Rendre effectif le droit à la portabilité des données tout en évitant le risque d'une sur-régulation contre-productive. C'est dans cet esprit que l’Assemblée nationale a adopté plusieurs amendements au projet de loi pour une République numérique. Ce texte impose aux fournisseurs de services en ligne de proposer aux consommateurs, particuliers ou professionnels, une fonctionnalité gratuite permettant de récupérer ses courriels, ses fichiers mis en ligne et ses données liées au compte d'utilisateur (voir article 21 du projet de loi). Cette fonctionnalité ne doit pas, cependant, porter « préjudice aux dispositions protégeant le secret en matière commerciale et industrielle et des droits de propriété intellectuelle ».
Les députés bornent ainsi le périmètre des data résultant de l’utilisation du compte utilisateur du consommateur. Ce dernier pourrait récupérer uniquement les données consultables en ligne par lui. Seraient donc exclues les « données hybrides ou enrichies » qui résultent « du savoir-faire de l’entreprise qui gère le service, comme les classements, les listes de lecture ou les profils suggérés ou associés aux recherches, les conseils personnalisés, les listes d’amis, etc ». Le but est d’éviter que ces data permettent d’alimenter un service concurrent « qui n’aura à fournir d’autre effort que de les exploiter en l’état », justifie l'exposé de l'amendement. D’autant que le consommateur souhaite prioritairement pouvoir récupérer des données « visibles », estiment les parlementaires. Une exception toutefois : la portabilité serait ouverte aux données dont « la récupération est pertinente pour le changement de fournisseur dans un secteur économique et industriel ». Par exemple, un historique de consommation d’énergie.
Le champ d'application du droit à la portabilité de ce texte est donc plus large que celui prévu par le règlement européen en cours de discussion à Bruxelles, lequel ne parle que de données personnelles. Lors des débats, certains députés ont déploré une « surtransposition franco-française ». Axelle Lemaire, secrétaire d'État au numérique, a quant à elle assuré que ce cadre juridique « n’évoluera pas quelle que soit la suite donnée au règlement européen » (voir également notre interview).
Parmi les autres dispositions phares du projet de loi, figure la transmission de données des entreprises à l’Insee (voir article 12 du projet de loi). Ces dernières devront communiquer par voie électronique « les informations présentes dans les bases de données qu'elles détiennent », à des fins statistiques dans certains cas précis (voir également notre article). Face aux craintes de certaines parties prenantes, l’Assemblée apporte quelques garanties. Il est précisé que la transmission des informations statistiques envoyées par voie électronique se ferait de façon « sécurisée », afin de « protéger la transmission des données sensibles », explique l'auteur de l'amendement. Egalement, les données ainsi transmises ne pourraient faire l’objet d’aucune communication « de la part du service dépositaire ».
De plus, les données seraient détruites après leur exploitation et leur traitement par la statistique publique, sur concertation avec les personnes morales sollicitées. « Il est nécessaire que ces données ne puissent pas être ré-exploitées à d’autres fins que celles de l’enquête pour laquelle elles ont été transmises », justifient les députés. D'autant que ces données - périssables - pourraient ne pas être pertinentes voire source d’erreurs.
L’Assemblée renforce aussi l’obligation de loyauté des plateformes en ligne et par là-même l'information du consommateur (voir article 22 et suivants). Une « signalisation explicite » serait obligatoire pour faire apparaître « clairement » l’existence de rémunérations directes par les personnes morales référencées, de liens capitalistiques « dès lors qu'il[s] influence[nt] le classement des contenus », et de relations contractuelles « dès lors que le contrat sous-jacent contient des dispositions relatives au classement des contenus ».
A noter, également, le souhait des députés d'une obligation de loyauté à caractère extraterritorial. Elle serait imposée « aux personnes physiques ou morales exerçant à titre professionnel établies sur le territoire français ou sur le territoire d’un État membre de l’Union européenne ou qui, sans être établies sur le territoire français ou sur le territoire d’un État membre de l’Union européenne, dirigent par tout moyen leur activité vers le territoire français sur lequel le consommateur a sa résidence habituelle ou causent un dommage à un consommateur sur le territoire français ». L'amendement, qui en est à l'origine, revendique sa conformité avec les règlements Rome I et Rome II.
