Loi pour une République numérique : elle a été votée en octobre 2016 et de nouvelles obligations vont être mises en application dès le 01 janvier 2018. Ses décrets d’application ont été publiés il y a peu de temps.

Certaines de ces obligations concernent aussi bien les entreprises que les particuliers qui officient sur le net mais également toutes activités récoltant des données personnelles, que ce soit par internet ou non (Règlement européen sur les protections des données du 27 avril 2016).

De quoi s’agit-il et êtes-vous préparé ? Voici un survol de ce qui vous attend dans les prochaines semaines et mois concernant les avis et commentaires en ligne, l’obligation d’information pour les plateformes numériques et le traitement des données personnelles :

1/ Loi pour une République numérique

Sans tourner plus longtemps autour du pot, même si cette loi est faite pour protéger le consommateur ou le particulier, ce qui dans le fond est certes fort louable, force est de constater que dans la forme l’ensemble des obligations et surtout leurs mises en œuvre par les principaux intéressés relèvent de l’usine à gaz pour certaines d’entre elles (ex : les données personnelles). L’ensemble de la loi est consultable ici : Loi pour une République numérique graphisme abstrait

2/ Avis et commentaires en ligne

Si vous possédez une boutique en ligne (ecommerce) ou bien proposez des services et que vous autorisez la publication d’avis ou de commentaires concernant tel ou tel produit, vous êtes alors impactés par ce qui suit : À compter du 01 janvier 2018,  selon le décret n° 2017-1436 du 29 septembre 2017 relatif aux obligations d’information relatives aux avis en ligne de consommateurs , toute personne physique ou morale a une obligation d’information lorsque son activité (qu’elles soit principale ou accessoire) est amenée à collecter, à modérer ou à diffuser des avis en ligne provenant de consommateurs.

  • Cette obligation d’information doit être loyale, claire et transparente quant aux modalités de publication et de traitement des avis en ligne.
  • L’avis ou le commentaire concerne aussi bien un produit ou un service qu’il soit acheté ou non par le consommateur.
  • Ne sont pas considérés comme des avis en ligne les parrainages d’utilisateurs, les recommandations par des utilisateurs d’avis en ligne, ainsi que les avis d’experts.

Il revient à toute personne morale ou physique exerçant l’activité mentionnée plus haut d’indiquer de manière claire et visible à côté des avis :

  • L’existence ou non d’une procédure de contrôle des avis
  • La date de publication de chaque avis, ainsi que celle de l’expérience de consommation concernée par l’avis
  • Les critères de classement des avis parmi lesquels figurent le classement chronologique

La personne morale ou physique doit également indiquer dans une rubrique spécifique et facilement accessible :

  • L’existence ou non de contrepartie fournie en échange du dépôt d’avis
  • Le délai maximum de publication et de conservation d’un avis
  • Les caractéristiques principales du contrôle des avis au moment de leur collecte, de leur modération ou de leur diffusion
  • La possibilité, le cas échéant, de contacter le consommateur auteur de l’avis
  • La possibilité ou non de modifier un avis et, le cas échéant, les modalités de modification de l’avis
  • Les motifs justifiant un refus de publication de l’avis

Bien entendu, lorsque la personne exerçant l’activité mentionnée plus haut exerce un contrôle sur les avis, elle veille à ce que les traitements de données à caractère personnel réalisés dans ce cadre soient conformes à la loi relative à l’informatique, aux fichiers et aux libertés. Enfin, si cette personne physique ou morale refuse la publication d’un avis, elle doit informer son auteur quant aux motifs de refus par tout moyen approprié.   3/ Les obligations d’information des plateformes numériques À compter du 01 janvier 2018 également, selon le décret n° 2017-1434 du 29 septembre 2017 relatif aux obligations d’information des opérateurs de plateformes numériques toute personne physique ou morale opérant une plateforme numérique à titre professionnel (rétribuée ou non) dont l’activité repose soit sur le classement, le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers, soit sur la mise en relation, par voie électronique, de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un bien ou d’un service aura une obligation d’information sur ces classements et référencements.

