Aujourd’hui, le Conseil d’État publie son étude annuelle portant cette fois sur le numérique et les droits fondamentaux. Avant de plonger prochainement dans le détail de certaines de ses propositions, Next INpact dresse la liste des principales mesures que la haute juridiction administration recommande de voir instaurer.

Le chaud et le froid, voilà le souffle qu’apporte aujourd’hui le Conseil d’État sur les réseaux. Félicitant un formidable outil de communication, la haute juridiction administrative y voit dans le même temps un nid à « nouvelles questions quant aux limites de la liberté d’expression et à la lutte contre les contenus illicites. »

Dans son rapport annuel portant sur le numérique et les droits fondamentaux, la juridiction estime qu’« Internet n’échappe ni en fait, ni en droit à la puissance étatique, mais lui pose des défis inédits ». En effet, si le cadre juridique reste aujourd’hui pertinent, concède-t-elle, c’est aussi pour remarquer immédiatement que ces « instruments doivent être profondément transformés ». Comment ? Au fil de 50 propositions, le Conseil d’État tente de trouver alors un meilleur parfait entre les droits, les libertés et les obligations respectives. On remarquera facilement que l’attention se porte sur les compétences de la CNIL ou celles de la Commission nationale des interceptions de sécurité (CNCIS), la régulation des fichiers de police, en passant par la neutralité du net, avec une sensibilité particulière aux services spécialisés. Autre point, la question sensible de la responsabilité des intermédiaires techniques qui devrait passer selon lui par l’encadrement des … algorithmes.

Données personnelles

• Affirmer le principe de l’autodétermination des citoyens sur les données (proposition n° 1).Il vise à reconnaître à chacun la capacité de l'individu à contrôler la communication et l’utilisation de ses données à caractère personnel (proposition n°1).

• Donner à la CNIL et à l’ensemble des autorités de protection des données européennes une mission explicite de promotion des technologies renforçant la maîtrise des personnes sur l’utilisation de leurs données (proposition n° 4).

• Confirmer le droit au déréférencement reconnu par la CJUE dans son arrêt Google Spain, mais donner aux éditeurs des sites dont le déréférencement est demandé la possibilité de faire valoir leurs observations (proposition n° 5).

• Créer un droit d’alerte en matière de protection des données personnelles (proposition n° 7).

• Instaurer une action collective en matière de protection des données personnelles (proposition n° 8).

• Attribuer à la CNIL ou au Conseil national du numérique une mission permanente d’animation de la délibération collective sur les enjeux éthiques liés au numérique (proposition n° 11).

• Renforcer le rôle de conseil et d’accompagnement des responsables de traitement par la CNIL et créer auprès d’elle une procédure de « rescrit données personnelles » (propositions n° 13 et 14). Le rescrit permet de poser une question à l’administration dont la réponse l’engage juridiquement, pour plus de sécurité.

• Développer la corégulation avec les acteurs professionnels, en prévoyant une procédure d’homologation des codes de conduite, le respect d’un code homologué devant être l’un des critères retenus par l’autorité de contrôle (comme la CNIL) pour ses décisions d’autorisation ou de sanction (propositions n° 16, 17 et 18).

• Dans la lignée de l’affaire Orange, créer pour les catégories de traitements présentant les risques les plus importants une obligation de certification périodique par un organisme tiers indépendant et accrédité, couplé à un examen a priori par la CNIL (proposition n° 19).

• Porter une attention particulière aux transmissions de données personnelles d’une entité à une autre, notamment en codifiant dans la loi la jurisprudence relative à la nullité des transactions portant sur des fichiers non autorisés ou non déclarés à la CNIL (proposition n° 20).

•  Revoir le régime juridique des numéros d’identification, mettre à l’étude la création d’un numéro national non signifiant (proposition n° 21) en élargissant les possibilités de recours au NIR (Numéro d'Inscription au Répertoire, plus communément appelé numéro de sécurité sociale) dans le domaine de la santé et pour les autres usages (proposition n° 22).

• Prévoir un socle de règles applicables à tous les services dirigés vers l’Union européenne ou la France quel que soit leur lieu d’établissement (proposition n° 43) en qualifiant de loi de police toute la législation européenne relative à la protection des données personnelles, en prévoyant une obligation de coopération des hébergeurs et des plateformes avec les autorités administratives et judiciaires, ou un droit pénal (abus de la liberté d’expression).

• Réformer le Safe Harbor en matière de données personnelles, en prévoyant un droit de regard des autorités européennes sur les contrôles et en renforçant les obligations de fond (proposition n° 44).

Neutralité du net, services spécialisés

• Inscrire le principe de neutralité des opérateurs de communications électroniques dans le droit positif. Cependant, prévoir une définition large des services spécialisés avec des pouvoirs importants des autorités de régulation pour veiller au maintien de la qualité générale d’internet (proposition n° 2).

Responsabilité des intermédiaires

• Créer une nouvelle catégorie d’intermédiaires, les « plateformes », soumis à une obligation de loyauté, consistant à assurer de bonne foi le service de classement ou de référencement, sans chercher à l’altérer ou à le détourner à des fins étrangères à l’intérêt des utilisateurs (proposition n° 3).

