Blocage des sites рогпоgгарhіԛuеs (page 3) - Politique & Droits des homosexuels

En réponse au message de gxmg2 :

Que penser du contrôle des sites рогпоgгарhіԛuеs sur Internet et de la protection des mineurs et des majeurs qui sont exposés à ce fléau?

Peut-on rendre possible la liberté de choix d'aller consulter à outrance des sites рогпоgгарhіԛuеs et les libertés publiques par le fait de bloquer l'accès à ces sites pour les personnes qui ne sont pas en demande expresse de visionner du contenu рогпоgгарhіԛuе ?

ben c est pas plus mal il y a tellement de déglingués de nos jours !?

https://www.20minutes.fr/high-tech/by-the-web/4045390-20230713-blocage-sites-рогпоgгарhіԛuеs-decision-retardee-associations-protection-enfance-lassees

Reste à savoir qui déglingue qui

Bonjour , il y a des choses qui devraient en effet faire l unanimité , comme la protection de l enfance .

Il y a ensuite une vigilance a avoir comme ceux qui veulent nous proteger de tout , malgré nous et nous faire payer la note a la fin .

Je pense que la vertu ne se trouve nulle part et que chacun agit pour des interets souvent peu voire jamais exprimés .

En réponse au message de lesecrins :

Bonjour , il y a des choses qui devraient en effet faire l unanimité , comme la protection de l enfance .

Il y a ensuite une vigilance a avoir comme ceux qui veulent nous proteger de tout , malgré nous et nous faire payer la note a la fin .

Je pense que la vertu ne se trouve nulle part et que chacun agit pour des interets souvent peu voire jamais exprimés .

Oui, les sites рогпоgгарhіԛuеs ne pensent qu'à faire de l'argent et se fichent du reste . Par contre, les associations conservatrices veulent détruire ces sites et prendront tous les prétextes pour y arriver.

Au final, ce sont les utilisateurs de ces sites qui en payent le prix (risques d'addiction, problèmes dans la perception de la sехualité, complexes, contenu pas approprié à l'âge...).

Le mouvement metoo a obtenu une épuration des contenus amateurs (les personnes qui diffusaient des vidéos privées pour se venger de leur ex, des vidéos de non consentement, ...) et je trouve que c'est une bonne chose.

Après il va falloir qu'ils trouvent un équilibre entre la liberté pour ceux qui veulent en consommer ou en produire et la prévention des risques inhérents. ?

Délibération 2023-036 du 20 avril 2023

Commission Nationale de l’Informatique et des Libertés

Nature de la délibération : Avis

Etat juridique : En vigueur

Date de publication sur Légifrance : Mercredi 17 mai 2023

Délibération n° 2023-036 du 20 avril 2023 portant avis sur le projet de loi « visant a sécuriser et réguler l’espace numérique »

Afficher le tableau

LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu le règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (RGD ou DGA) ;

Vu le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (RMN ou DMA) ;

Vu le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 200/31/CE (RSN ou DSA) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi "informatique et libertés") ;

Après avoir entendu les rapports de M. Bertrand DU MARAIS et Mme Christine MAUGUE, commissaires, et les observations de M. Benjamin ТОUZANNE, commissaire du Gouvernement,

ADOPTE LA DELIBÉRATION SUIVANTE :

I - La saisine

Le gouvernement a élaboré un projet de loi "visant à sécuriser et réguler l’espace numérique", destiné à assurer la bonne application en droit national de trois règlements européens portant sur les services numériques (ou DSA pour Digital Services Act), sur les marchés numériques (ou DMA pour Digital Market Act) et sur la gouvernance européenne des données (ou DGA pour Data Governance Act).

La CNIL a été saisie, en urgence, par le ministère chargé de la transition numérique et des télécommunications de huit articles de ce projet de loi directement en lien avec la régulation de l’espace numérique et, par le ministère de la justice, de deux articles relatifs au contrôle des traitements de données à caractère personnel effectués par les juridictions dans le cadre de leurs activités juridictionnelles.

II - L’avis de la CNIL

En propos liminaires, la CNIL accueille favorablement le mouvement actuel tendant, d’une part, à renforcer les droits des personnes, d’autre part, à favoriser une circulation encadrée des données. Ce mouvement se traduit principalement par l’adoption de textes, européens ou nationaux.

Cependant, notamment du fait de la fragmentation des régimes juridiques et de régulation et donc de la complexité qui en découle, la multiplication des textes ne doit pas nuire à une régulation cohérente et efficace de l’espace numérique. Cette exigence de cohérence devrait être l’un des objectifs poursuivis par le législateur.

La multiplication des textes se traduit ainsi par la reconnaissance d’un nombre accru de régulateurs de l’espace numérique. Ce mouvement est certes inévitable : compte tenu de la рéпétгаtіоп des technologies dans tous les aspects de la vie en société, il ne saurait y avoir un régulateur unique du numérique. Cette multiplicité impose néanmoins une coopération étroite des régulateurs concernés, au рlап tant national qu’européen.

