La loi pour la République numérique "entraîne un bouleversement juridique", selon Merav Griguer
11.10.2016
Gestion d'entreprise
La loi Lemaire "pousse la transparence à son extrême". Elle renforce le devoir de loyauté des grands et des petits acteurs du web vis-à-vis de leurs utilisateurs. C'est l'une des analyses de Merav Griguer, avocate associée chez Bird&Bird.
Samedi, la loi pour une Répubique numérique a été publiée au Journal officiel. Le point sur les changements de comportement et les nouvelles obligations qui s'imposent aux entreprises.
Selon vous, la loi pour une République numérique augmente-t-elle le degré de loyauté des professionnels du web vis-à-vis de leurs utilisateurs ?
Le champ d’application du principe de loyauté et de transparence (défini à l’article L 111-7 du code de la consommation) est élargi. Il va toucher les grands acteurs du web mais également les plus petits. Il s’imposera désormais à presque tous les sites de e-commerce vendant des biens ou des services ou proposant de l’intermédiation.
Les plateformes d’intermédiation pouvaient, jusqu’à présent, se retrancher derrière une part d’opacité et ne pas révéler une partie de leur business modèle. Dorénavant, elles auront à préciser si elles sont en relation contractuelle, entretiennent un lien capitaliste ou perçoivent une rémunération des acteurs qu’elles référencent. Jusque-là, les conditions contractuelles entre l’opérateur - le site internet - et les professionnels proposés par la plateforme, n’étaient généralement pas connues des utilisateurs. Avec la loi pour une République numérique, cette relation doit désormais être révélée. Ainsi, la relation qu’entretient Uber avec ses chauffeurs ou Facebook avec les annonceurs et professionnels du référencement devra être rendue publique. De même, le fait qu’un site perçoive une commission, de la part du producteur d’un bien qu’elle référence, doit à présent être dévoilé ; la loi ne semble pas aller jusqu’à exiger d’indiquer le montant.
La loi pousse la transparence à son extrême. Elle entraîne un bouleversement juridique ; un changement des codes actuels. Ces nouvelles obligations de transparence imposées aux plateformes sont sérieuses, elles les responsabiliseront et les exposeront.
Les conditions générales d’utilisations (CGU) des plateformes seront-elles à modifier ?
Toutes les CGU devront être revues, c’est une certitude. Tant pour se mettre en conformité avec la loi République numérique qu’avec le règlement européen sur la protection des données personnelles. L’un ne va pas sans l’autre. La loi est une sorte d’introduction au droit européen qui sera applicable en mai 2018 (voir notre interview).
Seront alors à mentionner dans les CGU ce dont nous avons fait état au titre du devoir de loyauté mais aussi la durée de conservation des données à caractère personnel des utilisateurs. De nombreuses sociétés du web n’ont pas de durée fixe de conservation des données. Car elle peut évoluer en fonction de la finalité du traitement. Aussi, il n’est pas évident d’indiquer une seule et même durée de conservation. L’ensemble suppose un travail préalable d’analyse, de vérification et éventuellement de mise en place d’une stratégie qui n’existait pas jusqu’alors.
Quelles sont les sanctions auxquelles peuvent s’exposer les entreprises ?
Le défaut de transparence ou le traitement des données de manière déloyale pourront être sanctionnés au titre du code de la consommation et de la loi informatique et libertés. La loi pour une République numérique augmente les sanctions que peut prononcer la CNIL et fixe le plafond des amendes à hauteur de 3 millions d’euros. Avec l’entrée en vigueur du règlement européen en mai 2018 le plafond sera relevé à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise.
A quels types d’opérateurs la portabilité et la récupération des données stockées en ligne pourront être opposées par un utilisateur ?
L’article L. 224-42-3 du code de la consommation prévoit que « tout fournisseur de service de communication au public en ligne » (seulement ceux dont le nombre de comptes d’utilisateurs ayant fait l’objet d’une connexion au cours des 6 derniers mois est supérieur à un seuil qui sera fixé prochainement par décret) doit assurer « une fonctionnalité gratuite permettant la récupération des données ». Cette obligation visera une grande partie des plateformes sur internet qui devront permettre la récupération de tout ficher mis en ligne par le consommateur. Pour les entreprises c’est un chantier à mettre en place. Des solutions techniques appropriées devront être définies pour remplir la nouvelle obligation légale de portabilité, sans impliquer un investissement disproportionné. Le technique et le juridique auront à travailler de concert. La mise en conformité des entreprises à la loi pour une République numérique ne se fera pas en un jour.
Pouvez-vous nous donner des exemples de fichiers récupérables ?
Le profil d’un utilisateur, ses « chats », les fichiers qu’il a pu partager pourront être récupérés par la fonctionnalité gratuite mise en place par la plateforme. Il en ira de la même manière pour ses achats sur un site de e-commerce, ses vidéos partagées sur une plateforme, etc.
Quid des données utilisées au titre du profilage des consommateurs (données CRM (customer relationship management)) ?
La récupération ne signifie pas suppression des données. La portabilité est la reprise de contrôle sur ses données. C’est aussi la volonté d’obtenir leur historique, d’en obtenir copie ou archivage. Le but recherché peut être ensuite de pouvoir les donner à d’autres opérateurs.
La suppression est un autre droit protégé par la loi informatique et libertés. Si le consommateur demande la portabilité de ses données sans en demander l’effacement ou la suppression, les bases de données de CRM pourront continuer à fonctionner. Mais il est possible d’exercer son droit à la suppression des données ou de s’opposer à ce qu’elles soient traitées à des fins commerciales - sur le fondement de la loi informatique et libertés -, et ainsi à ce qu’elles figurent dans la base CRM, sauf si on est encore client et que l’on souhaite le demeurer. Les droits à l’effacement ou à la suppression des données seront renforcés dans le cadre du règlement européen.
La loi prévoit une exception à la portabilité lorsque les données ont fait l’objet d’un enrichissement significatif par l’entreprise. Que faut-il entendre par là ?
Cette exception soulèvera beaucoup de questions. Peut-on considérer qu’un algorithme, qui de manière automatique transforme et valorise la donnée pour la rendre exploitable par ailleurs, sera considéré comme un enrichissement significatif ? Je pense que oui car il y a de l’intelligence artificielle en cause. Le profilage du consommateur ou le scoring peut aussi être vu comme de l’enrichissement de la donnée. Une réflexion et des critères ont été définis par l’entreprise pour le réaliser. En même temps, la donnée appartient aux utilisateurs d’un site internet. La frontière n’est pas évidente. Il faudra mettre en balance la défense des intérêts du fournisseur et la protection des droits des consommateurs. Coté entreprise mieux vaut constituer la preuve dès à présent en conservant par exemple une trace des travaux de réflexions qui entraîneront l’enrichissement de la data. Il faut valoriser la donnée.
► Retrouvez notre dossier sur la loi.