Présenté en Conseil des ministres le 9 décembre 2015, le projet de loi « pour une République numérique » a été adopté en première lecture à l´Assemblée nationale le 26 janvier 2016 et au Sénat le 3 mai 2016. Le texte final de la loi a été mis au point par la commission mixte paritaire le 29 juin 2016 et adopté le 20 juillet 2016 par l’Assemblée nationale et le 28 septembre 2016 par le Sénat. La loi a été promulguée le 7 octobre 2016 et publiée au Journal officiel le 8 octobre 2016.
Axelle Lemaire, secrétaire d´État chargée du Numérique, a déclaré en ce sens que le texte de la loi fait « le pari de l´innovation ».
L´open data
L´article 1er ter de la loi prévoit que les documents administratifs communiqués par les différents acteurs publics devront être publiés « dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ».
Les articles 12 bis A et 12 bis B prévoient que les décisions de justice devront être mises à la disposition du public à titre gratuit dans le respect de la vie privée des personnes concernées. En ce sens, le Conseil national du numérique a salué, dans son avis du 3 mai 2016, l’adoption par le Sénat d’un article additionnel sur l´ouverture des données contenues dans les décisions des juridictions administratives. Cette ouverture va certainement faciliter la publicité des jugements.
Le Syntec Numérique a souligné que les dispositions de la loi relatives à l’ouverture des données publiques devraient impacter positivement les entreprises du secteur.
Les droits des personnes dans une société numérique
L´article 19 de la loi impose aux opérateurs le respect de la neutralité du Net, telle que définie par le règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert et le règlement (UE) n°531/2012 concernant l’itinérance sur les réseaux publics de communications mobiles à l’intérieur de l’Union.
L´article 32 de la loi consacre le droit à la « mort numérique » en vertu duquel « toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ». En l´absence des directives, les héritiers du défunt peuvent « accéder aux traitements de données à caractère personnel qui le concernent afin d´identifier et d´obtenir communication des informations utiles à la liquidation et au partage de la succession ». Ils peuvent aussi « recevoir communication des biens numériques ou des données s´apparentant à des souvenirs de famille ».
À l´instar du Règlement général sur la protection des données du 27 avril 2016, la loi « pour une République numérique » limite le droit à l´oubli consacré par la Cour de justice de l´Union européenne (CJUE, 13 mai 2014, affaire C-131/12, Google Spain) à l´effacement des données personnelles qui ont été collectées lorsque la personne concernée était mineure au moment de la collecte. En cas de non-exécution de l´effacement des données à caractère personnel ou en cas d´absence de réponse du responsable du traitement dans un délai d´un mois à compter de la demande, la personne concernée peut saisir la CNIL qui devra se prononcer dans un délai de trois semaines à compter de la date de réception de la réclamation.
Enfin, l’article 21 de la loi consacre le droit à portabilité des données, en vertu duquel le consommateur dispose d’un droit de récupération de l´ensemble de ses données.
L’organisation et les pouvoirs de la CNIL
Le texte de la loi ne prévoit pas la fusion entre la CADA et la CNIL. Néanmoins, la loi opère un sérieux rapprochement. En effet, le président de la CADA aura la possibilité de siéger au sein de la CNIL et vice-versa. De même, les deux institutions pourront se réunir dans un collège unique dans l´hypothèse de l’existence d’un sujet d’intérêt commun.
La commission mixte paritaire a maintenu le montant maximal des sanctions pécuniaires pouvant être infligées par la CNIL à 3 millions d´euros. Même si c´est vingt fois plus que le montant actuel, il est permis de se demander si un tel montant constitue un quantum de peine suffisamment dissuasif, d’autant plus que ce plafond ne correspond pas à celui prévu par la Règlement européen sur la protection des données du 27 avril 2016. En ce sens, le Règlement prévoit un montant de sanction de 20 millions d´euros, ou, pour les entreprises, 4% de leur chiffre d´affaires annuel mondial. Le maintien de l´écart entre les deux textes n´est que regrettable. Par conséquent, il y a fort à penser que des difficultés d´articulation entre la loi « pour une République numérique » et le Règlement relatif à la protection des données apparaissent. Enfin et surtout, une telle hypothèse attribuera une large marge d´appréciation à la CNIL quant au montant des amendes. Ce qui peut ainsi contribuer à une certaine insécurité juridique.
Les plateformes en ligne
Il faut rappeler que la loi impose aux plateformes une obligation de loyauté : elles doivent délivrer au consommateur une information loyale, claire et transparente sur les conditions générales d’utilisation de leur service et sur les modalités de référencement, de classement et de déréférencement utilisées (article 22). Si une relation contractuelle, des liens capitalistiques (entreprises appartenant à la même société mère par exemple) ou une rémunération existent entre la plateforme et les personnes référencées, la plateforme devra l’indiquer clairement.
En revanche, la définition juridique des moteurs de recherche ainsi que l´interdiction faite aux moteurs de recherche de favoriser leurs propres services ont été supprimés.
Enfin, l´obligation pour les entreprises de stocker les données personnelles des français sur le territoire de l´Union européenne a été supprimée. Le Syntec Numérique a vivement salué cette correction, puisque selon lui les notions de territoire et de localisation n´ont pas de sens lorsqu´on parle du numérique, par essence mouvant, innovant et transverse. En effet, le Syntec Numérique considère que le vrai sujet concerne le régime juridique appliqué à ces données et à leur transfert. Celui-ci a été mis à mal par l´invalidation de l´accord « Safe Harbor » et il convient de remédier à cela en adoptant rapidement le « Privacy Shield ». Ce dernier a été adopté par la Commission européenne le 12 juillet 2016.
Les décrets d´application nécessaires à l´exécution de la loi seront publiés dans les mois qui viennent. En ce sens, Axelle Lemaire a déclaré qu´elle souhaiterait « que la totalité des textes soient publiés dans les six mois qui suivront la promulgation de la loi ».