• Définir les obligations des plateformes envers leurs utilisateurs : pertinence des critères de classement et de référencement mis en oeuvre par la plateforme au regard de l’objectif de meilleur service rendu à l’utilisateur, définition des critères de retrait de contenus licites en termes clairs, accessibles à tous et non discriminatoires (proposition n° 6).

• Développer la participation des utilisateurs des plateformes à l’élaboration des règles définissant les contenus pouvant être mis en ligne sur leur site (proposition n° 10).

• Réguler les algorithmes. Comment ? Exiger l’effectivité d’une intervention humaine dans le traitement des données (proposition n° 23) ou par l’observation de leurs résultats, afin de détecter des discriminations illicites, et renforcer à cette fin les moyens humains dont dispose la CNIL (proposition n° 25).

• Instaurer le Notice and Stay Down : obligation pour les hébergeurs et les plateformes d’empêcher, durant un délai déterminé, la réapparition des contenus ayant fait précédemment l’objet de retrait. Cette obligation serait prononcée par l’autorité administrative et non par un juge (proposition n° 28).

Open data

• Confirmer clairement dans la proposition de règlement européen la liberté de réutilisation statistique des données personnelles, quelle que soit la finalité initiale de leur traitement, à condition que les données soient parfaitement anonymes (proposition n° 12).

• Mise en open data par la CNIL de toutes les déclarations et autorisations de traitements de données (proposition n° 9).

• L’État, les associations de collectivités territoriales et les représentants des utilisateurs des données devraient rédiger une charte d’engagements et de bonnes pratiques en matière d’open data. Elle engagerait l’organisme public adhérent dans la définition d’un programme d’ouverture de ses données publiques, et à respecter des standards de qualité et à veiller à limiter les risques de réidentification (proposition n° 32 et n° 33)

Médias

• Revoir le contrôle de la concentration dans les médias, et notamment les quotas et la mesure des bassins d'audience utilisés pour la limiter, propre à mieux garantir le pluralisme en tenant compte de la multiplicité des supports d’information (proposition n° 30).

Justice

• Faciliter le recours à la médiation liée à l’utilisation des technologies numériques (proposition n° 31).

Fichiers de police, conservation des données

• Corriger les fragilités juridiques des fichiers de police. Par exemple, pour le Fichier automatisé des empreintes digitales (FAED) et le Fichier national automatisé des empreintes génétiques (FNAEG), préciser les conséquences à tirer des décisions judiciaires (acquittement, non‐lieu, relaxe, classement sans suite) (proposition n° 34). Pour le fichier TAJ ou traitement des antécédents judiciaires, s’assurer de la mise en oeuvre effective des dispositions qui le régissent (proposition n° 35), alors que les contrôles de la CNIL ont révélé un taux très élevé d’erreurs et d’absence de prise en compte des suites judiciaires. Moduler la durée de conservation dans le FNAEG selon la gravité de l’infraction et l’âge de la personne (décision du 16 septembre 2010, proposition n° 36).

• Tenir compte de l’invalidation de la directive sur les données personnelles par la CJUE (arrêt Digital Rights Ireland) sur la question de l’accès aux données de connexion glanées au titre de l’obligation de conservation systématique prévue par notre législation. Réserver l’accès à des fins de police judiciaire aux crimes et aux délits d’une gravité suffisante, réexaminer les régimes prévoyant l’accès de certaines autorités administratives pour des finalités autres que la sécurité intérieure (notamment la HADOPI, l’ANSSI, l’administration fiscale, l’AMF), étendre pour l’accès aux données de connexion, les règles spécifiques de protection qui bénéficient aux parlementaires, aux avocats, aux magistrats et aux journalistes en matière d’interceptions du contenu des communications (proposition n° 38).

• Définir par la loi le régime de l’interception des communications à l’étranger (finalité, contrôle par une autorité indépendante) (proposition n° 39).

• Définir le régime juridique de l’utilisation par le renseignement, sur autorisation administrative, de certains moyens d’investigation spéciaux utilisant les techniques numériques (déchiffrement, captation de données informatiques...) aujourd’hui encadrés uniquement dans le cadre de la procédure judiciaire (proposition n° 40).

• Faire de la CNCIS une autorité de contrôle des services de renseignement, dotée de moyens humains renforcés sur le plan quantitatif et qualitatif, avec des compétences de haut niveau en matière d’ingénierie des communications électroniques, d’informatique et d’analyse des données : pouvoir de contrôle sur pièces, sur place, champ de compétences étendu aux interceptions opérées à l’étranger et à l’emploi des moyens d’investigations spéciaux (proposition n° 41).

• Doter les agents impliqués dans la mise en oeuvre des programmes de renseignement d’un droit de signalement à cette autorité administrative indépendante des pratiques manifestement contraires au cadre légal, le tout sous protection du secret de la défense nationale (proposition n° 42).

• Créer un groupe d’action interétatique en matière de cybercriminalité qui définirait des recommandations tout en publiant une liste d’États non coopératifs (proposition n° 47).