Défilez vers le bas

Projet de loi « République numérique » : la protection de l’identité numérique

16 octobre 2015

3e et dernière partie de notre analyse, consacrée aux articles qui promeuvent la protection de l’identité numérique de la personne et l’égalité des droits des internautes sur les réseaux.

(cf. deuxième partie)

2. La protection de l’individu dans la société numérique

Ce 2e Titre du projet de loi porte sur des notions qui ont engendré de nombreux débats depuis plusieurs années, et qui ne vont pas sans paradoxes.

Premier point important, le projet pose le principe de la neutralité de l’internet. Le sujet est très vaste, objet de discussions y compris au niveau européen et intercontinental, alimenté notamment par les exigences des fournisseurs d’accès, d’une part, des contraintes techniques du réseau actuel, d’autre part, et la nécessité essentielle de préserver un internet unique et également accessible à tous.

La « neutralité du net » peut se définir comme la garantie que les opérateurs de communications électroniques (OCE, anciens « télcos ») ne discriminent pas les communications de leurs utilisateurs, et se cantonnent à leur rôle de simples transmetteurs des données. Les défenseurs de la neutralité du réseau soulignent que c’est à cette seule condition qu’internet peut rester un réseau décentralisé bénéficiant de manière égalitaire à tous, et qu’en lui portant atteinte, on permet aux « exploitants d’autoroutes » de discriminer sans justification les communications électroniques selon leur contenu, leur source ou leur destination.

En ce sens, les OCE jouent effectivement un rôle absolument essentiel dans la préservation d’un internet neutre, permettant un accès indiscriminé à l’information. Or, la tentation est grande pour un FAI de privilégier, sur la partie du réseau qu’il exploite en propre, les services qui sont produits par ses filiales, par exemple en dégradant la qualité de l’accès à certains contenus…

On peut donc regretter que la neutralité du net ne fasse pas l’objet d’une définition plus précise. L’article, qui permet au passage de toiletter le Code des communications électroniques, ne dit pas ce qu’est la finalité de cette « neutralité » ; il explique seulement qu’elle sera garantie par « le traitement égal et non discriminatoire du trafic par les opérateurs dans la fourniture des services d’accès à internet ainsi que par le droit des utilisateurs finals (…) d’accéder et de contribuer à internet (…)».

Une première pierre est posée, qui empêcherait les opérateurs d’imaginer un « internet à la carte » favorisant leurs services ou ceux de leurs partenaires, mais les affrontements passés relatifs aux questions de peering notamment, et opposant par exemple Free et Google, devraient évidemment perdurer : les FAI n’ont jamais revendiqué un « choix délibéré » de brider les services audiovisuels de Google, dans cet exemple, même si l’utilisateur final était bien obligé de constater que le service est lent, et se sont toujours réfugiés derrière des raisons techniques.

La notion est d’ailleurs renvoyée au projet de Règlement européen encore en cours de discussion au niveau européen, et consacré au marché unique des télécommunications. L’affirmation française est donc encore timide et évasive. L’ARCEP serait en charge de faire respecter la neutralité du net par les opérateurs, mais il n’existe aucun recours ouvert à tout un chacun.

Il est pourtant capital de réglementer le marché des communications électroniques afin d’éviter la prolifération d’offres différenciées qui ne seraient pas justifiées par les seules contraintes techniques du réseau, car on peut assez simplement démontrer, comme l’a fait le Conseil constitutionnel en examinant la loi Hadopi, que la connexion web effective et non-discriminatoire participe de la liberté de communication, et donc de la liberté d’expression de chacun, et par conséquent que la neutralité du net est également une garantie de la liberté d’expression.

D’ailleurs, on peut également s’interroger sur l’influence d’acteurs économiques comme Google, Facebook ou Amazon, qui conditionnent largement la liberté d’expression et qui ne sont pas soumis, par définition, à un principe de neutralité. Mais la loi évoque justement une notion de « loyauté » de ces plateformes, très intéressante (infra).

Portabilité des données

Autre impératif indispensable pour garantir le plein accès aux réseaux et l’égalité des citoyens sur internet : la portabilité de leurs données.

