Ariane Mole (Bird & Bird) : « Annoncer en amont un temps de conservation peut être un vrai casse-tête »
Décideurs. Quelle est la principale ambition de ce texte en matière de données ?
Ariane Mole. L’objectif premier est de protéger la vie privée en ligne. Le projet de loi prend en considération le fait que les données personnelles sont en danger lorsqu’elles sont en ligne et qu’il y a une protection spécifique à leur apporter. Cette affirmation n’existe pas dans la loi actuelle. Parmi les évolutions décisives, citons aussi la protection consolidée des données des mineurs et la protection des nouvelles violations de l’intimité des personnes, soulignée par la condamnation pénale du revenge porn.
Décideurs. Le projet de loi est-il porteur d’opportunités pour les entreprises ?
A. M. Il est clair que pour les entreprises, le texte est plutôt synonyme de nouvelles obligations et de nouveaux risques. En de nombreux points, ce projet de loi anticipe les dispositions du futur règlement européen, adopté le 15 décembre et qui devrait entrer en vigueur dans deux ans. Le renforcement des pouvoirs de sanctions de la Cnil l’illustre : de 150 000 euros, le plafond des amendes dans son champ d’intervention passe à vingt millions d’euros (ou 4 % du chiffre d’affaires mondial). D’autre part, les violations de la loi informatique et liberté pourront aussi faire l’objet d’actions collectives par le biais d’associations. Comme le sujet des données personnelles est très sensible et que les utilisateurs s’approprient cette question, cette nouveauté peut être déterminante. Dernier point crucial, les entreprises devront communiquer sur la durée de conservation des données personnelles collectées. Ce sujet est très complexe car cette période de stockage peut varier en fonction des utilisations. Annoncer en amont un temps de conservation peut être un vrai casse-tête. Des plans d’action doivent être mis en place.
Décideurs. Ce projet de loi a été adopté à la quasi-unanimité. Certains éléments ont-ils été oubliés par les législateurs ?
A. M. Les nouvelles dispositions protégeant les mineurs prévoient une « obligation d’effacer sur demande les données collectées dans le cadre de l’offre de services de la société de l’information ». L’introduction de ce droit a pour objet d’apporter une garantie particulière aux mineurs qui auraient notamment mis en ligne des informations susceptibles de leur porter préjudice. Toutefois, il n’y a pas dans le projet de loi de définition de la notion d’ « offre de services de la société de l’information ». Il existe bien une définition dans une directive européenne, mais elle les définit comme des services payants. Il faut donc espérer qu’il ne faudra pas se référer à cette définition, car le nouveau droit à l’effacement pour les mineurs risquerait de rater son objectif ; la grande majorité des services internet utilisés par les mineurs étant non payants…
Propos recueillis par Thomas Bastin