Vive la République numérique ?

Publié le 17/10/2016 - CIO Online - E. Papin

Pour lire l’article d’Étienne Papin du 17 octobre 2016 pour CIO Online.

Pour en savoir plus sur nos compétences en Données personnelles et Vie privée et Droit de l’Internet et Commerce Électronique.

Vive la République numérique ?

La loi « pour une République Numérique » qui a été promulguée le 7 octobre fait partie de ces textes dont notre Législateur est malheureusement devenu coutumier : un pensum de 113 articles modificateurs de lois et de codes existants, parfois adoptés il y a moins d’un an.

Autant dire qu’il ne faut rechercher aucune cohérence d’ensemble dans un texte qui traite aussi bien de l’accès aux données publiques, de la neutralité de l’internet, des exceptions aux droits d’auteur et même la constitution d’une base de données publique des vitesses maximales sur les routes ou l’organisation des compétitions de jeux vidéo…

Compte tenu de la richesse de ce texte, dans lequel le principal se mélange au particulier et l’essentiel au secondaire, nous nous concentrerons dans le cadre de cet article sur les aspects les plus significatifs.

Des données publiques toujours plus open

La première partie de la loi porte une nouvelle réforme du droit d’accès aux données produites par l’administration, dont la dernière remonte seulement à la loi du 28 décembre 2015 relative à la gratuité et aux modalités de la réutilisation des informations du secteur public. L’ambition affichée du législateur est de passer « de l’incitation à l’obligation » pour les administrations de mettre à disposition les données qu’elles détiennent.

Ainsi, la loi République Numérique vient ajouter à la liste des informations que les administrations (à l’exception des collectivités territoriales de moins de 3 500 habitants et des personnes morales dont le nombre d’agents est inférieur à un seuil qui sera fixé par décret) sont tenues de publier, dès lors qu’elles sont disponibles sous forme électronique. Il s’agit des bases de données, mises à jour de façon régulière, qu’elles produisent ou qu’elles reçoivent et qui ne font pas l’objet d’une diffusion publique par ailleurs et des données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental (Art. 312-1-1 Code des Relations entre le Public et l’Administration).

La publication des données doit se faire dans « un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ». (Art. L. 300-4 CRPA). Une version du texte issue du Sénat indiquait « si possible dans un standard ouvert ». Dans le texte définitivement adopté, ladite ouverture devient une obligation pour l’administration. Selon la loi du 21 juin 2004, un standard ouvert est « tout format de données interopérables et dont les spécifications techniques sont publiques et sans restriction d’accès ni de mise en œuvre ».

Lorsque l’administration encadre la réutilisation des données par une licence, ce qui est laissé à la libre appréciation de chaque administration, la loi République Numérique a voulu lutter contre la multiplication des licences applicables. Les travaux préparatoires à la loi ont pu constater la prolifération de nombreuses licences spécifiques. Désormais, lorsque la réutilisation est faite à titre gratuit, la licence applicable sera fixée par décret.

Les logiciels de l’administration toujours plus transparents

Dans une décision du 10 mars 2016, le Tribunal Administratif de Paris a ordonné à l’administration fiscale de fournir les codes-source de son simulateur de calcul de l’impôt sur le revenu qu’elle met à disposition sur son site web. Le Législateur a décidé d’inscrire dans la loi ce droit d’accès aux codes-source des logiciels « produits ou reçus » par l’Etat, les collectivités territoriales et les personnes publiques ou privées chargées d’une telle mission (art. L300-2 CRPA). Les codes-source sont maintenant considérés par la loi comme des documents administratifs comme les autres, communicables dans les mêmes conditions. Cette disposition ne peut se comprendre que pour les logiciels sur lesquels l’administration détient les droits d’auteur. La loi contient d’ailleurs une réserve générale précisant que la communication des documents administratifs ne peut s’opérer que sous réserve des droits de propriété intellectuelle des tiers (art. L311-4 CRPA).