Ce principe, largement installé dans la téléphonie mobile, est ici transposé aux services de messagerie électronique. Les utilisateurs devront bénéficier d’une fonctionnalité simple permettant de migrer leurs données (en particulier les messages) depuis un service de messagerie vers un autre. Le projet avait un temps adopté l’exigence d’une mise à disposition des messages dans un format ouvert et standard, mais cette exigence a été remplacée par l’obligation pour les fournisseurs de proposer cette option à leurs clients. Les fournisseurs de messagerie devront également maintenir l’accès de leurs clients à leurs messages pendant 6 mois à compter de la résiliation ou désactivation du service.

Il ne s’agit pas tant ici de portabilité des données que de transférabilité des messages emails, ce qui est nettement plus restreint. S’agissant plus généralement des fichiers et données de l’utilisateur, l’article 12 du projet impose aux fournisseurs de proposer à leurs clients une fonctionnalité de récupération de toutes les données associées à son compte utilisateur, sur le modèle des fonctions inhérentes à la plupart des services SaaS professionnels, qui limitent leur réversibilité à la restitution des données en fin de contrat.

On peut toutefois regretter que là non plus, le projet n’impose pas la restitution des données en format ouvert et standard : en l’état, le projet impose seulement aux fournisseurs d’indiquer à leurs clients si les données traitées seront récupérables et dans quel format…

Ces principes de transférabilité des messages emails d’un service à l’autre, et de récupération automatisée des données, participent donc à la fluidification des services numériques, à leur interopérabilité et donc à la liberté de choix du consommateur et à sa « mobilité numérique », mais ne sont pas aussi volontaristes qu’elles auraient pu l’être en généralisant une véritable portabilité standardisée des données chargées ou traitées par un utilisateur sur tout type de service en ligne.

Loyauté des plateformes en ligne

L’article 13 du projet est très intéressant. Imposer la neutralité du réseau aux seuls OCE risque de ne pas suffire, tant il est vrai que certaines plateformes, par leur succès populaire mondial, conditionnent également la liberté d’expression des internautes.

Certes, il s’agit d’entreprises privées, souvent de droit américain, qui ne constituent en aucun cas des services publics français ou des « facilités essentielles » permettant d’imposer à un prestataire privé des responsabilités liées à l’intérêt général.

Mais il est difficile de ne pas faire le constat que les politiques commerciales et contractuelles des « titans du web » façonnent dans les faits ce qu’est la liberté d’expression en ligne. En France, de nombreuses affaires tels que les hashtags antisémites sur Twitter, ou les « dérapages » récurrents de certains amuseurs publics ou politiciens polémiques, illustrent les abus commis par certains prestataires privés, ou plus généralement les difficultés à appliquer des lois nationales à un phénomène par nature international.

L’article 13 tente de saisir ce qu’on appelle usuellement les GAFA, ou tout au moins une partie, en visant les « activités consistant à classer ou référencer des contenus, biens ou services proposés ou mis en ligne par des tiers (…)» soit les moteurs de recherche de type Google, Yahoo ou Bing, les sites de vente en ligne tels qu’Amazon, les places de marché et sites d’intermédiation tels qu’eBay, les réseaux sociaux comme Facebook ou Google, etc., pour leur imposer une « obligation de loyauté » envers leurs clients.

Cette loyauté se traduirait en réalité par l’obligation pour ces plateformes de « faire apparaitre clairement l’existence éventuelle d’une relation contractuelle ou de liens capitalistiques avec les personnes référencées, l’existence éventuelle d’une rémunération des personnes référencées et le cas échéant l’impact de celle-ci sur le classement des contenus et des services ». C’est donc une obligation de transparence, sous contrôle d’une autorité administrative.

A titre d’exemple, Google devra préciser qu’elle possède Youtube ou Blogger dans le cas où ces services apparaissent dans son moteur de recherche. Un site de voyages devra indiquer si les premières offres qu’il propose sont sponsorisées par un partenaire, etc.

Il est toutefois peu probable que ces obligations tarissent les controverses liées au non-respect, par les plateformes mondiales (qu’il est déjà difficile d’assujettir à l’impôt national), de la protection des données personnelles de leurs utilisateurs. Les bras de fer successifs entre Google et les CNIL européennes, montrent qu’il faudra plus que l’instauration d’une communication transparente pour rétablir une forme d’équilibre dans les contrats d’adhésion que constituent les conditions générales d’utilisation de tous ces services.

