Loi Lemaire pour une république numérique et les données personnelles : quels impacts sur le marketing ?

Martine RICOUART-MAILLET le 14 octobre 2016
photo MartineRicouartM 2

La loi Lemaire Pour une République numérique a été promulguée et est donc en vigeur depuis le 7 octobre 2016. Si sa disposition la plus remarquée est l’élévation des sanctions possibles pour la CNIL (Commission Nationale Informatique et Libertés) à 3 millions d’euros/versus 150.000 en cas de non-conformité de traitements de données à caractère personnelles, ce n’est pas la seule disposition intéressant le monde du Marketing.

La question se pose également de son articulation avec le règlement européen sur la protection des données (1) qui s’appliquera à compter du 25 mai 2018.

Les évolutions apportées à la loi informatique et libertés sont importantes : Modification de l’information dispensée aux personnes, création du droit à la portabilité des données, exercice des droits en ligne, renforcement du rôle de la CNIL, création d’un droit à l’effacement pour les mineurs, encadrement du devenir des données à caractère personnel après le décès, élévation du niveau de sanction et coopération accrue entre les autorités de contrôle, mention de la durée de conservation des données au titre des informations dispensées aux personnes concernées.

1. Le renforcement de l’information des personnes : petite modification lourde de conséquences pratiques

L’article 32 de la loi informatique et libertés est une disposition fondamentale de la loi régulièrement contrôlée et sanctionnée par la CNIL.

Cette disposition oblige le responsable de traitement à communiquer aux personnes concernées les informations relatives à l’identité du responsable de traitement, la finalité poursuivie, le caractère obligatoire ou facultatif des réponses, les conséquences d’un éventuel défaut de réponse, les destinataires ou catégories de destinataires des données, les modalités d’exercice des droits d’accès, de rectification et d’opposition et le cas échéant l’existence de transferts de données à destination d’un Etat non membre de l’Union Européenne.

En pratique, les modalités de dispense de l’information sont multiples (affichettes en magasin, mentions dans les formulaires de collecte, politique de confidentialité sur le site internet, information spécifique dans les scripts d’appels…).

Il faudra désormais  ajouter  la durée de conservation des données personnelles ou des critères permettant de la déterminer.

Pour les responsables de traitement, cette obligation d’information nécessite d’avoir une vision claire sur la durée de conservation définie pour ce traitement, ce qui n’est pas toujours le cas, mais également de respecter la durée de conservation annoncée. (Il appartiendra donc aux organismes qui collectent des données d’être vigilants sur la durée qu’ils annoncent.)

Enfin, il semble que cette mention d’information sur la durée de conservation ne doive pas figurer obligatoirement dans les formulaires de collecte. (sous réserves de la future doctrine de la Cnil sur ce point ).La  loi Lemaire renforce ainsi la dichotomie entre d’une part, les informations à fournir aux personnes au titre de la loi informatique et libertés pour lesquelles la CNIL recommande traditionnellement une page distincte des conditions générales et d’autre part, les informations à dispenser aux personnes en tant que consommateur figurant généralement dans les conditions générales de vente.

2. Le droit à la portabilité des données : une transposition étrange du règlement européen

La loi instaure à l’article L224-42-1 du Code de la consommation, un droit à la portabilité et à la récupération des données. Il s’agit pour tout consommateur de récupérer l’ensemble de ses données auprès de tout service de communication au public en ligne au moyen d’une simple requête.

Le service devra communiquer au consommateur « tous les fichiers mis en ligne par le consommateur » à l’exception des données ayant fait l’objet : « d’un enrichissement significatif par le fournisseur en cause ».
Le champ d’application du droit à la portabilité version loi Lemaire semble beaucoup plus large que celui prévu par Le Règlement Européen dès lors qu’il s’applique à « tous les fichiers mis en ligne par le consommateur » alors que le mécanisme du règlement européen ne vise que les données à caractère personnel et exclut les données ayant fait l’objet d’un enrichissement significatif par le professionnel. En opérant cette distinction, le législateur ne choisit ni la simplification des obligations pour les entreprises, ni la clarté pour les consommateurs.

On peut s’interroger ici sur la cohérence de cette précision avec le droit d’accès aux données à caractère personnel prévu par la loi informatique et libertés et le règlement européen.

Il est à noter que cette dernière disposition ne doit  entrer en vigueur que le 25 mai 2018, jour de l’application du règlement européen.

3. L’exercice en ligne des droits des personnes : une disposition vouée à disparaitre dans 2 ans

L’article 28 du projet de loi prévoit que dans l’hypothèse où le responsable de traitement collecte les données à caractère personnel par voie électronique, la personne peut exercer ses droits d’accès, de rectification et d’opposition par voie électronique.

