Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique (Lien Legifrance, JO 08/10/2016)

Les principales dispositions
    La loi modifie et complète notamment le code des relations entre le public et l'administration (CRPA) et le code des postes et des communications électroniques (CPCE), ainsi que la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

    Elle comprend 113 articles répartis en trois volets, et autant de titres, outre un titre portant sur l'outre-mer.
TITRE Ier LA CIRCULATION DES DONNÉES ET DU SAVOIR (art. 1er à 39)
Chapitre Ier Économie de la donnée (art. 1er à 29)

Section 1 Ouverture de l'accès aux données publiques (art. 1er à 16)
    Le droit d'accès aux documents administratifs consacré par la loi du 17 juillet 1978 est étendu aux administrations publiques (art. 1er). Une obligation de communiquer les documents détenus par une administration sur demande d'une autre est instituée, sous réserve des dispositions des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration (CRPA), et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Les informations figurant dans des documents administratifs communiqués ou publiés peuvent être utilisées par les administrations à des fins d'accomplissement de missions de service public autres que celle pour les besoins de laquelle les documents ont été produits ou reçus. À compter du 1er janvier 2017, l'échange d'informations publiques entre les administrations de l'État, entre les administrations de l'État et ses établissements publics administratifs et entre les établissements publics précités, aux fins de l'exercice de leurs missions de service public, ne peut donner lieu au versement d'une redevance. La Commission d'accès aux documents administratifs (CADA) est compétente pour ce droit d'accès institué.

    Deux motifs pour lesquels des documents administratifs ne sont pas communicables sont réécrits dans un sens extensif (art. 2 modifiant l'art. L. 311-5 du CRPA).

    Il est spécifié que toute mise à disposition effectuée sous forme électronique de documents administratifs se fait dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé (art. 3 ajoutant l'art. L. 300-4. dans le CRPA). La publication en ligne est expressément posée comme une alternative à la communication des documents administratifs (art. 3 modifiant les art. L. 311-1 et L. 311-9 du CRPA).

    Un droit d'accès aux règles définissant les traitements algorithmiques utilisés par les administrations publiques et aux principales caractéristiques de leur mise en œuvre est institué lorsque ces traitements débouchent sur des décisions individuelles (art.4 insérant l'art. L. 311-3-1 dans le CRPA). Un décret doit en définir les conditions d'application.

    De nouvelles dispositions sont prévues quant à la publication de documents administratifs comportant des données personnelles ou des mentions couvertes par des secrets protégés (art. 5 supprimant des dispositions de l'article L. 312-1 du CRPA et article 6 insérant dans ce code les articles L. 312-1-1 à L. 312-1-3). Le motif de secret en matière commerciale et industrielle qui a pour conséquence de ne rendre communicables qu'à l'intéressé les documents administratifs, est précisé (art. 6 modifiant l'art. L. 311-6 du CRPA). Il comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles et est apprécié en tenant compte, le cas échéant, du fait que la mission de service public est soumise à la concurrence.

    Est précisé le champ de la publication obligatoire de documents administratifs, par l'État et les personnes morales de droit public ou de droit privé chargées d'une mission de service public à l'exception de celles dont le nombre d'agents ou de salariés est inférieur à un seuil fixé par décret (art. 6 insérant l'art. L. 312-1-1). Des délais de six mois, d'un an et plus, selon la nature du document administratif, sont ménagés pour permettre aux administrations de se préparer aux nouvelles obligations de publication (art. 8). La publication en ligne par défaut de documents administratifs, en particulier ceux qui ont déjà été communiqués en vertu du droit d'accès aux documents administratifs garanti par le CRPA, et les bases de données produites ou reçues par les administrations, est rendue obligatoire. Pour les collectivités territoriales, le principe subsiste de la publication en ligne par défaut pour les collectivités locales de plus de 3500 habitants.

    Les règles pour la publication de documents administratifs comportant des données personnelles ou des mentions couvertes par une obligation de secret sont indiquées (art. 6 insérant l'article L. 312-1-2 dans le CRPA). Pour les documents comportant des données à caractère personnel, leur publication ne sera obligatoire que s'ils ont pu faire l'objet d'un traitement afin de rendre impossible l'identification des personnes concernées. Une exception à cette publication est également prévue pour ce qui concerne les archives publiques.

    Sous réserve de certains secrets protégés, les personnes morales de droit public ou de droit privé chargées d'une mission de service public à l'exception de celles dont le personnel est inférieur à un seuil fixé par décret, publient en ligne les règles définissant les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent des décisions individuelles (art. 6 insérant l'art. L. 312-1-3 dans le CRPA). 

    Les cahiers des charges des éco-organismes doivent désormais prévoir les conditions dans lesquelles sont encouragées les démarches d'ouverture des données relatives au volume et à la localisation des matières issues du traitement des déchets et disponibles pour une substitution matière (article 7 complétant l'article L. 541-10 du code de l'environnement).

    L'obligation de respecter les droits de propriété littéraire et artistique est reconnue s'appliquer aux documents publiés en ligne (article 8 modifiant l'article L. 311-4 du CRPA).