La CNIL, forte de son ехрéгіепсе au sеіп du Comité européen de la protection des données (CEPD) notamment, y est pour sa part prête et déterminée.

CONCERNANT L’ARTICLE 1ER (EDICTION DE RECOMMANDATIONS PAR l’AUTORITE DE REGULATION DE LA COMMUNICATION AUDIOVISUELLE ET NUMERIQUE (ARCOM) POUR LE RESPECT EFFECTIF DE LA MAJORITE LEGALE POUR L’ACCES AUX SITES РОRNОԌRАРНӏԚUЕS) ET L’ARTICLE 2 (POUVOIRS DE SANCTION ET DE BLOCAGE ADMINISTRATIF DES SITES CONTREVENANT AU RESPECT DE LA MAJORITE LEGALE CONFERES A L’ARCOM ET ASSERMENTATION DE SES AGENTS POUR RELEVER L’ABSENCE DE CONTROLE DE L’ACCES DES MINEURS AUX SITES РОRNОԌRАРНӏԚUЕS)

Ces deux articles visent à renforcer les pouvoirs de l’Arcom qui pourrait :

après injonction de son président, ordonner aux fournisseurs d’accès à Internet (FAI) le blocage de l’accès aux sites permettant à des mineurs d’accéder à des contenus рогпоgгарhіԛuеs ;

imposer des exigences techniques auxquelles devraient répondre les systèmes de vérification de l’âge mis en place pour l’accès à ces sites et sanctionner les sites qui ne les respecteraient pas.

Le contrôle de l’âge sur Internet, s’il poursuit en l’espèce un objectif légitime de protection de la jeunesse, soulève néanmoins des questions importantes de protection de la vie privée des internautes. S’il ne revient pas à la CNIL, mais au Conseil d’Etat, de se prononcer sur ces nouvelles procédures qui relèveront de l’ARCOM, la CNIL souligne qu’il lui paraît nécessaire de mieux articuler les deux instruments, dans la mesure où les "recommandations" prévues par l’article 1er, qui peuvent en l’espèce donner lieu à sanction si l’opérateur ne s’y conforme pas, visent à veiller au respect de l’obligation résultant de l’article 227-24 du code pénal, pour lequel l’ARCOM dispose, en vertu de l’article 2, d’un pouvoir de mettre en demeure de prendre "toute mesure" utile.

S’agissant de la conciliation entre protection de la jeunesse et protection de la vie privée, l’article 1er prévoit que les recommandations établissant les exigences techniques soient élaborées après avis de la CNIL. La CNIL accueille favorablement ce choix : les dispositifs de vérification de l’âge, qui participent à la protection des mineurs, peuvent en effet, présenter des risques pour la vie privée des internautes. Il s’agira donc de trouver un juste équilibre entre efficacité de ceux-ci et protection des données des personnes concernées.

La CNIL a traité à plusieurs reprises des systèmes de vérification de l’âge en ligne, et sera en mesure de répondre rapidement aux demandes d’avis sur les projets de recommandations de l’Arcom.

CONCERNANT L’ARTICLE 3 (CREATION D’UNE SANCTION PENALE POUR DEFAUT D’EXECUTION D’UNE DEMANDE DE RETRAIT DE CONTENU PEDOРОRNОԌRАРНӏԚUЕ)

Ce projet d’article n’appelle pas d’observations de la part de la CNIL.

CONCERNANT L’ARTICLE 5 (CREATION D’UNE PEINE COMPLEMENTAIRE DE SUSPENSION DE L’ACCES A UN SERVICE DE PLATEFORME EN LIGNE)

Ce projet d’article n’appelle pas d’observations de la part de la CNIL, qui souligne seulement que les traitements qui seront mis en œuvre par les plateformes en ligne aux fins de blocage du compte ou visant à empêcher une personne d’en créer de nouveaux devront respecter les principes et le droit de la protection des données à caractère personnel.

CONCERNANT L’ARTICLE 6 (DEPLOIEMENT D’UN FILTRE NATIONAL DE CYBERSECURITE GRAND PUBLIC)

La CNIL ne peut qu’approuver le souhait du Gouvernement de renforcer la protection des internautes contre les risques, de plus en plus présents sur Internet, de tentatives d’hameçonnage (sanctionnées par l’article L163-4 du code monétaire et financier), d’usurpation d’identité (article 226-4-1 du code pénal), de collecte déloyale ou frauduleuse de données à caractère personnel (article 226-18 du code pénal) et d’atteintes aux systèmes de traitement automatisé de données (article 323-1 du code pénal).