Cette disposition intéressante répond à une pratique de certains responsables de traitement, qui pour décourager les personnes, renvoient l’exercice des droits à une adresse postale sans possibilité de pouvoir le faire directement en ligne ou par email.

4. Le renforcement des missions de la CNIL

L’avis de la CNIL est désormais systématisé pour tout projet de loi comprenant des dispositions relatives à la protection des données à caractère personnel. Enfin, parallèlement aux labels existants, la CNIL pourra également certifier des processus d’anonymisation des données. La multiplication de ce type de mécanisme de certification est une anticipation sur le règlement européen qui y consacre plusieurs dispositions (2).

5. Le droit à l’effacement pour les mineurs : une anticipation sur le règlement européen

Désormais la loi intègre un droit à l’effacement des données personnelles d’une personne physique lorsque cette dernière était mineure au moment de la collecte. Le responsable de traitement doit répondre à la demande dans un délai d’1 mois.
Cette disposition s’inscrit dans la droite ligne du règlement qui renforce les obligations d’information et de consentement pour la collecte de données concernant le mineur. Alors que le règlement européen prévoit une information renforcée et un consentement spécifique pour la collecte de données personnelles concernant des mineurs, la loi prévoit un droit à l’effacement dédié.
On peut s’interroger sur la pertinence du droit à l’effacement prévu par la loi Lemaire à partir du moment  où un droit à l’effacement généralisé à toute personne (mineur ou majeur) est prévu à l’article 17 du règlement ?

6. Le sort des données personnelles après la mort : un dispositif innovant mais complexe

Que deviennent les données à caractère personnel accumulées pendant plusieurs années sur Internet après le décès de l’individu ?  Le projet de loi tente ici de répondre à une problématique complexe à laquelle les personnes sont de plus en plus exposées.
La loi prévoit désormais la possibilité à chacun de rédiger des directives anticipées sur le devenir de ses données après sa mort.  Les directives peuvent être générales ou particulières. Elles sont enregistrées auprès des responsables de traitement concernés. De leur côté, les directives générales peuvent être enregistrées auprès d’un tiers de confiance dont la liste doit être publiée par un décret.
Le texte précise que les personnes doivent donner leur consentement à l’édiction des directives anticipées et que la seule approbation des CGU d’un site internet n’est pas suffisante.
En tout état de cause, la personne peut modifier ou révoquer ses directives à tout moment.
Enfin, la loi précise que tout éditeur d’un site Internet doit informer l’utilisateur du sort des données qui le concerne à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu’il désigne. Là encore, la modification des CGV et de la politique de confidentialité est à prévoir.

7. Trois millions d’euros en cas de manquement à la loi : un niveau intermédiaire entre le droit positif et le droit prospectif

La version actuelle du texte est un compromis. Cette version prévoit un montant des sanctions pouvant atteindre jusqu’à trois millions d’euros dans l’attente de l’application du règlement européen le 25 mai 2018.
A partir de cette date, le texte précise que les sanctions de trois millions d’euros s’appliqueront pour les dispositions qui se situent hors du champ d’application du règlement européen.

L’analyse des mécanismes proposés dans la loi démontre que les pouvoirs publics ont souhaité  anticiper l’entrée en vigueur du règlement pour certaines dispositions , cependant, les anticipations ne sont pas toujours harmonisées avec le règlement. La loi informatique et libertés devrait ainsi être abrogée en grande partie. Seules subsisteraient les spécificités françaises (ex : en matière de données de santé).
Ainsi peut-on se demander s’il n’était pas urgent d’attendre !

Edouard Verbecq       Martine Ricouart Maillet
Avocat                                Avocat Associé

 

(1) Le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été adopté le 27 avril 2016.

(2) Articles 40 à 43 du règlement 2016/679

 

Partagez
photo MartineRicouartM 2

Martine RICOUART-MAILLET

Martine RICOUART-MAILLET, Cofondatrice de BRM Avocats, dispose d’une expérience de 20 ans en droit de la Propriété intellectuelle.

L’expertise du Cabinet BRM s’est également développée en droit de la consommation, de l’informatique et des nouvelles technologies, et en matière Informatique et Libertés. Cette dernière expertise a trouvé son aboutissement dans la labellisation de la procédure d’audit Informatique et Libertés décernée par la CNIL le 9 Janvier 2014 au Cabinet BRM Avocats.

Martine RICOUART-MAILLET est également investie dans de nombreuses Associations. Elle est Vice-Présidente de l’AFCDP (Association Française des correspondants à la protection des données à caractère personnel), et membre d’Associations professionnalisantes autour de la sécurité des systèmes d’information et du marketing direct.

Elle est chargée de cours à la Sorbonne et au Mastère Spécialisé Informatique et libertés de l’ISEP.

www.brmavocats.com
https://fr-fr.facebook.com/pages/BRM-Avocats/120595024787490
https://twitter.com/brm_avocats