    Le droit de réutilisation des informations publiques est élargi : ce droit concerne toutes les informations figurant dans des documents administratifs qui ont été communiqués ou publiés (art. 9 modifiant l'article L. 321-1). L'exception prévue pour les services publics industriels et commerciaux (SPIC) est supprimée mais ils conservent la possibilité de prévoir des redevances.

    Les droits d'accès aux documents administratifs et de réutilisation des informations publiques s'appliquent également aux documents relatifs à la gestion du domaine privé de l'État et des collectivités territoriales (article 10 insérant l'art. L. 300-3 dans le CRPA).

    Une dérogation spécifique aux droits de propriété intellectuelle du producteur d'une base de données est prévue lorsque ce producteur est une personne publique et qu'il a l'obligation de mettre publiquement en ligne cette base de données (art. 11 ajoutant l'art. L. 321-3 dans le CRPA).  Toutefois, elle ne s'applique pas aux bases de données produites ou reçues dans l'exercice d'une mission de service public à caractère industriel ou commercial soumise à la concurrence.

    Les types de licences utilisables par les administrations pour autoriser les réutilisations de données publiques à titre gratuit sont encadrés plus strictement (art. 11 complétant l'art. L. 323-2 du CRPA).

    A compter du 1er janvier 2017, la réutilisation des informations publiques produites par le service statistique public mentionné à l'article 1er de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques ne peut donner lieu au versement d'une redevance (art. 12 insérant l'art. L. 324-6 dans le CRPA). 

    Une obligation de mise à jour annuelle du répertoire des principaux documents administratifs que chaque administration doit publier est posée (art. 13 complétant l'article L. 322-6 du CRPA). Les peines d'amendes pouvant être prononcées par la CADA lorsque des informations publiques ont été réutilisées à des fins commerciales en méconnaissance des obligations de non-altération ou des conditions de réutilisation prévues par une licence délivrée à cet effet ou en violation de l'obligation d'obtenir une licence, sont considérablement alourdies (art. 13 modifiant l'art. L326-1du CRPA).

    Les missions et pouvoirs de la CADA sont élargis. Il est possible de saisir la CADA pour avis en cas de refus de publication d'un document administratif (art. 13 complétant l'art. L. 342-1 du CRPA). Une procédure simplifiée de réponse aux demandes d'avis reçues par la CADA est rendue possible (art. 13 complétant l'art. L. 341-1 du CRPA).  Le président de la commission publie régulièrement la liste des avis favorables émis par la commission. Cette liste précise le nom de l'administration concernée, la référence du document administratif faisant l'objet de l'avis, les suites données, le cas échéant, par l'administration à cet avis, ainsi que, le cas échéant, l'issue du recours contentieux.(art. 13 modifiant l'art L. 342-3 du CRPA). Enfin, il est explicitement indiqué que lorsque la commission est consultée sur un projet de loi ou de décret, son avis est rendu public (art. 13 ajoutant l'article L. 342-4 dans le CRPA).

    Une nouvelle mission de service public consistant en la mise à disposition et la publication des données de référence en vue de faciliter leur réutilisation est confiée à l'Etat et elle est parfois désignée comme le "service public de la donnée" (art. 14 ajoutant l'art. L. 321-4 dans le CRPA). Les données de référence sont une nouvelle catégorie de données publiques qui sont déjà produites par des autorités administratives pour un objet déterminé (collecte des impôts, statistique publique, etc.) mais qui sont particulièrement importantes pour l'économie et la société en raison des multiples autres usages qui peuvent en être faits. Elles sont définies par les critères suivants : 1° Elles constituent une référence commune pour nommer ou identifier des produits, des services, des territoires ou des personnes ; 2° Elles sont réutilisées fréquemment par des personnes publiques ou privées autres que l'administration qui les détient ; 3° Leur réutilisation nécessite qu'elles soient mises à disposition avec un niveau élevé de qualité. La loi renvoie à un décret en Conseil d'État le soin de préciser les modalités de participation et de coordination des différentes administrations, de fixer les critères de qualité que doit respecter la mise à disposition des données de référence, de dresser la liste des données de référence et de désigner les administrations responsables de leur production et de leur mise à disposition.

    Les conditions dans lesquelles le Conseil supérieur de l'audiovisuel (CSA) communique chaque mois aux présidents de chaque assemblée parlementaire et aux responsables des différents partis politiques représentés au Parlement le relevé des temps d'intervention des personnalités politiques dans les journaux et les bulletins d'information, les magazines et les autres émissions des programmes, sont explicitées (art. 15 modifiant l'article 13 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication). 

    Les personnes de droit public ou les personnes de droit privé chargées d'une mission de service public doivent veiller à préserver la maîtrise, la pérennité et l'indépendance de leurs systèmes d'information (art. 16). Elles encouragent l'utilisation des logiciels libres et des formats ouverts lors du développement, de l'achat ou de l'utilisation, de tout ou partie, de ces systèmes d'information. Elles encouragent la migration de l'ensemble des composants de ces systèmes d'information vers le protocole IPV6, sous réserve de leur compatibilité, à compter du 1er janvier 2018.