Pour autant, elle relève que ce projet d’article conduit à une nouvelle possibilité pour une autorité administrative d’imposer le blocage de l’accès à un service de communication au public en ligne, ce qui soulève des risques importants pour l’exercice des libertés individuelles et notamment la liberté d’expression et de communication. Elle souligne notamment la difficulté à qualifier les infractions visées, a fortiori dans le délai court nécessaire pour garantir l’efficacité du dispositif, ce qui pourrait conduire à des limitations excessives de l’accès à l’information et aux services de communication au public en ligne. Un tel blocage apparaît donc substantiellement différent de celui prévu pour les sites pédoрогпоgгарhіԛuеs ou faisant l’apologie du terrorisme et doit faire l’objet d’une procédure adaptée aux enjeux et aux difficultés de qualification. Il est essentiel que l’objectif légitime de cybersécurité ne conduise pas, en pratique, à une restriction excessive des libertés fondamentales.

S’agissant du dispositif lui-même

L’objectif de ce filtre est de protéger les individus, sans attenter à leur liberté de communication ; à cette fin, le projet de loi vise, sans les hiérarchiser, trois dispositifs distincts de filtrage à partir d’une liste d’adresses électroniques suspectes fournie par l’autorité administrative : le filtrage par les fournisseurs d’accès à Internet (FAI), par les fournisseurs de systèmes de résolution de noms de domaine (DNS) et, enfin, par les fournisseurs de navigateurs web. Ces trois méthodes présentent des atteintes aux libertés qui sont différentes, car elles n’offrent pas les mêmes possibilités de contrôle par l’utilisateur, ni de précision dans le filtrage mis en œuvre.

La CNIL relève qu’il est prévu une procédure contradictoire permettant à l’éditeur du site visé par la mesure de filtrage de contester cette inscription auprès de l’autorité administrative. Pour autant, pour que les traitements nécessaires à la mise en œuvre de ce filtre soient proportionnés et limités à cette finalité, la CNIL considère que le dispositif de filtrage devrait en principe rester "à la main" de chaque utilisateur. A la différence des dispositifs destinés à bloquer les sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites pédoрогпоgгарhіԛuеs institués en application du décret n° 2015-125 du 5 février 2015, l’internaute devrait toujours avoir la possibilité de consulter, après avoir été prévenu des risques encourus, le site concerné.

Cette notion de contrôle du filtre par les utilisateurs n’est pas prévue par le projet de loi mais devrait l’être explicitement, y compris pour les demandes de filtrage adressées aux FAI ou aux systèmes de résolution de noms de domaine.

La CNIL alerte également sur les risques liés à un filtrage trop grossier et recommande une détermination précise des adresses, évitant des filtrages par sur-approximation (interdisant l’accès à des adresses légitimes) ou sous-approximation (ne filtrant pas certaines adresses malveillantes pourtant connues)

La possibilité d’un contrôle par l’utilisateur et la détermination précise des adresses incriminées devrait permettre à ce dispositif de filtre de cybersécurité grand public de constituer une mesure de protection de la population sans constituer une mesure de restriction de la liberté de communication.

La CNIL considère donc que, parmi les trois modalités ouvertes par le projet de loi (FAI, DNS et navigateur), le filtrage devrait prioritairement être réalisé au sеіп du navigateur, dans la mesure où ce dispositif constitue la seule possibilité permettant aisément un contrôle par l’utilisateur. Celui-ci devrait pouvoir choisir de désactiver le filtre, de configurer les listes de marqueurs à appliquer pour le filtrage et d’ignorer le filtre au cas par cas (y compris dans une session de navigation).

Concernant l’hypothèse d’un filtre mis en place par les FAI ou les fournisseurs de systèmes de résolution de noms de domaines (DNS), des fonctionnalités similaires devraient, dans l’idéal, être rendues disponibles aux utilisateurs. La CNIL a néanmoins conscience des grandes difficultés techniques dans ces cas, notamment pour afficher la page d’alerte quand le flux est chiffré en HTTPS et pour permettre à l’utilisateur d’ignorer le filtre facilement. Dès lors, ces deux dernières modalités ne devraient être imposées qu’en dernier recours et faire l’objet d’un contrôle renforcé. A minima, les modalités de filtrage ne permettant pas à l’utilisateur de garder le contrôle de l’accès au site devraient être subsidiaires et réservées au cas les plus graves. En tout état de cause, la mise en œuvre du blocage telle que précisée par le décret n° 2015-125 du 5 février 2015 précité ne doit pas faire obstacle à la possibilité pour l’utilisateur de pouvoir consulter une ressource filtrée par le filtre de cybersécurité.

Enfin, les données traitées par le filtre, et notamment les interrogations vers la page d’alerte destinée à prévenir l’internaute des risques, ne doivent pas être réutilisées pour d’autres finalités, et doivent être supprimées ou anonymisées dès que possible.

S’agissant des modalités de contrôle

Le contrôle indépendant des sites et adresses filtrées est nécessaire pour vérifier que les sites sоumіs au filtre correspondent bien aux catégories prévues par la loi et éviter notamment un "surfiltrage" de sites sans rapport avec la sécurité informatique. En pratique, ce contrôle repose aujourd’hui sur l’autorité judiciaire, qui peut déjà ordonner des mesures de filtrage similaires à celles prévues par le projet de texte.