Comme pour tout accès aux documents administratifs, les demandes d’accès aux codes-source feront l’objet d’un examen au cas par et l’administration conserve la faculté de refuser cette communication dans certaines circonstances, notamment en cas de risque d’atteinte « au secret de la défense nationale » ; « au secret en matière commerciale et industrielle » ou « à la sécurité des systèmes d’information des administrations » (L311-5 et L311-6 CRPA).

Au-delà des codes-source proprement dits, la Loi République Numérique s’intéresse également aux algorithmes que l’administration met en œuvre pour traiter automatiquement les situations individuelles de ses administrés. On pense par exemple à un système comme Admission Post Bac (APB) qui permet d’affecter les étudiants dans les filières d’enseignement supérieur en fonction de leurs choix. La Loi République Numérique entend instaurer de la transparence sur les logiques automatiques inhérentes à ces systèmes selon les modalités suivantes. D’abord par l’information : une décision individuelle prise sur le fondement d’un traitement algorithmique doit comporter une mention explicite en informant l’intéressé. Ensuite par un droit d’accès : les règles définissant le traitement ainsi que les principales caractéristiques de sa mise en œuvre seront communiquées par l’administration à l’intéressé s’il en fait la demande.

Dans son avis sur le projet de loi, le Conseil d’État a mis en garde contre une trop grande précision des informations données à même de « permettre à des usagers de se constituer un profil permettant de contourner les prescriptions qui seraient applicables ».

Des « hackers blancs » protégés

La détection des failles de sécurité dans les systèmes d’information est une activité controversée. Plusieurs décisions de justice sont venues sanctionner des personnes qui, sous couvert d’information du public ou du responsable du système, avaient exploité des failles de sécurité (on pense aux affaires Zataz, Kitetoa et Bluetouff notamment).

La loi République Numérique vient offrir une forme de protection juridique à ces « lanceurs d’alerte » d’un genre particulier. Mais n’est pas « hacker blanc » qui veut. Bénéficieront uniquement de cette protection les personnes de bonne foi qui transmettent à la seule ANSSI une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système. Dans ce cas, les fonctionnaires de l’ANSSI ainsi alertés ne seront pas tenus d’informer le Procureur de la République de ces faits qui sont normalement réprimés par l’article 323-3-1 du code pénal.

L’ANSSI doit préserver la confidentialité de l’identité de la personne à l’origine de la transmission et pourra procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information.

Un Législateur qui brule les étapes sur l’application du Règlement Général sur la Protection des Données

Le 25 mai 2018 entrera en vigueur le Règlement du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dit « RGPD ». Le Règlement a ceci d’utile qu’il n’a pas besoin de loi nationale de transposition pour être applicable.

C’était sans compter sur la volonté de notre Parlement d’intervenir « en avance de phase » sur ces questions. La Loi République Numérique intègre d’ores et déjà dans le droit français, et particulièrement la loi du 6 janvier 1978 Informatique et Libertés, de nouvelles règles issues du RGPD.

Ainsi, dès à présent, l’information à laquelle a droit la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant doit indiquer la durée de conservation des données. Or, c’est une information dont le responsable du traitement ne dispose souvent pas parce que ses applications, en contravention à la loi du 6 janvier 1978, conservent les données sans limitation de durée.

Les droits d’opposition, d’accès, d’information et de rectification doivent maintenant pouvoir s’exercer par voie électronique si les données ont été collectées par voie électronique.

Last but not least, le montant maximal des sanctions pécuniaires qui peuvent être prononcées par la Cnil passe de 300 000 à 3 millions d’euros. A compter de l’entrée en vigueur du RGDP, le plafond passera à 20 millions d’euros et, pour une entreprise, à 4% de son chiffre d’affaires annuel mondial.

Pour en savoir plus sur nos compétences en Données personnelles et Vie privée et Droit de l’Internet et Commerce Électronique.

Autres publications