Section 2 Données d'intérêt général (art. 17 à 24)
    Lorsque la gestion d'un service public est déléguée, le concessionnaire a l'obligation de fournir à l'autorité concédante, sous format électronique, dans un standard ouvert librement réutilisable et exploitable par un système de traitement automatisé, les données et les bases de données collectées ou produites à l'occasion de l'exploitation du service public faisant l'objet du contrat et qui sont indispensables à son exécution (art. 17 complétant l'ordonnance n° 2016-65 du 29 janvier 2016 relative aux contrats de concession par un article 53-1). L'autorité concédante ou un tiers désigné par celle-ci peut extraire et exploiter librement tout ou partie de ces données et bases de données, notamment en vue de leur mise à disposition à titre gratuit à des fins de réutilisation à titre gratuit ou onéreux. Toutefois, il est possible pour l'autorité concédante, dès la conclusion du contrat ou au cours de son exécution, d'exempter le concessionnaire de tout ou partie des obligations précédentes par une décision motivée fondée sur des motifs d'intérêt général et rendue publique. 

    La publication en open data des données essentielles des conventions de subventions est une obligation, lorsque celles-ci dépassent un seuil déterminé par voie réglementaire (article 18 modifiant l'article 10 de la loi n° 2000-321 du 12 avril 2000).

     La statistique publique peut se voir transmettre sous forme électronique des informations issues de certaines bases de données des personnes morales de droit privé enquêtées, dans le seul but de réaliser des enquêtes statistiques obligatoires, et ce afin de simplifier des processus manuels actuels qui sont longs et coûteux (art. 19 ajoutant un article 3 bis dans la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques). Les garanties nécessaires pour protéger les données privées ainsi transmises par les entreprises à la statistique publique, sont prévues. Le ministre de l'économie a la possibilité de prononcer une amende administrative spécifique en cas de refus de transmission des données concernées.

    Les jugements des juridictions administratives sont mis à la disposition du public à titre gratuit et dans le respect de la vie privée des personnes concernées (article 20 complétant l'article L. 10 du code de justice administrative). Cette mise à disposition du public est précédée d'une analyse du risque de ré-identification des personnes.  Les articles L. 321-1 à L. 326-1 du code des relations entre le public et l'administration sont également applicables à la réutilisation des informations publiques figurant dans ces jugements. Un décret en Conseil d'État fixe, pour les jugements de premier ressort, d'appel ou de cassation, les conditions d'application du présent article. 

    Des dispositions analogues sont prévues pour les décisions rendues par les juridictions judiciaires (art. 21 complétant le code de l'organisation judiciaire par un article L. 111-13)..

    Une base de données nationale des vitesses maximales autorisées sur le domaine public routier est instituée, sous la responsabilité du ministre chargé de la sécurité routière (art. 22 complétant le code de la voirie routière par un article L. 119-1-1). Cette base de données a pour finalités de fiabiliser les informations relatives à la circulation routière et de développer des services innovants.

    Les gestionnaires des réseaux publics de distribution d'électricité et de gaz et les gestionnaires des réseaux de transport d'électricité et de gaz, en vue de permettre la réutilisation des données détaillées de consommation et de production issues de leur système de comptage d'énergie, dans l'objectif de favoriser notamment le développement d'offres d'énergie, d'usages et de services énergétiques, sont chargés : 1° De procéder au traitement de ces données dans le respect des secrets protégés par la loi ; 2° De mettre ces données à disposition du public par voie électronique, dans un format ouvert, aisément réutilisable et exploitable par un système de traitement automatisé sous une forme agrégée garantissant leur caractère anonyme (art. 23 insérant les art. L. 111-73-1 et L. 111-77-1 dans le code de l'énergie).

    Sont indiqués les destinataires auxquels l'administration fiscale transmet, soit directement, soit par l'intermédiaire d'un opérateur, des éléments d'information qu'elle détient au sujet des valeurs foncières déclarées à l'occasion des mutations intervenues dans les cinq dernières années et qui sont nécessaires à l'exercice de leurs compétences en matière de politiques foncière, d'urbanisme et d'aménagement et de transparence des marchés fonciers et immobiliers (art. 24 modifiant l'article L. 135 B du CGI). 

Section 3 Gouvernance (art. 25 à 29)
    Le collège de la Commission nationale de l'informatique et des libertés (CNIL) comprend également le président de la CADA (article 25 modifiant l'article 13 de la loi n° 78-17 du 6 janvier 1978)..

    Le membre du collège de la CADA désigné par la CNIL ne peut désormais qu'être le président de la CNIL ou son représentant (article 27 modifiant l'article L. 341-1 du CRPA). .

    Les deux commissions, CADA et CNIL, peuvent se réunir dans un collège unique, à l'initiative conjointe de leurs présidents, lorsqu'un sujet d'intérêt commun le justifie (articles 26 et 28 complétant la loi du 6 janvier 1978 par un article 15 bis et le code des relations entre le public et l'administration par un article L. 341-2).