Le filtrage étant confié à une autorité administrative, le projet prévoit et désigne une personnalité qualifiée en charge du contrôle du dispositif.

Compte tenu des infractions susceptibles de déclencher la mesure de filtrage, qui incluent notamment l’usurpation d’identité et l’exploitation illégale de données à caractère personnel, la CNIL considère que ce contrôle du dispositif de filtre devrait être placé en son sеіп et prend acte de l’engagement du Gouvernement en ce sens.

S’agissant de l’information des utilisateurs

Par mesure de transparence vis-à-vis des utilisateurs et pour faciliter l’exercice de leurs droits, la CNIL recommande que les motifs des décisions de filtrage leur soient exposés, sur la page de blocage, sous une forme compréhensible. Elle recommande également que des informations précises sur le filtre de cybersécurité soient également délivrées sur cette page.

CONCERNANT L’ARTICLE 9 (REGULATION DES SERVICES D’INTERMEDIATION DE DONNEES)

L’article 9 vise à préciser, au niveau national, les modalités de régulation des nouveaux services d’intermédiation de données instaurés par le chapitre III du règlement sur la gouvernance des données (DGA).

L’objet de ce chapitre est de créer un nouveau régime juridique d’intermédiaires "tiers de confiance" permettant aux "détenteurs de données" ou aux personnes physiques concernées de partager leurs données avec des "utilisateurs de données" tout en conservant le contrôle de l’usage qui en est fait. Le régime juridique ainsi créé a pour objet de sécuriser juridiquement l’accès des tiers à des données et leur circulation, tout en garantissant les droits des personnes dont les données sont traitées ou ayant des droits sur ces bases de données.

Les données couvertes par le DGA sont à la fois des données à caractère personnel et des données non-personnelles. La CNIL tient à souligner la grande difficulté de distinguer en pratique ces deux catégories de données, compte tenu du large champ d’application du RGPD et de la jurisprudence de la Cour de justice de l’Union européenne (CJUE). L’évolution des technologies de réidentification peut d’ailleurs conduire à faire évoluer au fil du temps la frontière entre les deux catégories de données.

En raison du périmètre très large conféré à la notion de "données à caractère personnel" en droit européen, et de la règle selon laquelle les jeux de données mixtes sont sоumіs dans leur ensemble au RGPD, les services d’intermédiation de données traiteront, en grande partie, des données à caractère personnel, à des degrés divers. La CNIL rappelle que la compétence d’identifier si les jeux de données en question comportent ou non des données à caractère personnel lui est conférée.

La CNIL relève qu’une grande partie des règles fixées à l’article 12 du règlement DGA (notamment les dispositions des a, c, d, e, i, l, m, n et o de cet article), prolongent, précisent ou reprennent des règles issues du RGPD. Elle rappelle que ce règlement s’applique sans préjudice du RGPD et des pouvoirs et compétences de la CNIL et qu’en cas de conflit entre le règlement DGA et le droit de l’Union en matière de protection des données à caractère personnel ou du droit national adopté conformément à ce droit de l’Union, les dispositions pertinentes en matière de protection des données à caractère personnel prévalent (3. de l’article premier du règlement sur la gouvernance des données). L’article 13 du règlement DGA précise également "Les pouvoirs des autorités compétentes en matière d’intermédiation de données sont sans préjudice des pouvoirs des autorités chargées de la protection des données (…)" ; son considérant 44 précise : "En particulier, pour toute question nécessitant une évaluation du respect du règlement (UE) 2016/679, l’autorité compétente en matière services d’intermédiation de données devrait solliciter, s’il y a lieu, un avis ou une décision de l’autorité de contrôle compétente instituée en vertu dudit règlement."

Le Gouvernement a décidé de ne pas confier le rôle d’autorité compétente en matière de services d’intermédiation à la CNIL mais à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep). Pour ne pas aboutir à une complexification opérationnelle et une insécurité juridique préjudiciables aux acteurs, ce choix exige une parfaite articulation entre les deux autorités.

A ce stade, le VII de l’article 9 du projet de loi prévoit que l’Arcep saisit la CNIL "des pratiques des prestataires de services d’intermédiation de données de nature à soulever des questions liées à la protection des données" afin de recueillir ses observations éventuelles avant toute décision.

Le IV prévoit également que l’Arcep recueille les observations de la CNIL :

pour les demandes des prestataires de service d’intermédiation qui sont labellisés en application du paragraphe 9 de l’article 11 du règlement DGA ;

dans le cadre du traitement des réclamations des personnes physiques ou morales ayant recours au service d’intermédiation. Dans ce cadre, l’Arcep doit lui communiquer toute information utile pour lui permettre de formuler ses observations dans un délai de quatre semaines.

