La loi n° 2016-1321 pour une République numérique du 7 octobre 2016 comporte plusieurs dispositions relatives aux données à caractère personnel, ayant des incidences pour les particuliers et les entreprises. Des mesures concrètes doivent être prises par les professionnels pour s’y conformer.

L’information renforcée des personnes concernées

La loi pour une République numérique ajoute d’abord une nouvelle obligation d’information pesant sur le responsable de traitement (article 32 modifié de la loi dite « Informatique et Libertés » du 6 janvier 1978).

Le responsable de traitement doit désormais informer les personnes concernées de la durée de conservation des données personnelles collectées, et ce, avant la collecte. Cette nouvelle obligation vise à renforcer l’information de l’utilisateur et à obtenir un consentement éclairé de sa part.

Le texte prévoit que l’information doit porter sur la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés afin de déterminer cette durée.

Pour rappel, les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte. Par ailleurs, la CNIL a défini des durées limites de conservation pour certains types de traitements (par exemple, un mois dans le cadre d’une vidéosurveillance).

Cette nouvelle disposition doit être rapprochée du nouvel alinéa 2 de l’article 1^er de la loi Informatique et Libertés qui affirme désormais un principe de maîtrise par l’individu de ses données :

« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».

Le législateur, avec ce nouveau texte et dans la lignée du nouveau règlement européen qui entrera en vigueur en mai 2018, souhaite redonner le pouvoir aux usagers sur leurs données personnelles, en les informant de façon plus complète avant le recueil du consentement.

En pratique, afin de se mettre en conformité avec cette nouvelle disposition, les professionnels devront indiquer clairement la durée de conservation des différentes données collectées, et ce avant la conclusion d’un contrat ou la collecte.

A cet égard, la CNIL conseille de mettre en place, en parallèle des CGU/CGV d’un site internet, une page relative aux données personnelles et à leur traitement, de façon à informer pleinement les personnes concernées.

Rappelons aussi que, selon la CNIL, lorsque les données à caractère personnel sont saisies au moyen d’un formulaire, les informations à fournir obligatoirement doivent l’être sur ledit formulaire.

La loi du 7 octobre 2016 instaure également une obligation pour tout prestataire de service de communication au public en ligne (éditeur de site internet, notamment) d’informer l’utilisateur du sort des données qui le concernent après son décès.

Le droit à la portabilité des données

Toujours dans cet optique « d’empowerment » numérique des utilisateurs, la loi prévoit un droit à la portabilité des données, prévu par le règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, adopté le 27 avril 2016.

La loi précise toutefois que ce droit ne sera applicable qu’à compter de l’entrée en vigueur du règlement, le 25 mai 2018. L’on peut dès lors se poser la question de l’utilité de cette disposition…

A compter de cette date, les utilisateurs d’un service en ligne auront la possibilité d’exiger d’un responsable de traitement la communication de l’ensemble des données personnelles les concernant.

Cette communication, ayant pour but principal de permettre la « réinjection » de ces données vers un autre service en ligne en cas de changement de fournisseur, elle devra se faire dans un format ouvert permettant l’interopérabilité.

Cette portabilité des données, qui équivaut à la réversibilité des données bien connue dans les contrats informatiques, notamment pour les logiciels ou systèmes d’information fournis en mode SaaS, devra par ailleurs être gratuite pour l’utilisateur.

Pourront cependant être exclues des données à communiquer, celles ayant fait l’objet d’un apport intellectuel lors du traitement par le responsable de traitement.

Le parallélisme des formes

Une autre innovation de cette loi repose sur le concept du parallélisme des formes. Pour éviter que les responsables de traitement n’imposent une procédure longue et complexe pour les demandes d’accès, de révision ou de suppression des données personnelles, le nouveau texte oblige à la simplification.

Désormais, lorsque les données personnelles ont été collectées en ligne, les responsables de traitement doivent offrir la possibilité de les vérifier, de les modifier ou d’en demander la suppression via une procédure en ligne.

L’article 58 de la loi pour une République numérique prévoit cependant que cette nouvelle disposition sera abrogée lors de l’entrée en vigueur du nouveau règlement européen relatif aux données à caractère personnel, le 25 mai 2018, qui ne prévoit pas cette obligation de parallélisme des formes.

Le renforcement de la protection des mineurs : un droit à l’oubli spécifique

Le texte introduit dans la loi Informatique et Libertés (article 40) un droit à l’effacement accéléré des données collectées pendant la minorité.

Cette nouvelle procédure, conçue notamment pour les données publiées par des mineurs sur des plateformes ou réseaux sociaux, se distingue du droit à la rectification ou suppression des données (erronées, périmées, obsolètes…) ou du droit à l’oubli propre au référencement dans les moteurs de recherche, notamment quant aux délais.

Le responsable de traitement doit apporter une réponse dans les meilleurs délais et au plus tard sous un mois. A défaut, la CNIL peut être saisie et doit répondre sous 3 semaines.

Ce nouveau droit offert aux usagers pose donc une nouvelle contrainte, quant aux délais de traitement, et les responsables de traitement devront bien identifier la nature de chaque demande, afin de répondre dans le temps imparti.

Le sort des données personnelles après la mort

Alors que la question du sort des données personnelles après la mort soulevait des difficultés (notamment pour les comptes Facebook ou sur d’autres réseaux sociaux), la loi pour une République numérique offre désormais la possibilité aux individus de déterminer à l’avance le sort de leurs données en cas de décès (nouvel article 40-1 de la loi Informatique et Libertés).

L’internaute peut désigner une personne en charge de ses données personnelles en cas de décès et définir des « directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ».

Ces directives peuvent être générales et concerner l’ensemble des données personnelles de la personne. Elles peuvent alors être enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL.

Elles peuvent également être particulières, c’est-à-dire spécifiques à un ou des traitements donnés ; dans ce cas, elles doivent être enregistrées auprès du responsable de traitement concerné.

La détermination de ces directives ne peut résulter de la seule approbation de conditions générales d’utilisation (CGU).

Au vu de ces nouvelles dispositions, les responsables de traitements doivent mettre en place une procédure permettant aux personnes concernées de leur signaler la personne qui sera en charge de leurs données en cas de décès et les directives qu’ils ont définies.

Enfin, le nouveau texte prévoit un droit de consultation par les héritiers pour les données nécessaires à la liquidation et au partage de la succession, sauf mention contraire dans les directives établies le cas échéant par le défunt.

Les héritiers auront également, sous cette même réserve, le droit d’exiger de la part d’un responsable de traitement qu’il prenne en compte le décès de la personne, procède aux mises à jour nécessaires et à la clôture du compte.

Renforcement du pouvoir de sanction de la CNIL

Enfin, la loi pour une République numérique accroît les pouvoirs de sanction pécuniaire de la CNIL. Celle-ci peut désormais prononcer des « amendes » allant jusqu’à 3 millions d’euros contre 150 000 euros auparavant.

Le pouvoir de sanction pécuniaire de la CNIL sera de nouveau révisé en 2018, le nouveau règlement européen sur les données personnelles prévoyant des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial de l’entreprise en cause.

Compte tenu de l’importance accrue des risques encourus, les professionnels et responsables de traitement devraient être incités à mettre en conformité sans tarder leurs procédures en matière de données personnelles.