    Le gouvernement remet au parlement, dans un délai de trois mois à compter de la promulgation de la présente loi, un rapport sur la possibilité de créer un Commissariat à la souveraineté numérique rattaché aux services du Premier ministre, dont les missions concourent à l'exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège (art. 29).

Chapitre II Économie du savoir (art. 30 à 39)
    Ce chapitre a pour objectif de développer l'économie du savoir à travers des mesures portant sur la propriété intellectuelle et sur les travaux de recherche et de statistique.

    L'accès aux résultats de la recherche publique est facilité (article 30 insérant un article L. 533-4 dans le code de la recherche). La libre diffusion des résultats de la recherche publique est favorisée en cohérence avec les recommandations du 17 juillet 2012 de la Commission européenne relatives à l'accès et la préservation des informations scientifiques, ainsi qu'avec les lignes directrices du programme-cadre de recherche européen Horizon 2020 (2014-2020). Les publications nées d'une activité de recherche financée principalement sur fonds publics peuvent être rendues publiquement et gratuitement accessibles en ligne par leurs auteurs, au terme d'un délai maximum de 6 mois pour les œuvres scientifiques suivant la première publication, même lorsque l'auteur a accordé des droits exclusifs sur la publication à un éditeur. Le délai est de12 mois pour les œuvres des sciences humaines et sociales, où le temps de retour sur investissement pour les éditeurs est plus long. La réutilisation est libre, à l'exclusion d'une exploitation dans le cadre d'une activité d'édition commerciale, qui pourrait causer un préjudice à l'éditeur. La mise à disposition s'étend à la version finale du texte transmis par l'auteur à l'éditeur avant publication, ainsi qu'à l'ensemble des données de la recherche protégées associées à la publication. La réutilisation de données issues d'activité de recherche financées majoritairement sur des fonds publics est libre, dès lors que ces données ne sont pas protégées par un droit spécifique, comme par exemple un droit de propriété intellectuelle, et qu'elles ont été rendues publiques par le chercheur ou l'organisme de recherche. La réutilisation des données ne peut être restreinte contractuellement à l'occasion de l'édition d'un écrit scientifique auquel les données seraient associées, lorsque l'écrit a été produit dans le cadre d'une recherche financée principalement sur fonds publics. Ces dispositions sont d'ordre public et toute clause contraire à celles-ci est réputée non écrite. 

    La mise à disposition des enseignements sous forme numérique peut se substituer aux enseignements dispensés en présence des étudiants afin d'offrir une formation d'enseignement supérieur à distance et tout au long de la vie (article 31 modifiant l'article L. 611-8 du code de l'éducation). Ces enseignements peuvent conduire à la délivrance des diplômes d'enseignement supérieur dans des conditions de validation définies par décret. Les enseignements mis à disposition sous forme numérique par les établissements ont un statut équivalent aux enseignements dispensés en présence des étudiants selon des modalités qui sont précisées par voie réglementaire. 

    Le réseau des oeuvres universitaires peut assurer la gestion d'aides à d'autres personnes en formation que les membres de la communauté universitaire (article 32 complétant l'article L. 822-1 du code de l'éducation).

    Le gouvernement remet au parlement, au plus tard deux ans après la promulgation de la présente loi, un rapport qui évalue les effets de l'article L. 533-4 du code de la recherche (droit de publication en ligne par l'auteur après un délai de 6 ou 12 mois) sur le marché de l'édition scientifique et sur la circulation des idées et des données scientifiques françaises (art. 33).

    De nouvelles procédures spécifiques d'accès à certaines données publiques à des fins statistiques ou de recherche publique sont créées (article 34 modifiant les articles 22, 25 et 27 de la loi du 6 janvier 1978). À la place de l'actuel régime d'autorisation par un décret du Conseil d'État en cas de demande d'accès à des données comprenant le numéro de sécurité sociale (NIR), l'article substitue un régime de déclaration à la CNIL (pour les travaux de la statistique publique) ou d'autorisation par arrêté après avis de la CNIL (pour les projets de la recherche publique). L'objectif est de simplifier l'utilisation de ces données aussi bien par les chercheurs que par les agents de la statistique publique dans le cadre de leur mission d'étude ou d'évaluation. Un décret en Conseil d'État doit fixer le cadre de ces nouvelles procédures en définissant les exigences de chiffrement et d'appariement des bases de données concernées.

    Les conditions dans lesquelles les documents administratifs non communicables deviennent communicables au terme des délais et dans les conditions fixés par les articles L. 213-1 et L. 213-2 du code du patrimoine, sont précisées (art. 36 complétant l'article L. 311-8 du CRPA). Lorsqu'une demande faite en application du I de l'article L. 213-3 du code du patrimoine porte sur une base de données et vise à effectuer des traitements à des fins de recherche ou d'étude présentant un caractère d'intérêt public, l'administration détenant la base de données ou l'administration des archives peut demander l'avis du comité du secret statistique institué par l'article 6 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. Le comité peut recommander le recours à une procédure d'accès sécurisé aux données présentant les garanties appropriées, dans des conditions fixées par décret en Conseil d'État.