Si la CNIL reconnaît cet effort de coordination des deux autorités, elle estime cependant, à titre principal, que le projet de loi devrait prévoir, de façon plus générale, un mécanisme de consultation, préalable et suspensive, de la CNIL avant toute décision de l’Arcep concernant les intermédiaires de données, afin que la CNIL puisse examiner si les services en cause contiennent, ou non, des données à caractère personnel et les conséquences qu’il conviendrait d’en tirer concernant l’application du RGPD.

A titre subsidiaire, si le principe d’une consultation obligatoire et générale de la CNIL n’était pas retenu, il conviendrait a minima de compléter le 1° du III de l’article 9 du projet de loi afin prévoir une transmission systématique des notifications des prestataires à la CNIL afin que celle-ci puisse disposer, notamment, de la "description du service d’intermédiation de données que le prestataire de services d’intermédiation de données a l’intention de fournir, ainsi qu’une indication des catégories énumérées à l’article 10 dont relève ce service" prévue à l’article 11.6-f) du règlement DGA. De cette façon, la CNIL serait en mesure d’identifier les acteurs traitant des "données industrielles", qui ne sont pas ou de façon marginale des données à caractère personnel et relèveront quasi exclusivement de l’ARCEP, et de les distinguer des acteurs traitant principalement des données à caractère personnel dans leur activité d’intermédiation

(données de santé, données d’études de consommation, données utiles aux activités de marketing, service de mandats d’exercice des droits sur les données personnelles, dits PIMS (Personal information management system), etc.), qui devront veiller à se conformer simultanément aux obligations analogues prévues par certaines dispositions de l’article 12 du DGA et certaines dispositions du RGPD, sous les contrôles respectifs de l’ARCEP et de la CNIL. Il convient, à des fins de sécurité juridique, qu’un dialogue entre les régulateurs concernés, dès la notification à l’ARCEP, permette à la CNIL d’informer tant l’ARCEP que le service d’intermédiation de données de la part de son activité qu’elle estime relever simultanément des deux régimes.

La CNIL recommande également que la loi prévoie la consultation obligatoire de la CNIL pour tout acte de droit souple qui serait adopté par l’Arcep pour la mise en œuvre du règlement des dispositions du DSA qui prolongent, reprennent ou complètent celles du RGPD, à savoir principalement les a, c, d, e, sur la régulation de ces plateformes.

L’article 10 propose de modifier ces dispositions afin :

d’autoriser la mise en œuvre de tels traitements pour les activités de recherche publique, au sens de l'article L. 112-1 du code de la recherche, que le PEReN peut conduire à son initiative ;

d’ajouter que ces activités de recherche publique peuvent contribuer à la détection, à la détermination et à la compréhension des risques systémiques dans l’Union au sens du règlement sur les services numériques.

L’extension des pouvoirs du PEReN aux activités de recherche est justifiée par l'objectif légitime de développer l’appui aux politiques publiques intervenant dans la régulation des opérateurs des plateformes, notamment dans la mise en œuvre du DSA. Cette extension n’est reste pas moins notable en ce qu’elle ouvre au PEReN un champ de collectes de données très important.

Ces méthodes de collecte de données, qui seraient autorisées, doivent être précisées par décret en Conseil d’Etat pris après avis public motivé de la CNIL, conformément aux dispositions de l’article 36 de la loi. En effet, le décret actuel ne vise que les "activités d’expérimentation" du PEReN et non des activités pérennes de recherche publique.

La CNIL, dans son avis, sera particulièrement attentive aux garanties prévues pour assurer que les méthodes de collecte soient strictement nécessaires et proportionnées, compte tenu des atteintes qu’elles sont susceptibles de porter aux droits et libertés fondamentaux, dont la liberté d’expression et la liberté d’opinion.

CONCERNANT L’ARTICLE 13 (CONTROLE DES OPERATIONS DE TRAITEMENT DES JURIDICTIONS ADMINISTRATIVES) ET L’ARTICLE 14 (CONTROLE DES OPERATIONS DE TRAITEMENT DES JURIDICTIONS JUDICIAIRES)

Le RGPD (article 55, paragraphe 3) fait échapper au contrôle des autorités de protection des données les opérations de traitement effectuées par les juridictions "dans l’exercice de leur fonction juridictionnelle", notamment "afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions" (considérant 20 du RGPD). Cette exclusion a été rappelée par la CJUE dans une décision du 22 mars 2022 (C‑245/20) ; or le droit français ne prévoyait pas un tel mécanisme de contrôle pour les juridictions judiciaires ou administratives.

L’article 13 modifie le code de justice administrative afin de confier le contrôle des opérations de traitement des données à caractère personnel des juridictions administratives au vice-président du Conseil d’Etat ou à un membre qu’il désigne ; l’article 14 modifie le code de l’organisation judiciaire afin de confier le contrôle des opérations de traitement des données à caractère personnel des juridictions judiciaires à une autorité instituée auprès de la Cour de cassation, composée d’un président assisté d’agents placés sous sa direction.

