La loi visant à sécuriser et à réguler l’espace numérique (SREN) a été promulguée le 21 mai 2024. Elle a été publiée au journal officiel du 22 mai 2024.
En premier lieu, la loi SREN a pour objectif d’adapter le droit français à de nouveaux textes européens tels que le règlement sur les services numériques (DSA), le règlement sur le marché numérique (DMA), le règlement sur la gouvernance européenne des données ou « Data Gouvernance Act » (DGA). Ici, il ne s’agit pas d’une transposition de ces textes européens par la loi SREN en droit français, car ce sont des règlements et non des directives, mais cette loi permet d’adapter le droit français pour pouvoir appliquer ce « parquet numérique » européen.
En second lieu, la loi SREN prévoit un ensemble de mesures permettant de mieux réguler l’espace numérique, protéger les internautes, ainsi que les entreprises. Les sujets abordés par la loi sont nombreux comme la protection des enfants de la pornographie, la mise en place d’un filtre de cybersécurité anti-arnaque à destination du grand public, la lutte contre la désinformation de médias étrangers, la réglementation de l’informatique en nuage (le Cloud), etc.
Mais ce qui attire le plus l’attention dans cette loi en matière de données personnelles sont les dispositifs de la loi SREN concernant la gestion et la protection des données. Ces dispositifs ne visent pas uniquement les données non personnelles, mais également, dans certains cas, les données à caractère personnel.
Il serait intéressant de faire un tour rapide sur les points de la loi SREN ayant des enjeux en matière de protection des données personnelles :
La protection des données stratégiques et sensibles dans le cloud
La loi SREN consacre un chapitre à la protection des données stratégiques et sensibles qui sont stockées sur un cloud privé fourni par les fournisseurs de services cloud.
Avant tout, il faut souligner qu’elles ne concernent pas uniquement des données à caractère personnel. La loi précise que les données d’une sensibilité particulière sont des données à caractère personnel ou non si leur violation peut entraîner une atteinte à l’ordre publique, à la santé, à la vie privée des personnes ou à la propriété intellectuelle.
Selon la définition, la qualification des données d’une sensibilité particulière sont les données relevant de secrets protégés par la loi et les données qui sont nécessaires à l’accomplissement des missions essentielles de l’État. Par conséquent, les données d’une sensibilité particulière englobent des données non-personnelles, ainsi que des données personnelles, notamment les données de santé à caractère personnel.
Vu l’importance des données d’une sensibilité particulière pour l’accomplissement des missions de l’État, les nouvelles dispositions de la loi SREN indiquent que lorsque les administrations de l’État, de ses 400 opérateurs ou des groupements d’intérêt public, y compris le Health Data Hub, confient le stockage des données stratégiques et sensibles aux prestataires privés de cloud, ils doivent veiller à ce que ces fournisseurs de cloud mettent en œuvre des mesures de sécurité et de protection des données afin d’éviter tout accès à ces données par des autorités publiques des États tiers.
Dans un délai de 18 mois à partir de la promulgation de la loi SREN, le gouvernement va remettre au parlement un rapport. Ce dernier aura l’objectif d’évaluer les moyens supplémentaires qui pourront être pris en compte afin d’augmenter la protection face aux risques et menaces que les législations extraterritoriales peuvent apporter aux données qualifiées comme ayant une sensibilité particulière. De plus, ce rapport va évaluer la possibilité de soumettre les entreprises de cloud, établies en dehors de l’Union européenne à un chiffrement certifié par l’Agence nationale de sécurité des systèmes d’information (ANSSI).
Quant à l’hébergement des données de santé, la loi mentionne qu’un décret va préciser les exigences en matière de transfert ou d’accès non autorisé par des États tiers.
L’élargissement du champ de compétence de la CNIL
Au titre du DGA
La loi SREN désigne la CNIL comme autorité compétente pour l’altruisme des données prévu par le règlement « Data Gouvernance Act » (DGA).
L’altruisme des données, ou data altruism en anglais est un modèle prévu par le DGA. Il permet aux parties prenantes (entreprises, particuliers, etc.) de partager les données pour des motifs d’intérêt général fondés sur le consentement par les personnes concernées ou l’autorisation accordée par les détenteurs de données à caractère personnel.
Selon ses nouvelles compétences, la CNIL pourra recevoir et traiter des demandes de notification d’organisations d’organisation altruistes en matière de données (OAD). De plus, la CNIL assurera la tenue du registre national des organisations altruiste en matière des données et le cas échéant traitera les plaintes relatives à ces organisations.
En cas de manquement de l’organisation altruiste à ses obligations, prévue par le DGA, la CNIL peut prononcer à leur égard des mesures correctrices comme la mise en demeure, la radiation du registre national ou une amende ne pouvant excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
Au titre du DSA
La CNIL est désignée comme l’autorité compétente pour contrôler le respect de certaines obligations issues du DSA à l’égard des plateformes en ligne. Le champ des compétences de la CNIL concerne le contrôle du respect des obligations renforcées par ces plateformes sur la transparence en matière de publicité ciblée, l’interdiction du profilage sur la base des données sensibles ou le profilage des mineurs. A cette fin, la CNIL a de nouveaux moyens de contrôle : le pouvoir de saisir tout document sous le contrôle du juge et la possibilité d’enregistrer les réponses des personnes auditionnées.
Attribution aux juridictions d’une autorité de contrôle au sens RGPD
La loi SREN apporte des changements au code de justice administrative, au code de l’organisation judiciaire, ainsi qu’au code des juridictions financières. Selon ces modifications, le Conseil d’État, la Cour de cassation et la Cour de compte, chacun aura une autorité contrôle élue pour une durée de trois ans, renouvelable une fois, pour contrôler les traitements de données à caractère personnel effectuées par les juridictions administratives et judiciaires dans leurs fonctions juridictionnelles.
Modification apportée à la loi pour la confiance dans l’économie numérique (LCEN)
L’article 48 de la loi SREN apporte des modifications à la LCEN qui impliquent pour les éditeurs d’un service de communication au public en ligne de mettre à disposition du public « le cas échéant, le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent, même à titre gratuit, le stockage de données traitées directement par elles dans le cadre de l’édition du service ».
Que signifie cela dans la pratique par exemple pour les éditeurs d’un site internet ou d’une application ?
Cela renforce le principe de transparence à l’égard des utilisateurs. En effet, désormais les éditeurs des sites internet, applications… doit mentionner via leurs mentions légales non seulement l’hébergeur de leurs sites ou applications, mais également les fournisseurs de cloud qui assurent l’hébergement des données des utilisateurs de services en ligne proposés par ces sites internet ou applications.