    Lorsque l'oeuvre a été divulguée, l'auteur ne peut interdire les copies ou reproductions numériques réalisées à partir d'une source licite, en vue de l'exploration de textes et de données incluses ou associées aux écrits scientifiques pour les besoins de la recherche publique, à l'exclusion de toute finalité commerciale (article 38 complétant l'article L. 122-5 du code de la propriété intellectuelle). Lorsqu'une base de données est mise à disposition du public par le titulaire des droits, celui-ci ne peut interdire les copies ou reproductions numériques de la base réalisées par une personne qui y a licitement accès, en vue de fouilles de textes et de données incluses ou associées aux écrits scientifiques dans un cadre de recherche, à l'exclusion de toute finalité commerciale (art. 38 complétant l'article L. 342-3 du code de la propriété intellectuelle).

    Lorsque l'oeuvre a été divulguée, l'auteur ne peut interdire les reproductions et représentations d'œuvres architecturales et de sculptures, placées en permanence sur la voie publique, réalisées par des personnes physiques, à l'exclusion de tout usage à caractère commercial (article 39 complétant l'article L. 122-5 code de la propriété intellectuelle)..

TITRE II LA PROTECTION DES DROITS DANS LA SOCIÉTÉ NUMÉRIQUE (art. 40 à 68)
Chapitre Ier Environnement ouvert (art. 40 à 53)

Section 1 Neutralité de l'internet (art. 40 à 47)
    Les exploitants de réseaux ouverts au public et les fournisseurs de services de communications électroniques doivent respecter des règles portant sur la neutralité de l'internet (art. 40 modifiant plusieurs articles du code des postes et des communications électroniques et notamment l'art. L. 33-1). L'Autorité de régulation des communications électroniques et des postes (ARCEP) est directement chargée de veiller au respect du traitement égal et non discriminatoire du trafic par les opérateurs dans les conditions prévues par les articles 3 et 4 du règlement « marché unique des télécommunications » 2015/2120 du 25 novembre 2015. La mise en œuvre par les opérateurs des règles de gestion de trafic prévues par le règlement permettra de garantir un internet libre et ouvert sans pour autant brider les capacités d'innovation de l'ensemble des acteurs du numérique, opérateurs compris. Par ailleurs, les pouvoirs d'enquête administrative de l'ARCEP sont renforcés pour lui permettre d'assurer le contrôle du respect de ces principes. Ainsi les demandes d'informations de l'ARCEP peuvent porter non seulement sur l'acheminement mais aussi la gestion du trafic. 

    Tout utilisateur peut héberger, par les moyens qu'il entend, ses propres données, en utilisant le réseau fourni par l'opérateur de communications électroniques. À cet effet, sont interdites les mesures techniques visant à empêcher l'utilisateur d'accéder à des données stockées sur un équipement approprié et connecté directement ou indirectement à internet, via le service d'accès auquel il s'est abonné et via la « box » dont il dispose (art. 41 complétant l'art. L. 33-1 du code des postes et des communications électroniques).

    A compter du 1er janvier 2018, tout nouvel équipement terminal, au sens de l'article L. 32 du code des postes et des communications électroniques, destiné à la vente ou à la location sur le territoire français doit être compatible avec la norme IPV6 (art. 42).

    Les pouvoirs d'enquête des fonctionnaires et agents placés sous l'autorité du ministre chargé des communications électroniques et de l'Autorité de régulation des communications électroniques et des postes, agréés et assermentés, sont précisés, notamment en ce qui concerne la possibilité d'effectuer des visites des lieux professionnels de personnes exploitant des réseaux de communication en ligne, fournissant des services de communication au public en ligne ou gérant des infrastructures d'accueil (art. 43 modifiant l'art. L. 32-4 du code des postes et des communications électroniques).

    Le principe de parité entre les femmes et les hommes est appliqué à la Commission supérieure du numérique et des postes qui succède à la Commission supérieure du service public des postes et des télécommunications électroniques (art. 44 complétant l'art. L. 125 du code des postes et des communications électroniques et art. 45 modifiant plusieurs autres articles du même code).

    L'ARCEP est explicitement reconnue comme une autorité administrative indépendante et le principe de parité entre les femmes et les hommes est appliqué à ses membres (art. 46 modifiant l'article L. 130 du code des postes et des communications électroniques).

    Pour les besoins de la sécurité des systèmes d'information, l'obligation pour tout fonctionner ayant connaissance d'un crime ou d'un délit d'en informer le procureur de la République (art. 40 du code de procédure pénale) n'est pas applicable lorsqu'il transmet de bonne foi à la seule autorité nationale de sécurité des systèmes d'information une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données (art. 47 insérant l'art. L. 2321-4 dans le code de la défense). L'autorité préserve la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.