Le choix fait par le Gouvernement de créer une autorité de contrôle au sеіп de chaque ordre de juridiction s’inscrit en cohérence avec le RGPD (considérant 20). Ce choix pourrait être étendu aux juridictions financières voire au Conseil constitutionnel. En l'état actuel du projet de loi, la Commission estime que les juridictions financières ne sont pas couvertes. Pour le Conseil constitutionnel, son inclusion relèverait d'une loi orgaпіԛuе.

La CNIL estime qu’elle conserve sa compétence, d’une part, pour les traitements mis en œuvre par les juridictions en dehors de leurs fonctions juridictionnelles (traitements de ressources humaines par exemple), d'autre part, pour les fichiers utilisés par les juges dans le cadre d’une activité juridictionnelle mais dont l’utilisation dépasse ce cadre (traitement des antécédents judiciaires, casier judiciaire, etc.).

Si le projet de loi prévoit les pouvoirs nécessaires à ces autorités de contrôle (faсulté d’être saisies de réclamations, pouvoir d’enquête et pouvoir de prononcer des mesures correctrices et sanctions), la CNIL souligne l’importance de donner à ces autorités les moyens humains et matériels nécessaires à leurs missions.

Enfin, la CNIL souligne sa disponibilité vis-à-vis de ces autorités pour, notamment, répondre aux demandes d’avis qu’elles pourraient recevoir (article 8 I 2° e de la loi "informatique et libertés").

CONCERNANT L’ARTICLE 22 RELATIF AUX ADAPTATIONS DE LA LOI "INFORMATIQUE ET LIBERTES"

L’article 22 du projet de loi crée un Titre IV bis divisé en deux chapitres : l’un concerne les compétences et pouvoirs de la CNIL au regard du règlement sur les services numériques (ou DSA) ; l’autre concernant les compétences et pouvoirs de la CNIL au regard du règlement sur la gouvernance européenne des données (DGA).

SUR LES DISPOSITIONS PROJETEES EN LIEN AVEC LES OBLIGATIONS PROPRES AUX SERVICES DE PLATEFORME EN LIGNE (DSA)

L’article 124-2 désigne la CNIL comme autorité compétente pour veiller au respect, par les fournisseurs de plateformes en ligne qui ont leur établissement principal en France, ou dont le représentant légal réside en France :

du d) du 1. de l’article 26 du DSA (obligation de présenter à chaque destinataire de publicité des informations sur les principaux paramètres utilisés pour le cibler, ainsi que la manière dont ces paramètres peuvent être modifiés) ;

du 3. de l’article 26 du DSA (interdiction de présenter de la publicité aux destinataires du service fondée sur le profilage en utilisant des données "sensibles" au sens du RGPD) ;

du 2. de l’article 28 du DSA (interdiction de présenter de la publicité reposant sur le profilage des mineurs).

En premier lieu, la CNIL estime que cette nouvelle attribution de compétences est logique dans la mesure où ces dispositions ne font que renforcer, pour les fournisseurs de plateformes en ligne, certaines obligations précises issues du RGPD. La correcte application des dispositions des articles 26 ("publicité sur les plateformes en ligne"), 27 ("transparence du système de recommandation") et 28 ("protection des mineurs en ligne") du DSA, qui renvoient de manière plus ou moins directe à des enjeux liés à la protection des données, nécessitera une coordination entre les autorités compétentes désignées (Arcom ou Direction générale de la concurrence, consommation et répression des fraudes DGCCRF) et la CNIL.

La CNIL souligne qu’une coordination sera également nécessaire entre elle et les autres autorités compétentes pour la mise en œuvre du DSA, dont les autres obligations ont souvent un lien ou un impact sur la protection des données personnelles. Elle rappelle enfin qu’elle gardera sa compétence propre sur les enjeux liés à la protection des données par le RGPD, le règlement sur les services numériques s’entendant "sans préjudice (…) du droit de l’Union en matière de protection des données à caractère personnel" (art. 2 4 g) du DSA), ce que rappelle également le projet d’article 124-1 de la loi "informatique et libertés.

En deuxième lieu, le projet de loi vise à permettre à la CNIL, en tant qu’autorité compétente, d’exercer une surveillance de la correcte application des dispositions du règlement qui lui sont confiées et complète, ainsi, ses pouvoirs de contrôle et de sanction.

Les articles 51 et 52 du DSA permettent aux Etats membres de déterminer le régime des contrôles et des sanctions applicables aux infractions.

A titre principal, la CNIL souligne la nécessité de veiller à harmoniser autant que possible les différents régimes qu’elle sera chargée d’appliquer en matière de contrôle et de sanction pour veiller au respect des différentes règlementations européennes.

En effet, la coexistence de différents régimes, répondant à des règles de procédure distinctes, s’avérerait en pratique particulièrement complexe à appliquer, alors même que les règlementations ont in fine vocation à s’appliquer aux mêmes acteurs, et à sanctionner de manquements qui pourraient être constatés lors de mêmes procédures de contrôle.