On touche là pleinement aux tensions entre protection de la vie privée et autonomie des utilisateurs, d’une part, et modèles business fondés sur l’analyse comportementale et l’exploitation de la donnée d’autre part. En la matière, c’est d’abord des utilisateurs eux-mêmes que doivent émaner les exigences de loyauté et de respect de la volonté individuelle, en refusant d’adhérer aux plateformes trop intrusives ou abusives.

Information des consommateurs

Toujours dans le cadre de la transparence due aux utilisateurs, le projet de loi impose aux e-commerçants de préciser si les avis de consommateurs publiés en ligne ont été vérifiés par le site exploitant et selon quels critères. Le but est que l’internaute puisse non seulement évaluer un produit ou un service en ligne en se référant aux avis des internautes, mais également la fiabilité de ces avis.

Le projet prévoit également d’améliorer l’information apportée aux utilisateurs s’agissant des débits des services de communications électroniques et des modalités d’indemnisation lorsque ces débits ne sont pas atteints. Jusqu’à présent, l’internaute qui n’est pas satisfait de sa connexion ne peut guère que manifester son mécontentement auprès de son FAI, qui lui répondra en général qu’il n’a noté aucun ralentissement particulier, ou proposera un « crédit de service » souvent dérisoire. Une compétition devrait donc s’instaurer entre FAI au niveau des compensations proposées à leurs clients en cas de non atteinte des débits affichés.

C’est une règle qui est en vigueur dans de nombreux contrats de droit privé liant les entreprises aux éditeurs SaaS et aux hébergeurs, par exemple. La notion de « niveaux de service » est souvent contractualisée, assortie de pénalités quand le taux de disponibilité du service n’est pas respecté sur un mois donné. L’idée est donc de systématiser ce mécanisme via une loi – cela dit, si les compensations proposées sont toutes dérisoires et de même niveau, l’on pourra continuer à s’interroger sur les véritables obligations que contractent les OCE en matière de qualité de service…

Protection de la vie privée en ligne

Il s’agit par excellence du sujet traité jusqu’ici par la loi du 6 janvier 1978 (ainsi de toute époque que par l’article 9 du Code civil et les articles de la loi de 1881 sur la liberté de la presse). Le projet veut poser le principe selon lequel « toute personne dispose de décider des usages qui sont faits de ses données à caractère personnel et de les contrôler, dans les conditions et limites fixées par les lois et règlements en vigueur ».

Les débats qui ont précédé le projet de loi ont longuement porté sur la perte de maîtrise, par la personne physique, de ses données nominatives dans un contexte numérique et big data. Certains avaient préconisé qu’on considère les données personnelles comme une propriété intellectuelle, en tant qu’elles sont par excellence une émanation de la personnalité… mais elles sont dénuées des autres caractéristiques du droit d’auteur et notamment de l’originalité. De plus, il ne s’agirait que d’un déplacement de la question, les droits de propriété intellectuelle d’un auteur étant très largement à la disposition des ayant-droits qui les valorisent.

Le Conseil du Numérique s’était d’ailleurs prononcé contre l’instauration d’un droit de propriété privée sur les données personnelles, pour des raisons sensées, et d’autres études plus prospectives avaient préconisé la mise en place d’infrastructures ouvertes et libres de gestion des données personnelles ou encore de « faisceaux de droits » proposant une application distributives des prérogatives de contrôle en fonction des usages.

Le projet de loi fait le choix de considérer que l’auto-détermination informationnelle sera un « droit de la personnalité », à l’instar de la vie privée, du droit à l’image ou du l’inviolabilité du domicile.

On peut y voir une affirmation, expéditive, de la notion d’« habeas corpus numérique», ou encore d’un droit à « l’auto-détermination informationnelle ». On reste toutefois dans le domaine de la pétition de principe, en raison des conditions contractuelles dans lesquelles les prestataires de services en ligne imposent aux utilisateurs, et qui disposent le plus souvent du sort des données.