Pour les plateformes dont l'audience est importante, des modifications ont également été opérées par les députés. Elles n'auraient plus qu'à élaborer des bonnes pratiques de loyauté consultables par les consommateurs et seraient, ainsi, exemptées de la mise en place d'indicateurs publics en la matière (voir également notre interview). L'obligation d'élaborer des bonnes pratiques, de dresser des indicateurs et de les évaluer ne serait exiger que d'une nouvelle sous-catégorie de plateformes : celles par « l’intermédiaire desquelles des contenus illicites sont susceptibles d’être diffusés à grande échelle à destination des consommateurs résidant en France ». En cas de non respect des obligations de loyauté, le principe du name & shame demeure cependant.
Enfin les députés ont opté pour la mise en place d'une plateforme expérimentale « d'échange citoyen » visant à recueillir et comparer les avis d'utilisateurs sur le respect, par les plateformes en ligne, de leurs obligations. Elle serait définie par voie réglementaire et mise en place pour une durée de 3 ans à compter de la promulgation de la loi.
Par ailleurs, un encadrement serait instauré pour les plateformes qui ont « pour objet des prestations de services proposées par des professions réglementées » (voir article 23 bis du texte). Ces opérateurs devraient recevoir un « avis conforme » de l’institution en charge de l’application des règles déontologiques de la profession. « A défaut, la plateforme ne peut pas faire référence au titre de la profession réglementée dans sa communication auprès des consommateurs », indique l'amendement qui a été adopté contre l'avis du gouvernement. Un label « qualité » attestant du respect des règles déontologiques serait délivré par l’institution de la profession réglementée.
Concernant la régulation des avis en ligne, le projet de loi prévoyait que « toute personne physique ou morale dont l’activité consiste, à titre principal ou accessoire, à collecter, modérer ou diffuser des avis en ligne provenant de consommateurs, est tenue de délivrer à ces consommateurs une information loyale, claire et transparente sur les modalités de vérification des avis mis en ligne » (voir article 24 du projet de loi). Les députés ont souhaité remplacer le terme « vérification » par celui de « contrôle » que les plateformes numériques auront donc à assurer. C'est sur un amendement du rapporteur, Luc Belot (PS, Maine-et-Loire), que cette nuance a été introduite. Elle viserait à donner de la souplesse, car prouver l'évaluation d'un avis ne serait pas cantonné à la production d'un preuve matérielle.
De plus, les opérateurs devront mettre en place « une fonctionnalité gratuite qui permet aux responsables des produits ou des services faisant l’objet d’un avis en ligne de lui signaler un doute sur l’authenticité d’un avis, à condition que ce signalement soit motivé ».
Enfin, deux modifications importantes du projet de loi concernent la protection des données personnelles (voir articles 33 bis A et B). La première vise l'introduction d'une action collective en la matière. Pressentie pour ressurgir au cours du débat parlementaire, l'action de groupe, elle, n'a pas refait surface (voir notre interview). L'action collective serait ouverte aux associations ayant pour objet la protection de la vie privée et des données personnelles, celles de défense des consommateurs agréées en France, les organisations syndicales ainsi que « toute association formée aux seules fins d’entreprendre l’action collective concernée ». L'objectif serait d'obtenir du juge judiciaire la cessation d'une violation à la loi informatique et libertés.
Le projet de loi renforce également le pouvoir de sanction de la Commission nationale de l'informatique et des libertés (CNIL) en cas de manquement à la protection des données personnelles. Ainsi le montant de la sanction susceptible d'être prononcé par la CNIL pourrait être porté à « 20 millions d'euros ou, dans le cas d'une entreprise, à 4 % du chiffre d'affaires annuel total au niveau mondial réalisé lors de l'exercice précédent celui au cours duquel le manquement a été commis, si ce montant est plus élevé ». A l'heure actuelle, la sanction est cantonnée à 150 000 € lors du premier manquement et à 300 000 € par la suite (voir article 47 de la loi du 6 janvier 1978). Souhaité par le gouvernement, « l'amendement donne les moyens répressifs à la CNIL, afin de dépasser la relative modicité des amendes qu'elle pouvait jusqu'ici infliger, largement insuffisantes face aux acteurs privés de taille mondiale comme les GAFA », précise l'exposé des motifs.
Le projet de loi pour une République numérique, tel qu'amendé, a été adopté à la quasi unanimité des députés - un seul s'est prononcé contre - hier après-midi.