La CNIL estime, ainsi, dans un objectif de lisibilité et de sécurité juridique, préférable d’intégrer autant que possible les nouvelles règles issues du DSA aux dispositions procédurales existantes, qui sont contenues non seulement dans la loi "informatique et libertés" (articles 19 à 22-1) mais également dans son décret d’application.

Les nouvelles dispositions introduites dans la loi pourraient ainsi se limiter principalement à :

énumérer les compétences de la CNIL pour l’application de certaines dispositions du DSA ;

renvoyer aux pouvoirs de contrôle prévus par l’article 19 de la loi "informatique et libertés", qui pourrait être complété pour contenir tous les pouvoirs prévus par l’article 51 du DSA (pouvoir de saisie notamment) ;

renvoyer vers les mesures correctrices applicables qui sont prévues par l’article 20 de la loi, en précisant les spécificités issues du DSA

Si cette option n’était pas retenue, la CNIL souhaite faire part des observations suivantes sur les dispositions projetées.

Concernant les "pouvoirs d’enquête" de la CNIL :

L’article 124-2 renvoie à l’article 19 de la loi "informatique et libertés" qui emploie, lui, le mot "contrôle". Ce seul renvoi pourrait ne pas apparaître suffisant en l’état de la rédaction de l’article 19 de la loi "informatique et libertés", le DSA prévoyant des pouvoirs plus larges que ceux dont dispose la CNIL à ce jour. Les autorités sont notamment investies d’un pouvoir de saisie (article 51.1.b)) et d’un pouvoir d’enregistrer les réponses des membres du personnel ou représentants des fournisseurs de plateforme en ligne avec leur consentement à l’aide de tout moyen technique (article 51.1 c)).

La CNIL considère la modification de l’article 19 nécessaire afin de lui permettre d’étendre à l’ensemble des procédures qu’elle mène ces deux moyens d’investigation – saisie et audition des personnels.

Par ailleurs, la deuxième phrase du dernier alinéa de l’article 124-2 du projet de loi semble comporter une erreur dans la mesure où il est fait référence au dernier alinéa du 1 de l’article 51 ; il semble qu’il faudrait lire dernier alinéa du 2 de l’article 51. En tout état de cause, il semble également nécessaire de clarifier ce qu’il est entendu par "avertissement". Cette dénomination pourrait faire naître une confusion avec l’avertissement défini au I de l’article 20 de la loi "informatique et libertés".

Concernant les pouvoirs de mise en demeure et de sanction de la CNIL :

L’article 124-3 projeté vise à adapter les pouvoirs de mise en demeure et de sanction de la CNIL à la régulation des plateformes telle que prévue par le DSA.

Des modifications rédactionnelles apparaissent nécessaires pour préciser la notion d’"engagements" formulés par les fournisseurs de plateforme en ligne de nature à assurer la conformité de leurs services. Le pouvoir des autorités compétentes d’accepter de tels engagements est prévu par le a) du 2 de l’article 51 du DSA, ainsi qu’à l’article 71 de ce même règlement s’agissant des très grandes plateformes en ligne, mais sans aucune précision. La CNIL s’interroge également sur la pertinence d’un engagement pour une durée indéterminée.

Un décret pourrait utilement préciser la procédure selon laquelle ces engagements sont proposés au président de la CNIL puis acceptés par ces derniers. Cela apparaît d’autant plus nécessaire que le 2ème alinéa de cet article fait un renvoi aux "conditions prévues au I" pour soumettre ces engagements alors qu’aucune condition n’est prévue à ce premier alinéa.

S’agissant des dispositions projetées au III de l’article 124-3 relatives au calcul des astreintes et des amendes, la CNIL s’interroge sur les raisons pour lesquelles il est précisé que le montant du chiffre d’affaires à prendre en compte pour déterminer les plafonds applicables est le montant "hors taxes", alors que cela n’est pas prévu par le DSA ; cette précision introduirait une spécificité pour ces calculs par rapport aux modalités applicables au titre de la loi "informatique et libertés" (article 20 III) et du RGPD (article 83). La CNIL s’interroge en outre sur les incidences pratiques de cette précision.

Dans un souci de lisibilité des dispositions applicables, les pouvoirs propres du président de la formation restreinte prévus au III de l’article 124-3 devraient faire l’objet d’un IV, et non être intégrés aux pouvoirs de la formation restreinte.

S’agissant des injonctions provisoires pouvant être adoptées lorsque le manquement constaté paraît susceptible de créer un dommage grave, si la CNIL accueille favorablement cette possibilité, ces dispositions devraient être complétées pour préciser notamment le périmètre de ces injonctions. En l’état de la rédaction de ces dispositions, ce pouvoir semble large et ne pas se limiter à des demandes de mise en conformité, mais pouvoir aussi inclure des mesures permettant la suspension provisoire des faits contestés. De même, la procédure applicable mériterait également d’être clarifiée, notamment s’agissant des modalités envisagées pour assurer le contradictoire ou en ce qui concerne la durée pendant laquelle ces mesures pourraient s’appliquer (et si elles seraient effectives, le cas échéant, jusqu’à l’adoption d’une décision définitive par la formation restreinte).