Soit l’utilisateur accepte d’abandonner son « droit à l’auto-détermination informationnelle », pour adhérer au service, soit il conserve réellement la disposition de ses données, mais n’utilise pas les plateformes propriétaires qui formatent pourtant une très grande partie des activités en ligne de nos jours…

Le gouvernement affirme néanmoins que « les CGU (conditions générales d’utilisation) des sites internet qui affirment détenir un droit de propriété sur les données mises en ligne par les utilisateurs pourront être annulées », mais on ignore par qui, et surtout, on voit mal ce qui modifierait ici la problématique évoquée supra, relative au caractère international d’internet et à l’impossibilité d’imposer à des éditeurs étrangers les règles de droit adoptées en France…

Jusqu’à nouvel ordre, les droits d’accès, de rectification et d’opposition instaurés par la loi de 1978 demeurent les seuls droits réellement opposables par la personne physique, et on sait qu’il faut s’armer de patience si on veut les faire valoir auprès d’un fournisseur étranger. Les systèmes mis en place pour remédier à cette difficulté n’ont pas fait la preuve de leur efficacité, ni même de leur pérennité…

Les missions de la CNIL

La loi devrait faire évoluer les missions de la CNIL, sous réserve toutefois des changements qui seront introduits en la matière, tôt ou tard, par l’adoption d’un Règlement européen unique relatif à la protection des données personnelles.

La CNIL aurait donc pour mission complémentaire de « soutenir le développement des technologies protectrices de la vie privée » et de « conduire une réflexion sur les problèmes éthiques et questions de société soulevés par l’évolution des technologies numériques ». D’aucuns mesurent le paradoxe, voire l’hypocrisie qui résident dans cette affirmation, quelques semaine seulement après l’adoption d’une loi consacrée au « renseignement », qui a justement instauré des dispositifs de surveillance générale échappant à tout véritable contrôle judiciaire, démocratique ou indépendant, utilisés pour toutes sortes de raisons, et qui menace très concrètement la valeur constitutionnelle attachée à la vie privée…

Le texte élargit également les cas de saisie de la CNIL pour avis, mais il renforce également le pouvoir de sanction de la CNIL : son actuel article 21 prévoit que la CNIL pourra mettre en demeure le prestataire contrevenant à une disposition de la loi de 1978 de faire cesser le manquement sous 24h en cas d’urgence (on ignore toutefois ce qui pourra caractériser l’urgence et on imagine que le législateur va renvoyer ce soin au juge, cas par cas…), et pourra également appliquer des sanctions pécuniaires contre une entreprise qui perd des données personnelles.

Ce dernier point est intéressant, car il fait écho à l’obligation d’alerte qui s’impose aux hébergeurs et exploitants de données personnelles en cas de fuite ou de perte des données de leur client, et dote la CNIL d’un vrai pouvoir de sanction en cas de négligence de l’exploitant. Toutefois, en l’absence de réglementations impératives en matière de sécurisation des datacenters et réseaux de communications électroniques, on peut s’interroger sur les diligences que devront mettre en œuvre les entreprises pour échapper à ce risque.

En effet, la loi de programmation militaire du 18 décembre 2013 a créé la notion « d’Opérateur d’Importance Vitale » pour lui imposer un degré de sécurisation minimal de ses dispositifs numériques, mais les systèmes de sécurité à mettre en œuvre sont encore loin d’être définis, et on peut se demander si en matière de sécurité, il n’est pas illusoire de vouloir imposer un standard réglementaire, qui serait dépassé en quelques mois…

Le projet de loi numérique crée également un « certificat de conformité » que la CNIL pourra délivrer aux solutions et services permettant une anonymisation totale ou partielle des données personnelles. Il s’agit d’un encouragement aux systèmes de « privacy by design », qui devraient se multiplier en même temps que se déploie l’internet des objets.

Le texte crée également (i) une action collective pour les litiges impliquant des données personnelles, à la « seul » fin d’obtenir la cessation du traitement litigieux (pas d’indemnisation donc), (ii) un droit à l’oubli pour les mineurs plus systématique et justifiant la demande d’arrêt immédiat du traitement s’il porte sur une donnée identifiant un mineur (pour anticiper le « droit à l’effacement » que le futur Règlement européen devrait créer au bénéfice des mineurs, et (iii) un droit de mort numérique permettant à chacun de décider du sort de ses données personnelles après son décès, en adressant ses instructions aux responsables de traitements et/ou à la CNIL.

Ces innovations sont très pertinentes mais seront éprouvées dans les faits, en se confrontant là encore aux choix techniques et éditoriaux des prestataires étrangers, de sorte que ces questions ne seront réellement tranchées qu’avec l’entrée en vigueur du futur Règlement européen sur les données personnelles.

