18 novembre 2016
La loi pour une République numérique du 7 octobre 2016 comporte un certain nombre de dispositions relatives à la protection des données à caractère personnel, modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la « Loi »).
Certaines de ces dispositions peuvent nécessiter une adaptation des mentions d’information portées à la connaissance des personnes dont les données sont collectées (la mention « CNIL » des formulaires de collecte) et des procédures relatives à la gestion de ces données.
Sauf indication contraire, les dispositions évoquées ci-dessous sont entrées en vigueur le lendemain de la publication de la loi pour une République numérique, soit le 9 octobre 2016.
Information sur la durée de conservation
La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant doit désormais être informée de la « durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ».
La durée de conservation, qui jusqu’à présent ne figurait que dans les formalités faites auprès de la Commission nationale pour l’informatique et les libertés (la « CNIL »), doit donc désormais figurer, en complément des autres informations prévues par l’article 32 de la LOI, dans la mention « CNIL » des formulaires de collecte.
Exercice des droits d’opposition, d’accès et de rectification par voie électronique
La Loi est par ailleurs complétée d’un nouvel article 43 bis qui prévoit que si le responsable de traitement a collecté par voie électronique des données à caractère personnel, « il permet à toute personne d’exercer par voie électronique les droits prévus au présent chapitre [IV de la Loi]lorsque cela est possible ».
Cette disposition n’aura que peu d’incidence pratique s’agissant du droit à l’information, puisque les informations de l’article 32 de la Loi figurent quasi systématiquement sur les formulaires de collecte accessibles par voie électronique.
En revanche, elle implique que :
- le droit d’opposition, le droit d’accès et de rectification doivent pouvoir être exercés « par voie électronique ». Il en résulte que lorsque les données à caractère personnel sont collectées par le biais d’un site internet notamment, il conviendrait de permettre aux personnes concernées de pouvoir s’opposer, accéder ou rectifier les données via une interface du site en question ou par courrier électronique ;
- la mention « CNIL » des formulaires de collecte devra être mise à jour afin de faire référence à la possibilité pour la personne d’exercer par voie électronique ses droits d’opposition, d’accès et de rectification.
Sort post mortem des données à caractère personnel
Bien que le principe soit que les droits d’opposition, d’accès et de rectification s’éteignent au décès de leur titulaire, la Loi est complétée de dispositions visant à organiser leur exercice.
Toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données après son décès. La Loi distingue :
- les directives générales qui concerneront l’ensemble des données à caractère personnel et qui pourront être enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL et inscrit dans un registre unique dont les modalités et l’accès seront fixés par décret en Conseil d’Etat,
- les directives particulières qui concerneront les traitements de données mentionnés par ces directives et qui seront enregistrées auprès des responsables de traitement concernés.
Ces directives particulières font l’objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule acceptation de conditions générales d’utilisation.
Le responsable doit d’ailleurs informer la personne dont les données sont collectées qu’elle dispose du droit de « définir des directives relatives au sort de ses données à caractère personnel après sa mort ». La mention « CNIL » des formulaires de collecte doit donc être mise à jour sur ce point.
En l’absence de directives, les héritiers de la personne concernée pourront exercer les droits d’opposition, d’accès et de rectification dans la mesure nécessaire à l’organisation et du règlement de la succession du défunt et à la prise en compte, par le responsable du traitement, de son décès.
Il doit enfin être relevé que tout prestataire d’un service de communication en ligne doit :
- informer l’utilisateur du sort des données qui le concernent à son décès,
- permettre à l’utilisateur de choisir de communiquer ou non ses données à un tiers qu’il désigne.
Droit à l’oubli des mineurs
Le droit à l’oubli numérique est consacré par le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, d’application directe à compter du 25 mai 2018. Une application anticipée de ce principe, limitée aux mineurs, est introduite dans la Loi.
Lorsque des données ont été collectées auprès d’un mineur dans le cadre d’une offre de « services de la société de l’information »[1], celui-ci peut demander au responsable de traitement de les effacer.
Dès lors que cette demande lui est faite, le responsable du traitement :
- est tenu de les effacer « dans les meilleurs délais »,
- doit, lorsqu’il a transmise les données en cause à un tiers, prendre des mesures raisonnables pour informer ledit tiers que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.
A défaut d’exécution ou de réponse dans un délai d’un mois, la CNIL peut être saisie.
Droit de récupération des données
Le code de la consommation est complété de dispositions consacrant le droit du consommateur de récupérer l’ensemble de ses données.
Lorsque les données en cause ont un caractère personnel, la récupération s’exerce dans les conditions prévues par l’article 20 du règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27 avril 2016, auquel il est renvoyé.
S’agissant des autres types de données, tout fournisseur d’un service de communication au public en ligne doit proposer une fonctionnalité gratuite permettant la récupération d’un certain nombre de données définies par l’article L. 224-42-3 du code de la consommation.
Cette fonctionnalité doit permettre au consommateur, de récupérer par une requête unique tous les fichiers et données concernés.
Compte tenu de la lourdeur technique induite par le respect ces nouvelles obligations, elles ne s’appliqueront pas à tous les opérateurs. Un décret fixera un nombre de comptes d’utilisateurs ayant fait l’objet d’une connexion au cours des six derniers mois en deçà duquel les obligations sus-visées ne s’appliqueront pas aux fournisseurs du service de communication au public en ligne concernés.
Ces obligations entreront en vigueur le 25 mai 2018, concomitamment à l’entrée en vigueur du règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27 avril 2016.
[1] Définis dernièrement par la Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 comme tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de service.