Section 2 Portabilité et récupération des données (art. 48)
    L'objectif principal est d'améliorer le fonctionnement du marché en obligeant les prestataires de services numériques majeurs, tels que le courriel et le « cloud computing », à offrir à leurs clients la possibilité de récupérer et transférer leurs données aisément. La perspective de perdre ses données ou de devoir se lancer dans une récupération manuelle de celles-ci peut en effet dissuader le consommateur de changer d'opérateur. Le code de la consommation est ainsi complété par une nouvelle sous-section (art. L. 224-42-1 à art. L. 224-42-4) prévoyant que le consommateur dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données. Sans préjudice des dispositions protégeant le secret en matière commerciale et industrielle et des droits de propriété intellectuelle, tout fournisseur d'un service de communication au public en ligne propose au consommateur une fonctionnalité gratuite permettant la récupération : 1° De tous les fichiers mis en ligne par le consommateur ; 2° De toutes les données résultant de l'utilisation du compte d'utilisateur du consommateur et consultables en ligne par celui-ci, à l'exception de celles ayant fait l'objet d'un enrichissement significatif par le fournisseur en cause. Ces données sont récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ; 3° D'autres données associées au compte utilisateur du consommateur et répondant aux conditions. Ces nouvelles obligations entrent en vigueur le 25 mai 2018.

Section 3 Loyauté des plateformes et information des consommateurs (art. 49 à 53)
    Est qualifié d'opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service (article 49 modifiant l'article L. 111-7 du code de la consommation). Tout opérateur de plateforme en ligne est tenu de délivrer au consommateur une information loyale, claire et transparente sur : 1° Les conditions générales d'utilisation du service d'intermédiation qu'il propose et sur les modalités de référencement, de classement et de déréférencement des contenus, des biens ou des services auxquels ce service permet d'accéder ; 2° L'existence d'une relation contractuelle, d'un lien capitalistique ou d'une rémunération à son profit, dès lors qu'ils influencent le classement ou le référencement des contenus, des biens ou des services proposés ou mis en ligne ; 3° La qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale, lorsque des consommateurs sont mis en relation avec des professionnels ou des non-professionnels. Les obligations existant auparavant ne seront abrogées que lorsque les nouvelles dispositions entreront en vigueur.

    Les opérateurs de plateformes en ligne dont l'activité dépasse un seuil de nombre de connexions défini par décret élaborent et diffusent aux consommateurs des bonnes pratiques visant à renforcer les obligations de clarté, de transparence et de loyauté s'imposant à tous (art. 50 insérant l'art. L. 111-7-1 dans le code de la consommation). L'autorité administrative compétente peut procéder à des enquêtes afin d'évaluer et de comparer les pratiques des opérateurs de plateformes en ligne. Elle diffuse périodiquement les résultats de ces évaluations et de ces comparaisons et rend publique la liste des plateformes en ligne qui ne respectent pas leurs obligations. La finalité est d'assurer la pleine effectivité de la mise en œuvre des principes de loyauté et de transparence.

    Dans les communes où le changement d'usage des locaux destinés à l'habitation est soumis à autorisation préalable, une délibération du conseil municipal peut décider de soumettre à une déclaration préalable soumise à enregistrement auprès de la commune toute location pour de courtes durées d'un local meublé en faveur d'une clientèle de passage qui n'y élit pas domicile (art. 51 complétant l'art. L. 324-1-1 du code du tourisme). La déclaration donne lieu à la délivrance sans délai par la commune d'un accusé-réception comprenant un numéro de déclaration. Toute personne qui se livre ou prête son concours contre rémunération, par une activité d'entremise ou de négociation ou par la mise à disposition d'une plateforme numérique, à la mise en location d'un local meublé doit publier dans l'annonce relative au local, son numéro de déclaration (art. 51 modifiant l'art. L. 324-2-1). Elle veille à ce que le logement proposé à la location ou à la sous-location ne soit pas loué plus de cent vingt jours par an par son intermédiaire lorsque le logement constitue la résidence principale du loueur. A cette fin, lorsqu'elle en a connaissance, elle décompte le nombre de nuits faisant l'objet d'une occupation, et en informe, à sa demande, annuellement, la commune du logement loué. Au-delà de cent vingt jours de location, le logement ne peut plus faire l'objet d'une offre de location par son intermédiaire jusqu'à la fin de l'année en cours. 

    Toute personne physique ou morale dont l'activité consiste, à titre principal ou accessoire, à collecter, à modérer ou à diffuser des avis en ligne provenant de consommateurs est tenue de délivrer aux utilisateurs une information loyale, claire et transparente sur les modalités de publication et de traitement des avis mis en ligne (art. 52 insérant l'art. L. 111-7-2.dans le code de la consommation). Elle précise si ces avis font ou non l'objet d'un contrôle et, si tel est le cas, elle indique les caractéristiques principales du contrôle mis en œuvre. La loi introduit une régulation des avis en ligne, qui constitue aujourd'hui une des principales sources d'information des utilisateurs.