Certains commentateurs regrettent que le projet de loi ne soit pas l’occasion de rendre les sanctions de la CNIL réellement dissuasives, en particulier contre les acteurs web de droit étranger, en les alourdissant très significativement et en les indexant sur le chiffre d’affaires du prestataire contrevenant, seul moyen objectif d’obtenir des mises en conformité effectives de la part de firmes dont les activités comme le chiffre d’affaires sont mondiaux.

Secret des correspondances privées numériques

La jurisprudence est régulièrement confrontée à la distinction entre correspondance privée et expression publique, dans la mesure où nombre de services de communication publique en ligne effacent les frontières traditionnelles entre ces deux notions.

L’article 22 du projet de loi vise à rappeler que le secret des correspondances s’applique naturellement sur les réseaux numériques, et doit pouvoir être opposé aux technologies de traçabilité de l’internaute ou d’analyse du contenu des messages qui se sont multipliées ces dernières années.

Ainsi, à côté des bandeaux d’information et des dispositifs devant permettre à l’internaute de bloquer l’implantation des cookies qui permettent d’analyser son parcours et de lui proposer des produits ou services mesurés en fonction de ses habitudes, le projet veut réaffirmer un principe essentiel, le secret des correspondances électroniques, et les exceptions justifiées par leur environnement numérique (anti-virus, anti-spams, visualisation, etc.).

On peut toutefois s’interroger sur la mise en œuvre, en pratique, de ce principe, sur les webmails proposés par la plupart des fournisseurs du secteur, qui permettent le scan automatisé des messages dans le cadre de démarches commerciales. Comme le projet rappelle les sanctions pénales qui s’appliquent à la violation de la correspondance privée (art. 226-1 et suivants du Code pénal), sera-t-il possible de s’opposer au scan des emails par le service Gmail, et donc à l’affichage de publicités contextuelles ?

On peut aussi ironiser sur le souci de protection du secret qui semble animer le gouvernement dans ce projet de loi, qui tranche profondément avec le dispositif mis en place par la loi Renseignement, qui permet au contraire tous types d’interceptions sur tous types de messages, privés ou publics, portant sur les métadonnées, interceptions dont on sait qu’elles sont tout aussi intrusives que si elles aspiraient le contenu même des messages.

3. L’accès de tous au numérique

Dans le cadre de la transformation numérique de la République, il est nécessaire de veiller à ce que le principe fondamental d’égalité soit respecté et appliqué. Le troisième titre du projet de loi traite donc des questions de l’accessibilité du numérique, du droit au maintien de la connexion, du déploiement des services numériques sur les territoires, etc.

On dénombre notamment :

  • Le développement des usages numériques dans les territoires (art. 23) : il s’agit de renforcer le rôle des collectivités territoriales dans le déploiement du très haut débit, dans le cadre du Schéma Directeur Territorial d’Aménagement Numérique (SDTAN) ;
  • La publication en Open Data par l’ARCEP (art. 24) des données permettant d’établir les cartes de couverture du territoire par les OCE ;
  • La promotion du « recommandé électronique» (art. 26), en fonction des autorisations délivrées par l’ARCEP aux prestataires qui répondront aux conditions d’intégrité du message et d’identification des émetteur et récepteur ;
  • La promotion des « paiements par SMS» pour l’achat de fichiers numériques ou vocaux, ainsi que pour les dons aux associations caritatives ;
  • l’obligation de mise en accessibilité des services publics, des services clients et des offres de communications électroniques (art. 28), en modifiant la loi du 11 février 2005 relative à l’égalité des chances, pour que les personnes atteintes de handicap auditif puissent accéder aux services de téléphonie et de traduction audiovisuelle lorsqu’ils contactent l’administration ;
  • l’obligation pour les sites web de l’Etat, des collectivités locales et des établissements publics, d’afficher une mention exposant le niveau d’accessibilité (sous peine d’amendes) et de fournir un plan pluriannuel de mise en conformité desdites sites et applications mobiles aux règles du RGAA ;
  • le maintien (temporaire) d’une connexion internet minimale en cas de non-paiement des factures par les personnes les plus démunies, qui instaure un accès social garanti à l’instar de ce qui existe déjà pour les ressources essentielles comme l’eau, l’électricité, le gaz et le téléphone.