  • Par plateforme numérique, on entend l’entité qui met en relation plusieurs parties (plateformes collaboratives, places de marché ou « market places », etc.) ou celle qui se contente de classer ou de référencer des contenus, des biens ou des services proposés ou mis en ligne par des tiers (moteurs de recherche) ou bien encore les sites comparateurs en ligne.
  • Ces informations obligatoires devront être loyales, claires et transparentes.

Quelles sont ces nouvelles obligations dont les règles particulières applicables à certains opérateurs de plateformes sont établies dans les dispositions propres à chacun d’eux ? Tout opérateur de plateforme en ligne (toutes activités décrites ci-dessus) devra préciser dans une rubrique spécifique les modalités de référencement, déréférencement et de classement. Cette rubrique sera directement et aisément accessible à partir de toutes les pages du site et devra comporter les informations suivantes :

  • Les conditions de référencement et de déréférencement des contenus et des offres de biens et services, notamment les règles applicables pour être référencé et les obligations dont le non-respect conduit à être déréférencé.
  • Les critères de classement par défaut des contenus et des offres de biens et services, ainsi que leur principaux paramètres.
  • Le cas échéant, l’existence d’un lien capitalistique ou d’une rémunération entre l’opérateur de plateforme et les offreurs référencés dès lors que ce lien ou que cette rémunération exercent une influence sur le référencement ou le classement des contenus, des biens ou des services proposés ou mis en ligne.
  • Pour chaque résultat de classement, à proximité de l’offre ou du contenu classé, tout opérateur de plateforme web devra faire apparaître, par tout moyen distinguant ce résultat, l’information selon laquelle son classement a été influencé par l’existence d’une relation contractuelle, d’un lien capitalistique ou d’une rémunération entre l’opérateur de plateforme et l’offreur référencé.
  • De plus, tout opérateur de plateforme web devra faire apparaître, de manière lisible et aisément accessible, sur chaque page de résultats, le critère de classement utilisé ainsi que la définition de ce critère, y compris par renvoi à la rubrique évoquée ci-dessus.

Ce n’est pas fini. Tout opérateur de plateforme en ligne qui propose un service en ligne reposant sur la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service devra également préciser dans une rubrique directement et aisément accessible à partir de toutes les pages du site, sans que l’utilisateur ait besoin de s’identifier, les informations suivantes :

  • La qualité des personnes autorisées à déposer une offre de biens et de services, et notamment leur statut de professionnel ou de consommateur.
  • Le descriptif du service de mise en relation, ainsi que la nature et l’objet des contrats dont il permet la conclusion.
  • Le cas échéant, le prix du service de mise en relation ou le mode de calcul de ce prix, ainsi que le prix de tout service additionnel payant, lorsqu’ils sont mis à la charge du consommateur.
  • Le cas échéant, les modalités de paiement et le mode de gestion, opéré directement ou par un tiers, de la transaction financière.
  • Le cas échéant, les assurances et garanties proposées par l’opérateur de plateforme.
  • Les modalités de règlement des litiges et, le cas échéant, le rôle de l’opérateur de plateforme dans ce règlement.

On continue. Tout opérateur de plateforme en ligne qui met en relation des consommateurs ou des non-professionnels entre eux, à titre principal ou accessoire, devra indiquer également, de manière lisible et compréhensible :

  • La qualité de l’offreur, selon que l’offre est proposée par un professionnel ou par un consommateur ou non-professionnel, en fonction du statut déclaré par celui-ci;
  • Si l’offre est proposée par un consommateur ou un non-professionnel :  a) préalablement au dépôt de l’offre, les sanctions encourues par l’offreur s’il agit à titre professionnel alors qu’il se présente comme un consommateur ou un non-professionnel ;  b) pour chaque offre : le prix total des biens ou des services proposés, y compris, le cas échéant, les frais de mise en relation et tous les frais supplémentaires exigibles, sur la base du prix déclaré par l’offreur ; le droit de rétractation lorsque les parties au contrat l’ont prévu, ou, à défaut, l’absence de droit de rétractation pour l’acheteur ; l’absence de garantie légale de conformité des biens ; les dispositions du code civil relatives au droit des obligations et de la responsabilité civile applicables à la relation contractuelle, par l’affichage d’un lien hypertexte.

