Accès équitable aux données - Proposition de règlement du Parlement européen et du Conseil – 23 février 2022

Eu égard à l’importante croissance du marché des données, à la base de nombreux produits et services numériques, la Commission européenne a engagé en février 2020 une stratégie européenne pour les données(1 et 2) avec pour objectif de créer un marché unique européen.

En novembre 2020, la Commission a déjà proposé un premier règlement sur la gouvernance européenne des données(3) créant les procédés et structures destinés à faciliter le partage de données par les entreprises, les particuliers et le secteur public – approuvé par le Parlement européen et le Conseil en novembre 2021. En février 2022, la Commission a proposé un nouveau règlement fixant des règles harmonisées pour l’accès équitable et l’utilisation des données(4 et 5) afin de préciser qui peut créer de la valeur à partir de données et dans quelles conditions. Par ailleurs, elle a également publié un inventaire des espaces européens communs des données en cours de développement dans différents secteurs et domaines(6).

D’après la Commission, le volume mondial des données devrait augmenter de 530% passant de 33 zettaoctets en 2018 à 175 zettaoctets d’ici 2025, et les nouvelles règles proposées pourraient générer 270 milliards d’euros de produit intérieur brut supplémentaire pour les Etats membres de l’Union d’ici à 2028.

Les consommateurs et les entreprises bénéficieront (i) de prix moins élevés pour le service après-vente et la réparation de leurs objets connectés, (ii) de nouvelles possibilités d’utiliser des services reposant sur l’accès à ces données et (iii) d’un meilleur accès aux données collectées ou générées par un appareil. Disposant de plus d’informations, ils pourront acheter des produits et des services de meilleure qualité et plus durables, contribuant ainsi à la réalisation des objectifs du pacte vert. Par ailleurs, mettant en place des garanties contre les transferts illicites de données, la proposition de règlement vise à permettre aux clients de changer plus facilement de fournisseur de services de traitement de données en nuage.

De plus, elle aspire à rééquilibrer le pouvoir de négociation des petites et moyennes entreprises en les protégeant contre les clauses abusives dans le cadre de contrat de partage de données. A cette fin, la Commission élaborera des clauses contractuelles types.

En outre, afin de faire face rapidement en toute sécurité aux situations d’urgences telle que des inondations ou des incendies de forêt et tout en réduisant au minimum la charge pesant sur les entreprises, la proposition de règlement tend à conférer de nouveaux moyens aux organismes du secteur public pour accéder aux données détenues par le secteur privé et les utiliser, sous réserve de certaines obligations de leur part et de compensation aux entreprises du secteur privé.

Enfin, la proposition de règlement révise certains éléments de la directive du 11 mars 1996 relative à la protection juridique des bases de données(7) en précisant notamment que les bases de données contenant des données provenant de dispositifs et d'objets de l'internet des objets ne devraient pas faire l'objet d'une protection juridique distincte. Il sera ainsi possible d'y avoir accès et de les utiliser.
Notes
puce note (1) Commission européenne - Communication “Une stratégie européenne pour les données“ – 19 février 2020 (pdf)
puce note (2) Stratégie européenne pour les données – Site Internet de la Commission européenne
puce note (3) Proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données, 25 novembre 2020 (pdf)
puce note (4) Proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et l’utilisation des données, 23 février 2022 (pdf)
puce note (5) Commission européenne - Document de travail – Espaces européens communs des données
puce note (6) Règlement sur les données – Fiche d’information
puce note (7) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données (pdf)
 

Loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public

Issue d’une proposition de loi déposée sur le bureau du Sénat le 15 juillet 2020, la loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public a été publiée au Journal officiel de la République française le 4 mars 2022.

Comme le souligne le rapport fait au nom de la commission des affaires économiques lors de l’examen du texte en première lecture au Sénat : "selon un sondage, 90 % des Français considèrent que les données personnelles sont précieuses, qu'elles devraient être davantage protégées et qu'elles sont convoitées par les géants du Net. Cependant, on observe que cette prise de conscience n'amène pas forcément à un changement d'habitudes. Ainsi, de nombreux Français, y compris des organisations institutionnelles, se sont précipités, lors du confinement, sur les solutions de visioconférences les plus faciles à utiliser sans se préoccuper des risques quant à la confidentialité des échanges.

Or, en recourant à des plateformes non sécurisées, les consommateurs s'exposent à de nombreux risques : enregistrement vidéo à l'insu des participants, utilisation de la reconnaissance vocale pour attribution pérenne de propos qu'on pense oubliés à l'issue de la conversation, espionnage, manipulation."


De plus, au-delà des cyberattaques, la question de savoir si les entreprises auxquelles les pouvoirs publics décident de recourir pour opérer certains de leurs services présentent des garanties suffisantes quant à la sécurité des données qu'elles traitent est régulièrement posée.