4. Conclusion sur le projet de loi en son état de rédaction

Le projet de loi « République numérique » porté par Axelle Lemaire constitue un texte volontaire, qui promeut certains principes qui sont depuis longtemps mis en œuvre par les internautes et les entreprises, et qui entend inscrire dans le marbre légal certaines notions indispensables comme la neutralité d’internet, les biens communs ou encore l’auto-détermination informationnelle.

On peut toutefois reprocher au texte de trop s’en tenir aux principes, et de ne pas pousser certaines réflexions à leurs conclusions, ou de ne pas réellement créer les outils pour assurer l’autonomie numérique de l’individu, le respect de ses choix pour ses données personnelles ou encore la protection effective des biens communs contre les tentatives de réappropriation.

On peut aussi déplorer le caractère restreint des thématiques qu’il aborde, en s’en tenant essentiellement aux données personnelles (objet d’une loi ad hoc et d’un futur Règlement européen qui rebattra les cartes), et donc sans aborder de front les questions relatives à l’exploitabilité juridique des données, le développement du big data et la nécessaire différenciation entre données personnelles et données techniques non identifiantes, afin que dans la future République Numérique, les entreprises françaises puissent réellement exploiter les gisements informationnels (qui sont de toutes façons largement exploités par les mastodontes du web), tout en respectant véritablement la vie privée et les données personnelles des individus (ce dont se passent tout aussi largement les susmentionnés mastodontes).

Au-delà, le projet de loi achoppe bien entendu sur les points classiques qui limitent souvent, malheureusement, la portée de toute législation nationale consacrée au numérique :

  1. il est beaucoup question de sécurité informatique, mais cet enjeu, désormais central et essentiel pour protéger la population et le secret d’affaires des entreprises, est extrêmement difficile à traduire en obligations légales : la sécurité informatique est, par définition, une course sans fin entre techniques d’intrusion et dispositifs de protection, qu’il est illusoire de figer dans un décret ;
  2. la sécurité informatique, la transparence des opérateurs, le contrôle des autorités administratives indépendantes, ne sont rien si la législation n’assortit pas ses obligations de véritables sanctions, qu’il s’agisse de violations des données personnelles ou d’entraves à la libération des données ;
  3. les principes énoncés sont issus d’une tradition législative et républicaine continentale, qui diverge des conceptions étrangères, et notamment américaines, et qui entraînent donc nécessairement des écarts entre les règles adoptées sous nos latitudes, et celles auxquelles se soumettent les grands acteurs du web : le caractère international d’internet implique donc nécessairement de penser ces évolutions à l’échelle au moins européenne, au mieux mondiale, et en la matière, beaucoup de chemin reste à faire, et les prochains Règlements européens seront décisifs en la matière ;
  4. la volonté de protéger efficacement les citoyens/internautes face aux abus de certains opérateurs, et d’assurer une forme d’« habeas corpus numérique», est contredite par d’autres législations qui au contraire, fragilisent les protections institutionnelles dont bénéficiait l’individu face aux Etats…

On doit cependant saluer une vraie démarche d’ouverture des données publiques, dont la collecte et/ou la génération sont financées par l’impôt, et doivent logiquement bénéficier à l’ensemble de la collectivité nationale, citoyens, ménages, entreprises associations et administrations comprises, qu’il restera toutefois à concrétiser dans des décrets d’application.

Le texte est toutefois loin d’être finalisé : la consultation collective s’est poursuivie jusqu’au 18 octobre, après quoi le texte sera soumis aux diverses autorités concernées (ARCEP, CNIL, Conseil d’Etat…). Il doit en principe être remanié pour prendre en compte les contributions (jusqu’à quel point ?…), puis soumis aux arbitrages de l’exécutif, avant d’être présenté aux parlementaires. Il était donc important de se pencher sur la première publication de ce texte, tout comme il est important de suivre les évolutions qu’il va connaître dans les prochaines semaines et prochains mois.

ds
Publications

Parcourez la très grande variété de publications rédigées par les avocats DS.

ds
ds
À la Une

Suivez la vie du cabinet, ses actions et ses initiatives sur les 4 continents.

ds
ds
Événements

Participez aux évènements organisés par DS Avocats à travers le monde.

ds