    De nouvelles conditions de contenu sont posées quant aux nouveaux contrats conclus par un consommateur avec un fournisseur d'accès (art. 53 modifiant l'article L. 224-30 du code de la consommation). Ces obligations relatives à l'information contractuelle des consommateurs sur les débits fixes et mobiles sont prévues par le règlement « marché unique des communications électroniques » 2015/2120 du 25 novembre 2015, dont les dispositions visent à renforcer la transparence sur les pratiques de gestion de trafic, sur la qualité de l'accès à internet Ces dispositions complètent le cadre européen issu de la directive 2002/22/CE du 7 mars 2002 modifiée. 

Chapitre II Protection de la vie privée en ligne (art. 54 à 68)
Section 1 Protection des données à caractère personnel (art. 54 à 67)
    Le droit de l'individu à la libre disposition de ses données, c'est-à-dire le droit de décider et de contrôler l'usage qui est fait de ses données à caractère personnel, est consacré (art. 54 complétant l'article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).

    Des dérogations sont prévues quant aux destinataires de l'information et à l'exercice des droits prévus aux articles 56 et 57 de la loi du 6 janvier 1978 (droits d'accès, opposition, de rectification....) par les titulaires de l'exercice de l'autorité parentale, pour les mineurs, en ce qui concerne les traitements de données à caractère personnel réalisés dans le cadre de recherches ou d'études ou d'évaluations dans le domaine de la santé, ayant une finalité d'intérêt public et incluant des personnes mineures (art. 56 modifiant l'art. 58 de la loi du 6 janvier 1978).

    La durée de conservation des catégories de données traitées (ou, en cas d'impossibilité, les critères utilisés permettant de déterminer cette durée) est explicitement ajoutée au du périmètre des informations sur lesquelles le droit d'information s'applique (article 57 complétant l'article 32 de la loi du 6 janvier 1978)

    Dès lors que le responsable du traitement a collecté par voie électronique des données à caractère personnel, toute personne peut exercer par voie électronique les droits d'information, d'opposition, d'accès, et de rectification (art. 58 insérant un art. 43 bis dans la loi du 6 janvier 1978). Cette obligation existe déjà, sans conditions, pour les administrations, en vertu de l'article 4 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

    Les missions de la CNIL sont élargies et son rôle auprès des pouvoirs publics est renforcé en clarifiant les cas de saisine obligatoire sur les projets de loi et de décret (art. 59 modifiant l'article 11 de la loi du 6 janvier 1978). . Ainsi, il est indiqué qu'elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. L'avis de la commission sur un projet de loi est rendu public et outre les cas déjà prévus, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l'arrêté. Elle peut conduire une réflexion sur les problèmes éthiques et les questions de société soulevées par l'évolution des technologies. Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.

    La CNIL peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la loi du 6 janvier 1978 de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne (art. 60 complétant l'art. 11 de la loi précitée).

    L'Autorité de régulation des communications électroniques et des postes (ARCEP) peut saisir pour avis la Commission nationale de l'informatique et des libertés (CNIL) de toute question relevant de la compétence de celle-ci et réciproquement (art. 61 complétant l'article L. 135 du code des postes et des communications électroniques et l'article 11 de la loi du 6 janvier 1978).

    Le droit à l'effacement des données pour les mineurs est affirmé (art. 63 modifiant l'art. 40 de la loi du 6 janvier 1978). Le responsable de traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées lorsque la personne concernée était mineure au moment de la collecte. La loi prévoit pour ce cas de figure une procédure accélérée spécifique avec des délais réduits et une intervention plus rapide de la CNIL. En cas de non-exécution de l'effacement des données à caractère personnel ou en cas d'absence de réponse du responsable du traitement dans un délai d'un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l'informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation. Ces dispositions supportent plusieurs exceptions : elles ne s'appliquent pas lorsque le traitement de données à caractère personnel est nécessaire : 1° Pour exercer le droit à la liberté d'expression et d'information ; 2° Pour respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ; 3° Pour des motifs d'intérêt public dans le domaine de la santé publique ; 4° A des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; 5° A la constatation, à l'exercice ou à la défense de droits en justice. 

    Des dispositions relatives à la gestion des données numériques des personnes décédées, la "mort numérique", sont ajoutées dans la loi du 6 janvier 1978 (art. 62 complétant l'art. 36 et surtout art. 63 ajoutant l'art. 40 bis). Avec le développement de l'internet et des réseaux sociaux, les données mises en ligne par les internautes connaissent un fort développement. La gestion de ces données après la mort, soulève des difficultés, les héritiers n'en ayant pas nécessairement connaissance et ne pouvant y avoir accès. Le but des nouvelles dispositions est de permettre à toute personne, de son vivant, d'organiser les conditions de conservation et de communication de ses données à caractère personnel après son décès. La personne pourra transmettre des directives sur le sort de ses données à caractère personnel à la CNIL ou à un responsable de traitement et pourra désigner une personne chargée de leur exécution. Par ailleurs, les prestataires sur internet devront informer l'utilisateur du sort de ces données à son décès et lui permettre de choisir de les communiquer ou non à un tiers qu'il désigne. Le principe est que les droits ouverts s'éteignent au décès de leur titulaire mais qu' ils peuvent être provisoirement maintenus. D'une part, toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès. Les directives générales concernent l'ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés. Les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées sont inscrites dans un registre unique dont les modalités et l'accès sont fixés par décret. Les directives particulières concernent les traitements de données à caractère personnel mentionnées par ces directives. Elles sont enregistrées auprès des responsables de traitement concernés. Elles font l'objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d'utilisation. Les directives peuvent désigner une personne chargée de leur exécution. D'autre part, en l'absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès les droits dans la mesure nécessaire : 1° à l'organisation et au règlement de la succession du défunt. A ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d'identifier et d'obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s'apparentant à des souvenirs de famille, transmissibles aux héritiers ; 2° à la prise en compte, par les responsables de traitement, de son décès. A ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s'opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour. Tout prestataire d'un service de communication au public en ligne doit informer l'utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu'il désigne.