La loi du 3 mars 2022(1), crée un nouvel article L. 111-7-3 dans le code de la consommation qui oblige les opérateurs de plateformes en ligne et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, à réaliser à compter du 1er octobre 2023 un audit de cybersécurité, dont les résultats doivent être mis à la disposition des consommateurs. Pour chacune de ces deux catégories d’opérateurs, la fourniture d’un audit de cybersécurité s’imposera à condition que l’activité exercée dépasse un ou plusieurs seuils définis par décret.

Ces dispositions visent à obliger les plateformes numériques à fournir aux consommateurs un diagnostic de cybersécurité afin de mieux les informer sur la sécurisation de leurs données et la localisation des données qu'ils hébergent, directement ou par l'intermédiaire d'un tiers.

Cette obligation donne accès aux consommateurs, personnes physiques ou morales, à une information lisible, claire et compréhensible quant au niveau de sécurité des solutions numériques qu’ils utilisent, une sorte de “cyberscore“ des solutions numériques.

                                                

Ces diagnostics devront être effectués par des prestataires d'audit qualifiés par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l'informatique et des libertés, fixera les critères qui sont pris en compte par l'audit et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation.

Afin de rendre cette obligation d’information contraignante, la loi du 3 mars 2022 précise que tout manquement est passible d'une amende administrative pouvant aller jusqu’à 75 000 euros pour une personne physique et 375 000 euros pour une personne morale. Celle-ci pourra être prononcée par l'autorité administrative chargée de la concurrence et de la consommation conformément aux dispositions du chapitre II du titre II du livre V du code de la consommation.
 

Loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet

La loi n° 2022-300 visant à renforcer le contrôle parental sur les moyens d'accès à internet a été publiée au Journal officiel le 3 mars 2022(1).

Cette loi d’initiative parlementaire intervient après une vaste étude menée par la commission nationale de l'informatique et des libertés (CNIL) sur les pratiques numériques des jeunes et dont les résultats sont très préoccupants.

D’après cette étude, la navigation autonome et sans contrôle des enfants âgés de 10 à 14 ans se révèle généralisée et la navigation autonome commencerait de plus en plus tôt (7 ans pour les jeux en ligne et 8 ans et demie pour l’inscription sur les réseaux sociaux).

En outre, les parents, pour la plupart, méconnaissent les pratiques numériques de leurs enfants, et les outils de contrôle parental qui ne sont pas à la portée de tous, nécessitent parfois une manipulation informatique qui peut s’avérer complexe voire décourageante.

Les enfants sont donc exposés excessivement tôt à des contenus inappropriés, choquants ou illégaux. On estime ainsi qu’à douze ans, un tiers des enfants a déjà été exposé à un contenu pornographique. Une attention particulière doit également être portée sur les contenus haineux et violents, voire à l’action de réseaux criminels, terroristes et pédophiles, auxquels les enfants peuvent être exposés.

En introduisant un nouvel article L. 34-9-3(2) dans le code des postes et des communications électroniques, la loi impose que tous les équipements terminaux (smartphones, tablettes, consoles et objets connectés) destinés à l'utilisation de services de communication au public en ligne donnant accès à des services et des contenus susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs soient équipés d'un dispositif aisément accessible et compréhensible permettant à leurs utilisateurs de restreindre ou de contrôler l'accès de telles personnes à ces services et contenus.

L’activation du service de contrôle parental doit être proposée aux utilisateurs lors de la première mise en service de l'équipement et sans surcoût au même titre que l'utilisation et, le cas échéant, la désinstallation.

La loi prévoit une obligation pesant sur les fabricants tendant à ce que ces derniers s’assurent lors de la mise sur le marché de leurs équipements terminaux, que les systèmes d'exploitation installés sur ces équipements intègrent le nouveau dispositif de contrôle parental.

Afin de s’assurer de l’effectivité de la mesure, l’Agence nationale des fréquences (ANFR) est chargée du contrôle de la mise sur le marché des équipements ainsi que du contrôle du respect des obligations mises à la charge des fabricants et distributeurs.

Toutefois, l’entrée en vigueur de la loi du 2 mars 2022 est différée et n’interviendra qu’après la réponse de la Commission européenne permettant de considérer que le dispositif de contrôle est conforme au droit de l'Union européenne.

De plus, un décret en Conseil d’Etat, pris après avis de la commission nationale de l'informatique et des libertés (CNIL) précisera les fonctionnalités minimales et les caractéristiques techniques du dispositif de contrôle parental ainsi que les moyens mis en œuvre par le fabricant pour faciliter l'utilisation de ce dispositif.
 
Informations légales | Données personnelles