnes décédées. L’article 20 du projet de loi met en place le droit pour toute personne, de définir des directives quant au sort de ses données personnelles après sa mort. Grâce à ce dispositif, une personne de confiance, choisie par l’auteur des directives, peut exercer les droits de ce dernier, prévus par la loi Informatique et Libertés. Cette personne de confiance aura qualité, lorsque la personne est décédée à « prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés ».

Certaines de ces directives, concernant le sort de données désignées, sont enregistrées directement auprès du responsable « tiers de confiance » certifiés par la CNIL.

Concernant les missions de la CNIL, celles-ci étaient, dans la version antérieure du projet de loi, élargies. Il avait été envisagé que la CNIL soit consultée « obligatoirement » pour tout nouveau projet de loi ou décret concernant des « dispositions relatives à la protection des données à caractère personnel ou au traitement de telles données ». Cette disposition n’a pas survécu dans l’actuel article 17 de la dernière version de l’avant-projet, la consultation à l’initiative du Président d’une des Assemblées parlementaires devenant facultative (« peut »).

Enfin, la disposition concernant la publication d’avis à l’initiative de la Commission a été retirée du projet. Les avis restent donc soumis à une demande préalable des autorités compétentes, comme le Premier Ministre par exemple.

S’agissant des procédures de sanctions de la CNIL, le délai sous lequel il peut être demandé de faire cesser un manquement à la loi Informatique et Libertés a été raccourci. Selon le projet de loi, lorsque le responsable d’un traitement ne respecte pas ses obligations, la Commission peut le mettre en demeure de faire cesser le manquement constaté dans un délai qui, en cas d’urgence, « peut être ramené à 24 heures » (article 21). Jusqu’à présent ce délai d’urgence était de cinq jours.

Concernant la nature des sanctions qui s’offrent à la CNIL, les possibilités restent sensiblement les mêmes. Il peut toutefois être souligné l’élargissement des mesures pouvant être demandées en référé auprès du juge par le Président de la CNIL, en application de l’article 45 de la loi Informatique et Libertés. Celles-ci ne seront plus seulement des mesures « de sécurité » mais « toute mesure » nécessaire à la sauvegarde des droits et libertés, en cas d’atteinte grave à ces droits.

De surcroît, l’avant-projet prévoit que « lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable », des sanctions qui peuvent être notamment pécuniaires.

Face à cette réglementation informatique et libertés de plus en plus complexe l’avant-projet de loi propose également un « accompagnement à la mise en conformité » en faveur des entreprises qui méritera des éclaircissements.

Enfin, dans le cadre de certains traitements qui nécessitent l’anonymisation (ex : jurisprudence), lorsque la CNIL aura pu constater la conformité de l’anonymisation des données personnelles traitées, elle pourra délivrer un « certificat de conformité ». Ce certificat pourra garantir aux entreprises privées des jeux de données publiques anonymisées pour évoluer dans un open data sain.

• Accès au numérique pour tous

Le projet de loi contient plusieurs articles favorisant l’accès au numérique parmi lesquelles un « droit au maintien de la connexion internet » pour les personnes en situation financière difficile est envisagé (article 30 du projet de loi).

Dans ce sens, il est proposé de modifier l’article L 115-3 du code de l’action sociale prévoyant l’octroi d’aides afin de permettre le maintien de certains services, en cas d’impayés (eau, électricité, téléphone). Les « services de communication au public en ligne » seraient ajoutés à ces services protégés.

Pour les FAI, des « restrictions dans le débit des communications ou dans le volume de données » sont toutefois envisageables dans l’attente de l’octroi d’une éventuelle aide, ainsi qu’une résiliation de l’abonnement si aucune aide financière n’est accordée par les collectivités.

Parallèlement, l’accès au numérique pour tous passe également par des dispositions en faveur de l’accès aux handicapés (article 34 du projet de loi), qui s’adresse également au secteur privé.

Pour toutes les entreprises dépassant un certain chiffre d’affaires, l’accès aux personnes handicapées est renforcé, vis-à-vis de l’accueil téléphonique. Les plateformes d’accueil doivent être accessibles aux déficients auditifs grâce à l’intervention « service de traduction écrite simultanée et visuelle ».

Pour les entreprises de téléphonie mobile, le projet de loi propose l’obligation pour les opérateurs d’inclure dans leurs offres à destination des déficients auditifs, un service de traduction écrite simultanée et visuelle, à un prix abordable.

• Quelques points qui ne figurent pas ou plus dans le projet

Les dispositions relatives à l’économie collaborative attendues par de nombreux acteurs du web n’ont pas survécu aux arbitrages interministériels. En effet, l’aspect économique et social de la question devrait plutôt relever de la « loi Macron 2 » également en cours de rédaction. Rappelons que derrière la réussite de BlaBlaCar de nombreux acteurs français se positionnent dans ce secteur qui révolutionne les usages des services. Néanmoins le cadre juridique reste très incertain et non libéralisé tant sur le plan du droit de la concurrence que sur les aspects fiscaux, et sociaux. Les récents dossiers Uber et Airbnb en sont une parfaite illustration.

Le projet prévoyait initialement d’élever au rang de loi de police la LCEN. Ainsi la LCEN aurait été applicable « aux personnes établies à l’étranger et dirigeant leur activité vers la France », avec une liste non exhaustive d’indices permettant de considérer une activité dirigée vers la France. Cette disposition ne se retrouve plus dans la dernière version du projet. En cas de procédure judiciaire, on sait que l’application de la loi française est souvent contestée par les géants du web américains, même si les juges ont tendance à l’appliquer.

Enfin, le statut des hébergeurs ne fait pas partie des enjeux abordés dans le présent projet. Un rapport du Conseil d’État de septembre 2014 préconisait pourtant la création d’un statut hybride, plus contraignant que celui de l’hébergeur, et moins que celui de l’éditeur, à destination des « plateformes » (partages de vidéos, moteurs de recherche, réseaux sociaux). En effet, ce régime fixé par en 2004 par la LCEN mériterait d’être adapté. Cette épineuse question sera sans doute harmonisée au niveau européen.

L’avant-projet subira encore des évolutions, chacun pouvant y contribuer de manière officielle jusqu’au 18 octobre. Cette faculté devrait être envisagée par les acteurs qui en contribuant en ligne pourraient se distinguer de façon innovante face à la communauté du web, le lobbying traditionnel restant la voie privilégiée de contribution pour les autres.

Henri de la Motte Rouge et Claire Aissa