    La procédure de sanction en cas de violation des règles de protection de données à caractère personnel est réformée (art. 64 modifiant l'art. 45 de la loi du 6 janvier 1978). En cas d'extrême urgence, le délai de mise en demeure par la CNIL pourra être ramené à 24 heures. La sanction pourra même être immédiate lorsque le manquement constaté ne pourra faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure. En cas d'atteinte grave et immédiate aux droits et libertés, le juge pourra en référé ordonner toute mesure nécessaire à la sauvegarde de ces droits et libertés. Enfin, la CNIL pourra décider d'imposer aux responsables de traitements d'informer chaque personne concernée des sanctions qui auront été prononcées à leur encontre (art. 64 complétant l'art. 46 de la loi du 6 janvier 1978). 

    Le gouvernement remet au parlement, avant le 30 juin 2017, un rapport sur les modifications à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés rendues nécessaires par l'entrée en vigueur du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (art. 65).

    La Commission nationale de l'informatique et des libertés peut, à la demande d'une autorité exerçant des compétences analogues aux siennes dans un Etat non membre de l'Union européenne, dès lors que celui-ci offre un niveau de protection adéquat des données à caractère personnel, procéder à des vérifications de traitements de données personnelles par des visites de locaux professionnels (art. 66 ajoutant un art. 49 bis dans la loi1978). La commission est habilitée à communiquer les informations qu'elle recueille ou qu'elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans des Etats non membres de l'Union européenne, dès lors que ceux-ci offrent un niveau de protection adéquat des données à caractère personnel. Pour la mise en œuvre de ces disposition, la commission conclut préalablement une convention organisant ses relations avec l'autorité exerçant des compétences analogues aux siennes. Cette convention est publiée au Journal officiel.

    Lorsque les délits prévus aux articles 226-1 et 226-2 du code pénal (atteinte à la vie privée consistant en la captation, l'enregistrement, la transmission sans le consentement de la personne de paroles prononcées à titre privé ou confidentiel ou d'images prises d'elle dans un lieu privé, ou le fait de les porter à la connaissance de tiers ou du public) portent sur des paroles ou des images présentant un caractère sexuel prises dans un lieu public ou privé, les peines sont portées à deux ans d'emprisonnement et à 60 000 € d'amende (art. 67 ajoutant l'art. 226-2-1 dans le code pénal). Est puni des mêmes peines le fait, en l'absence d'accord de la personne pour la diffusion, de porter à la connaissance du public ou d'un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même.

Section 2 Confidentialité des correspondances électroniques privées (art. 68)
    Les définitions des termes portant sur les communications électroniques sont complétées par celle du fournisseur de services de communication au public en ligne comme "toute personne assurant la mise à disposition de contenus, services ou applications relevant de la communication au public en ligne" (art. 68 complétant l'art. L. 32 du CPCE). Sont notamment considérées comme des fournisseurs de services de communication au public en ligne les personnes qui éditent un service de communication au public en ligne ou celles qui assurent le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature.

    Le principe essentiel du secret des correspondances numériques est réaffirmé : il s'applique aux opérateurs et aux fournisseurs de services de communication au public en ligne permettant à leurs utilisateurs d'échanger des correspondances, ainsi qu'aux membres de leur personnel (art. 68 modifiant l'art. L. 32-3 du CPCE). Le secret couvre le contenu de la correspondance, l'identité des correspondants ainsi que, le cas échéant, l'intitulé du message et les documents joints à la correspondance. Toutefois, les traitements automatisés peuvent analyser le contenu des correspondances dans divers cas : tri, acheminement, anti-spam, anti-virus, services bénéficiant uniquement à l'utilisateur.

Suite ...

Pas de saisine préalable du Conseil Constitutionnel

Rubriques :  relations entre l'administration et les citoyens / médias, télécommunications, informatique

Commentaires
CLUZEL-MÉTAYER Lucie, La loi pour une République numérique : l'écosystème de la donnée saisi par le droit (comment. Loi n° 2016-1321 du 7 octobre 2016), AJDA, 2017, 20 février, pp. 340-349.

Voir aussi :
Décret n° 2018-347 du 9 mai 2018 relatif à la lettre recommandée électronique - Décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique


affaires-publiques.org : accueil - informations/contacts