La loi visant à sécuriser et réguler l’espace numérique (SREN) renforce la protection des internautes en confiant de nouvelles missions à la CNIL

La mise en œuvre d’une partie du « paquet numérique » européen

La loi visant à sécuriser et réguler l’espace numérique (SREN) permet la mise en œuvre concrète de deux règlements du « paquet numérique » européen favorisant une meilleure circulation des données et une meilleure protection des internautes. Pour ce faire, la loi étend le champ de compétences de la CNIL.

La mise en œuvre du règlement sur la gouvernance des données (Data Governance Act ou DGA)

Le DGA traite notamment de la réutilisation des données protégées détenues par le secteur public, crée un nouveau régime juridique d’intermédiation en matière de données, et développe l’altruisme des données.

L’altruisme des données est la mise à disposition volontaire de données pour des motifs d’intérêt général fondé sur le consentement par les personnes concernées ou l’autorisation accordée par des détenteurs de données à caractère non personnel.

La loi SREN désigne la CNIL comme autorité compétente pour l’altruisme des données prévu par le DGA. Concrètement, la CNIL recevra et traitera des demandes de notification d’organisations altruistes en matière de données (OAD). Elle assurera la tenue du registre national des OAD et traitera les plaintes relatives à celles-ci.

L’objectif de cette nouvelle réglementation est de permettre une meilleure circulation des données au bénéfice de l’économie française et européenne, tout en garantissant un haut niveau de protection des données.

Afin de mener ses nouvelles missions, la CNIL dispose d’un pouvoir de contrôle lui permettant d’obtenir communication de tout document nécessaire, sans que le secret ne puisse lui être opposé.

En cas de manquement de l’organisation altruiste à ses obligations, des mesures correctrices peuvent être prises telles que la mise en demeure, la radiation du registre national ou encore une amende ne pouvant excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

La mise en œuvre du règlement sur les services numériques (Digital Services Act ou DSA)

La CNIL sera l’autorité compétente pour assurer le respect de certaines obligations issues du DSA, applicables aux plateformes en ligne : obligations renforcées de transparence en matière de publicité ciblée, interdiction du profilage sur la base des données sensibles et du profilage des mineurs. Dans ce cadre, la CNIL se voit attribuer de nouveaux moyens de contrôle: le pouvoir de saisir tout document sous le contrôle du juge, ainsi que la possibilité d’enregistrer les réponses des personnes auditionnées.

La CNIL pourra également adopter des mesures correctrices dont des amendes, ces pouvoirs étant identiques à ceux figurant déjà dans la loi Informatique et Libertés.

Ici aussi, la CNIL estime bienvenues ces évolutions qui s’inscrivent dans la logique de protection des personnes portée par le RGPD depuis 2018.

Une coopération nécessaire entre les régulateurs compétents

Une application correcte de ces textes nécessite une articulation efficace entre les régulateurs de l’espace numérique (CNIL, Arcom, Arcep, DGCCRF, etc.). La CNIL s’inscrit pleinement dans cette collaboration, déjà mise en œuvre sur de nombreux aspects, et qui a vocation à s’intensifier.  

La protection des internautes contre les contenus illicites ou inadaptés

La loi SREN comprend également d’autres dispositions destinées à renforcer la protection des internautes.

D’une part, elle encadre les conditions dans lesquelles les sites à caractère pornographique doivent contrôler l’âge de leurs visiteurs en confiant de nouveaux pouvoirs à l’Arcom, qui pourra s’appuyer sur l’expertise de la CNIL afin de trouver un juste équilibre entre la nécessité de contrôler l’âge des internautes et les enjeux liés à la protection des données.

D’autre part, la loi SREN prévoit le déploiement d’un filtre de cybersécurité « anti-arnaque », à destination du grand public, qui a pour vocation de mieux protéger les internautes des risques encourus lors de l’accès à des pages ou à des sites internet malveillants : hameçonnage, usurpation d’identité ou collecte frauduleuse de données personnelles par exemple. Ces pages et sites pourront faire l’objet d’un avertissement du public sur leur caractère malveillant, mais aussi être déréférencés ou voir leur accès être empêché.

Afin d’assurer la proportionnalité du dispositif, une personnalité qualifiée désignée parmi les membres du Collège de la CNIL sera chargée du contrôle de ces mesures. Elle offrira aussi un moyen de recours aux éditeurs de contenu en ligne qui estiment une mesure infondée.

La CNIL se prépare activement à exercer l’ensemble de ces nouvelles prérogatives au bénéfice d’un Internet plus sûr pour tous.