Encore un effort. Tout opérateur de plateforme en ligne, lorsqu’il met en relation des professionnels avec des consommateurs et permet la conclusion d’un contrat de vente ou de prestation de service, devra mettre à la disposition de ces professionnels l’espace nécessaire pour la communication des informations préalables à la vente d’un bien ou à la fourniture d’un service définies dans l’article L111-1 du Code de la consommation :

  • Les caractéristiques essentielles du bien ou du service, compte tenu du support de communication utilisé et du bien ou service concerné.
  • Le prix du bien ou du service.
  • En l’absence d’exécution immédiate du contrat, la date ou le délai auquel le professionnel s’engage à livrer le bien ou à exécuter le service.
  • Les informations relatives à son identité, à ses coordonnées postales, téléphoniques et électroniques et à ses activités, pour autant qu’elles ne ressortent pas du contexte.
  • S’il y a lieu, les informations relatives aux garanties légales, aux fonctionnalités du contenu numérique et, le cas échéant, à son interopérabilité, à l’existence et aux modalités de mise en œuvre des garanties et aux autres conditions contractuelles;
  • La possibilité de recourir à un médiateur de la consommation.

Voilà !

4/ Le traitement des données personnelles

En parallèle de la Loi pour une république numérique, le Réglement général européen sur les protections des données du 27 avril 2016 (RGPD) qui entrera en vigueur le 25 mai 2018 doit permettre à l’Europe de s’adapter aux nouvelles contraintes et réalités du numérique. Tout professionnel récoltant ainsi des données personnelles sera dans l’obligation de mettre en œuvre toute une série de mesures permettant ainsi d’assurer une protection maximale de ces données et d’en démontrer sa conformité.

  • On entend par données à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • On entend par traitement des données personnelles toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
  • Ce règlement s’applique lorsque les activités de traitement des données personnelles sont liées soit à l’offre de biens ou de services aux personnes concernées dans l’Union Européenne, qu’un paiement soit exigé ou non desdites personnes ; soit au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union Européenne. NB : Cela ne concerne pas les particuliers qui conservent des données à titre personnel.

Concernant la France, ce règlement supprimera certaines obligations de déclaration faites auprès de la CNIL. En revanche, il va en créer de nombreuses autres extrêmement laborieuses à mettre en œuvre. Sur ce sujet, nous vous conseillons d’aller justement sur le site de la CNIL qui résume très bien la situation et qui a mis en ligne tous les conseils, fichiers, tableaux et registres pour permettre la mise en place de ces nouvelles obligations : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels Comment se préparer en 6 étapes : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes Pour vous donner un avant goût de ces étapes répertoriées par la CNIL (en cliquant sur le lien ci-dessus, vous aurez tous les détails nécessaires):

  • Il faudra désigner un « pilote » :  « Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener. »
  • Il faudra cartographier les traitements des données personnelles : « Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point. »
  • Il faudra prioriser les actions à mener : « Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. « 
  • Il faudra gérer les risques : « Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA). »
  • Il faudra organiser des processus internes : « Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire). »
  • Il faudra documenter la conformité : « Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. »

Mise à jour du 23/11/2017 :

La CNIL vient également de mettre à disposition depuis le 22 novembre 2017 un logiciel (en version bêta) et utilisable sur les systèmes d’exploitation Windows, Mac Os et Linux : PIA (Privacy Impact Assesment). Son but est de faciliter les entreprises à se mettre en conformité avec ce Règlement européen (RGPD) quant au traitement des données personnelles.

Ce logiciel gratuit et est disponible en version française et anglaise à cette adresse : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Le mode d’emploi ainsi qu’une vidéo tutorielle y sont également disponibles :

Qui dit obligations dit sanctions et pénalités. Quelles sont-elles pour tout manquement lié aux traitements des données personnelles ? :

  • Selon la catégorie de l’infraction, la pénalité pourra être de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2 à 4% du  chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
  • Avant d’en arriver à ces mesures extrêmes, il pourra y avoir un avertissement, une mise en demeure de l’entreprise, une limitation temporaire ou définitive du traitement des données personnelles, une suspension des flux des données personnelles, l’ordre de satisfaire aux demandes d’exercice des droits des personnes, l’ordre de rectifier ou limiter ou effacer les données personnelles.

Bon courage !

Partager