A l’occasion de la Loi pour une République Numérique n° 2016-1321 du 7 octobre 2016 (LRN), Dreyfus vous présente une trilogie d’articles présentant trois aspects majeurs de la loi.
Dès la mise en place de la consultation en ligne pour la Loi pour une République Numérique en septembre 2015, le droit à la portabilité des données était au cœur des débats. L’intérêt des participants était vif et les votes sur l’article positif (sur 796 votes, 704 étaient favorables à l’article).
Les dispositions de la Loi pour une République numérique concernant la récupération et la portabilité des données n’entreront en vigueur qu’en mai 2018, avec le règlement européen (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
La Loi a donc inséré une nouvelle sous-section 4, dans la section 3 du chapitre IV du livre II du code de la consommation, intitulée « Récupération et portabilité des données ». Ainsi, selon le nouvel article L. 224-42-1 du code de la consommation, « Le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données. ».
Un droit à la récupération des données conforme au droit de l’Union européenne
C’était l’enjeu de cette Loi pour une République numérique : anticiper le nouveau règlement européen sur la protection des données personnelles afin de ne pas être en contradiction avec ses futures dispositions.
C’est donc chose faite : l’article nouveau L. 224-4-2 dispose en effet que la récupération des données ayant un caractère personnel, introduite par la Loi pour une République numérique, est conforme aux dispositions prévues à l’article 20 du règlement du 27 avril 2016.
Cependant, une différence peut être relevée entre la LRN et le règlement : alors que ce dernier parle de portabilité, la LRN ne mentionne pour sa part que la récupération des données, quoi qu’en dise le titre de cette nouvelle sous-section 4.
Différence entre portabilité et récupération des données
La récupération, comme son nom l’indique, permet de récupérer ses données auprès d’un fournisseur d’un service de communication au public en ligne dans un standard ouvert et aisément réutilisable. Ainsi, les données possédées par ce fournisseur ne seront pas perdues au moment où l’on souhaite se désabonner de ses services.
La portabilité quant à elle permet non seulement de récupérer ses données auprès du fournisseur mais encore de les transmettre à un autre fournisseur. Cela peut être fait par le propriétaire des fichiers ou, si cela est possible techniquement, directement entre les opérateurs. Il s’agit donc d’aller encore plus loin que la simple récupération des données.
La différence entre la portabilité du règlement et la récupération de la Loi tient au fait que le règlement concerne les données à caractère personnel et non « tous les fichiers mis en ligne par le consommateur », contrairement à la LRN. Il s’agit ainsi de viser les responsables de traitement dans le règlement et les fournisseurs de service de communication au public en ligne dans la Loi.
Le choix entre portabilité et récupération se comprend alors : les données à caractère personnel sont des données sensibles et il est normal qu’une personne puisse en disposer comme elle le souhaite. Par contre, concernant « tous les fichiers mis en ligne par le consommateur », la question est plus complexe. On peut comprendre que le législateur n’ait pas souhaité imposer la portabilité aux fournisseurs : techniquement, cela aurait demandé un effort considérable et une mise en conformité à un coût très important. Rien n’empêche cependant à l’internaute de transmettre ensuite ses fichiers à un autre fournisseur, quand bien même cela serait possible techniquement.
Quelles sont les données concernées par la récupération prévue par la LRN ?
Le législateur a cherché à aller plus loin que les données à caractère personnel visées par le règlement. Il s’agit en effet, par ces dispositions, de favoriser l’entrée de nouvelles entreprises, notamment des jeunes entreprises innovantes, sur des marchés très souvent fermés ou en tout cas accaparés par des oligopoles. Le choix a été fait d’abaisser les barrières au changement de service et de promouvoir la concurrence entre les différents fournisseurs de services numériques. Ainsi, il a fait le choix d’inclure, par exemple, les relevés de banque en ligne, l’historique de commandes sur un site de vente électronique ou le contenu des préférences musicales progressivement exprimées sur un site de streaming en ligne.
La Loi prévoit donc que la récupération doit être une fonctionnalité gratuite qui concerne tous les fournisseurs de services communication au public en ligne. Elle concerne ainsi
- « tous les fichiers mis en ligne par le consommateur» ;
- « toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause» ;
- Et « d’autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes : a) Ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ; b) L’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services».
Les données concernées par la récupération sont donc nombreuses et les critères de la loi sont larges. Il s’agit aussi bien des fichiers mis en ligne par le consommateur lui-même, les données consultables en ligne sur son compte utilisateur, les autres données associées au compte, celles qui ont une importance économique, qui ont une utilité pour le consommateur, qui ont des enjeux financiers, etc.
Cependant, une exception est de taille : les données « ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause » ne sont pas concernées par la récupération. Il s’agit ici de faire la différence entre les données brutes et les données enrichies significativement. Ces dernières sont celles concernées par les services proposés par la plateforme ; les données transmises par le consommateur ont été modifiées, améliorées en utilisant les algorithmes créés par le fournisseur de service. L’apport de cet algorithme ne pourra donc pas être emporté par le consommateur au moment de la récupération de ses données.
De plus, ce sont uniquement les informations visibles et non celles faisant parties du « back office » qui sont concernées.
Quelles sont les nouvelles obligations des fournisseurs de services de communication au public en ligne ?
Il doit mettre en place cette fonctionnalité de récupération des données et la proposer de façon gratuite.
Le fournisseur du service a à sa charge de prendre toutes les mesures nécessaires, en termes d’interface de programmation et de transmission des informations nécessaires au changement de fournisseur. Il est nécessaire que le consommateur puisse récupérer l’ensemble de ses données ou fichiers par une requête unique faite auprès du fournisseur.
Ces données doivent être récupérées sous un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé. Cependant, lorsque cela n’est pas possible, le fournisseur doit en informer le consommateur de façon claire et transparente. Sinon, le cas échéant, il informe le consommateur des modalités alternatives de récupération de ces données et précise les caractéristiques techniques du format du fichier de récupération, notamment son caractère ouvert et interopérable.
Un décret est attendu qui déterminera la liste des types d’enrichissements présumés non significatifs ne pouvant justifier un refus de récupération de ses données par le consommateur. En cas de litige, il appartiendra au professionnel d’apporter la preuve du caractère significatif de l’enrichissement allégué.
A savoir, l’article nouveau L. 224-42-4 du code de la consommation précise que ces dispositions ne s’appliquent pas aux fournisseurs d’un service de communication au public en ligne dont le nombre de comptes d’utilisateurs ayant fait l’objet d’une connexion au cours des six derniers mois est inférieur à un seuil fixé par décret.
Qu’apportent ces dispositions ?
La possibilité de récupérer ses données depuis un service de communication en ligne était très attendue des internautes. Pour certains, il s’agit même du corollaire de la reconnaissance du droit à la libre disposition des données personnelle.
L’enjeu était ici de faire l’équilibre entre les besoins des consommateurs et les besoins économiques des entreprises. Il s’agissait de ne pas défavoriser les jeunes entreprises innovantes qui luttent pour trouver une place face aux mastodontes des marchés concernés.
L’avenir nous dira si cet objectif a bien été respecté et quels seront les conséquences de ces dispositions. Pour les premiers impacts, nous devrons attendre le 25 mai 2018, lors de l’entrée en vigueur du règlement européen et de ces dispositions sur la portabilité et de la récupération des données.
Volet 1 : Loi française pour une République numérique – Les plateformes en ligne
Volet 3 : Loi française pour une République numérique – La protection de la vie privée