La CNIL s’interroge sur l’opportunité de prévoir une possibilité de recourir à une procédure de sanction simplifiée, telle que celle prévue à l’article 22-1 de la loi "informatique et libertés", pour le non-respect des obligations applicables aux fournisseurs de plateforme en ligne qui relèvent de la compétence de la CNIL.

La CNIL souligne que le 2 de l’article 62 du Règlement (UE) 2022/2065 du 19 octobre 2022 offre la possibilité aux autorités compétentes de participer au Comité européen pour les services numériques au côté du coordinateur pour les services numériques "lorsque le droit national le prévoit". La CNIL recommande ainsi d’intégrer une disposition en ce sens au sеіп de la loi "informatique et libertés".

Enfin, la CNIL considère qu’il serait opportun d’apporter les modifications rédactionnelles suivantes :

outre le renvoi aux "règles mentionnées au présent chapitre" (II de l’article 214-3), les dispositions projetées pourraient faire explicitement référence au règlement applicable afin de garantir la pleine application des règles issues de ce règlement et accroitre la lisibilité du cadre juridique en vigueur ;

au II de l’article 124-3, il pourrait être fait référence "au fournisseur de plateforme en ligne" et non au "service", pour viser directement l’acteur auquel les obligations définies incombent ;

s’agissant du passage suivant du III de l’article 124-3 - "Elle peut être assortie d'une astreinte dont le montant journalier ne peut excéder 5 % des revenus ou du chiffre d’affaires mondial hors taxes journalier moyen du fournisseur de services de plateforme en ligne concerné de l’exercice précédent (…)" - les termes soulignés n’apparaissent pas nécessaires.

Ces deux dernières modifications rédactionnelles permettraient que la même terminologie soit utilisée dans l’ensemble des articles projetés, et d’éviter ainsi toute confusion s’agissant des acteurs visés.

SUR LES DISPOSITIONS PROJETEES EN LIEN AVEC L’ALTRUISME EN MATIERE DE DONNEES

Le projet d’article 124-4 de la loi "informatique et libertés" vise à reconnaître la CNIL comme autorité compétente en matière d’altruisme de données au sens du règlement sur la gouvernance européenne des données (DGA) afin notamment d’assurer l’enregistrement et le contrôle du respect des dispositions du chapitre IV de ce règlement.

La CNIL se félicite de ce choix, logique en ce que l’altruisme en matière de données porte notamment sur des données à caractère personnel. La CNIL estime remplir les conditions posées par l’article 26 ("exigences relatives aux autorités compétentes") du règlement.

Le projet d’article 124-5 détermine les conditions dans lesquelles la CNIL peut constater et sanctionner les manquements aux exigences prévues en matière d’altruisme des données par le chapitre IV du règlement DGA.

Le II de l’article 124-5 prévoit que "En cas de manquement à ces exigences, la Commission nationale de l'informatique et des libertés prend les mesures correctrices énoncées à l’article 24 du même règlement" ; le texte n’indique cependant pas précisément quelles sont les mesures correctrices visées (notamment s’il s’agirait uniquement des mesures prévues aux 3 et 4 de l’article 24 du règlement DGA), par qui elles pourraient être adoptées (par exemple le président de la CNIL ou les services de la Commission) et selon quelle procédure.

En outre, la CNIL s’interroge sur l’articulation entre les mesures prévues au II et au III de l’article de l’article 124-5 et, plus précisément, sur le fait de conditionner la saisine de la formation restreinte - compétente pour prononcer une mesure relevant du 5 de l’article 24 du règlement (UE) 2022/868 du 30 mai 2022 – au recours préalable à d’autres mesures correctrices. Cette condition résulte de la formulation suivante "Si malgré les mesures correctrices, l’organisation altruiste ne se met pas en conformité, le président de la Commission nationale de l'informatique et des libertés peut saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes (…)". Or, à la lecture de l’article 24 du règlement (UE) 2022/868 du 30 mai 2022, une telle condition préalable ne semble pas posée par le règlement, qui envisage plutôt la possibilité de сumuler différentes mesures successives.

La CNIL appelle donc à revoir ces dispositions pour mieux préciser les mesures en cause et les autorités compétentes pour chacune d’elles. Elle souligne également la nécessité de les intégrer aux dispositions procédurales existantes, qui sont notamment prévues par le décret d’application de la loi "informatique et libertés".

La Présidente

Marie-Laure DENIS

! trop long !....mais ça mérite une belle appréciation pour ta recherche !

tu me donnes mal a la tete!

En réponse au message de yannboy2.0 :

tu me donnes mal a la tete!

Ça veut-il dire que tu as tout lu?