Projet de loi République numérique : publication de l’avis de la CNIL
La CNIL s'est prononcée, lors de la séance plénière du 19 novembre 2015, sur l’avant projet de loi, dans sa version alors envisagée par le Gouvernement. Le projet de texte soumis en première lecture à l’Assemblée nationale comporte de nombreuses modifications, qui tiennent notamment compte de l’avis de la CNIL.
Une nécessaire cohérence avec les autres textes en préparation
La CNIL relève tout d’abord que ce projet de loi intervient alors que le projet de règlement du Parlement européen et du Conseil relatif à la protection des données personnelles et à la libre circulation de ces données, est en cours de finalisation. Ce texte, d’application directe, doit assurer l’unification du droit européen et apporter un standard élevé de protection pour les citoyens européens avec notamment un renforcement de leurs droits. Le projet de loi pour une République numérique devra donc s’y conformer, ce qui impliquera de l’adapter en cours de procédure. La CNIL rappelle, en outre, l’importance de veiller à la cohérence des dispositions adoptées en matière de diffusion de données publiques (open data), plusieurs lois récentes ou projets de loi, notamment le projet de loi relatif à la santé et la loi du 7 août 2015 portant nouvelle organisation territoriale de la République (« NOTRe »), comportant des dispositions spéciales en la matière.
Des droits renforcés, à harmoniser avec le droit européen
De manière générale, la Commission salue le renforcement des droits des citoyens. Ainsi, la consécration du droit à la libre disposition de ses données, c’est-à-dire le droit de l’individu de décider de la communication et l’usage de ses données personnelles, va dans le sens d’une meilleure maîtrise par les individus de leurs données. Cette consécration est une continuité des droits déjà reconnus par la loi Informatique et Libertés tels que le droit d’accès, le droit d’opposition ou le droit de suppression. La CNIL souligne également l’intérêt de légiférer sur le devenir des données personnelles des personnes décédées et le renforcement de l’information des personnes, ainsi que sur la loyauté des plateformes. Dans la mesure où le projet de règlement européen prévoit des dispositions spécifiques sur les mineurs et introduit un droit à la portabilité, le projet de loi devra être conforme, sur ces deux points, au texte européen. A cet égard, le « droit à la portabilité » introduit par le projet de loi a un périmètre et un champ d’application différent de celui du projet de règlement, qui porte exclusivement sur les données personnelles.
L’action de la CNIL confortée mais le montant des sanctions inchangé
Le projet de loi tend également à renforcer les pouvoirs de la CNIL et à conforter ainsi son engagement dans la régulation du numérique et son activité d’accompagnement des particuliers, des entreprises et des administrations. Toutefois, elle déplore que certaines de ses propositions faites en janvier 2015 n’aient pas été retenues. En particulier, ses pouvoirs de sanction ne sont que partiellement renforcés. Le montant des sanctions pécuniaires qu’elle peut prononcer n’a pas été révisé, alors même qu’il s’agit d’un enjeu majeur pour l’efficacité de la régulation. Le projet de règlement européen sur la protection des données prévoit d’ailleurs une augmentation importante de ce montant.
Ouverture des données et respect de la vie privée
Le projet de loi vise à développer l’open data, en prévoyant une large publication des données administratives et en posant le principe de libre réutilisation des données publiques mises en ligne. Si cette orientation n’appelle pas, par elle-même, d’observations de la CNIL, il convient que cette ouverture intervienne dans le respect de la vie privée. A cet égard, plusieurs garanties ont été apportées, notamment à la suite de l’avis de la CNIL :
- Les conditions de communicabilité des documents administratifs, qui visent notamment à protéger la vie privée, ne sont pas modifiées.
- La publication de documents comportant des données à caractère personnel ne pourra intervenir qu’après anonymisation des données, sauf si une disposition législative ou réglementaire autorise une diffusion sans anonymisation préalable ou si la personne intéressée y a consenti.
- La réutilisation des données reste subordonnée au respect de la loi « informatique et libertés », ce qui implique notamment qu’une base de données anonymisée ne puisse pas servir à ré identifier des personnes.
- Enfin, la CNIL pourra certifier la conformité à la loi de méthodologie d’anonymisation, ce qui renforcera la sécurité juridique pour les administrations concernées.
Dans son avis, la Commission a estimé que ces dispositions ne remettaient pas en cause l’équilibre nécessaire entre transparence administrative, d’une part, et protection de la vie privée et des données personnelles, d’autre part. La conciliation de ces deux intérêts constitue en effet une condition essentielle à la mise en œuvre de toute politique d’ouverture des données. La Commission a dès lors formulé plusieurs observations concernant les modalités effectives de respect de cet équilibre. En particulier, elle a rappelé que la vérification préalable des processus d’anonymisation, sous le contrôle de la CNIL, constitue un impératif majeur pour une ouverture des données respectueuse des droits des personnes.
Une simplification des procédures pour la statistique et la recherche publique, dans le prolongement des propositions de la CNIL
Le projet de loi comporte enfin des dispositions relatives à la recherche publique, en matière statistique ou scientifique. Il vise ainsi à simplifier les formalités préalables aux recherches publiques utilisant le NIR. La CNIL s’est montrée favorable à cette simplification, qu’elle avait proposée depuis plusieurs années, dès lors, d’une part, que le NIR fait l’objet d’un chiffrement robuste et, d’autre part, qu’elle sera compétente pour autoriser les recherches publiques à des fins scientifiques conduites sur ce fondement.