Délibération 2019-135 du 12 novembre 2019

Commission Nationale de l'Informatique et des Libertés
Délibération n°2019-135 du 12 novembre 2019
Délibération n° 2019-135 du 12 novembre 2019 portant avis sur un projet de loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique (demande d’avis n° 19018612)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par le Ministère de la culture d’une demande d’avis concernant un projet de loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8.I 4° a) ;

Vu la loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication ;

Vu le décret n° 2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles;

Après avoir entendu M. Christian KERT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Émet l’avis suivant :

Le projet de loi dont est saisie la Commission modifie en profondeur la loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication. D’une part, il prévoit des mesures tendant à soutenir le développement et la création de la communication audiovisuelle ; plusieurs dispositions du texte visent ainsi à moderniser et simplifier le régime de contribution des éditeurs de services de télévision et de services de médias audiovisuels à la demande (SMAD) à la production d’œuvres. D’autre part, des mesures visent à l’adaptation de la régulation et du rôle des régulateurs qui en sont chargés, en particulier à travers la fusion du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI) au sein d’une autorité unique, l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM). Enfin, le projet de loi prévoit des mesures relatives à la transformation de l’audiovisuel public à l’ère numérique.

Les articles du projet de loi qui contiennent des dispositions relatives au traitement de données à caractère personnel concernant les utilisateurs de services de télévisions et de services de médias audiovisuels appellent les observations suivantes.

S’agissant de l’article 6 (modernisation et simplification du régime de contribution des éditeurs de services de télévision et de SMAD à la production d’œuvres)

Le projet de loi prévoit que les SMAD visés à l’article 6 devront conclure avec l’ARCOM une convention qui prévoit notamment que les ayants droit aient accès aux données relatives à l’exploitation de leurs œuvres et notamment leur visionnage . En effet, les éléments relatifs à l’audience générée par les œuvres diffusées, tel le nombre de visionnages rattaché à des téléspectateurs, et donc susceptibles de contenir des données à caractère personnel, peuvent être pris en considération pour déterminer la rémunération des ayants droit.

La Commission estime que l’objectif poursuivi par la convention ne doit pas amener les SMAD à transmettre aux ayants droit les données personnelles de leurs utilisateurs, et peut être satisfait au moyen de données anonymes et statistiques.

S’agissant des articles 23 et 24 (transposition des dispositions de la directive 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique, en introduisant de nouvelles dispositions dans le code de la propriété intellectuelle)

La Commission observe que ces dispositions excluent une quelconque identification des utilisateurs individuels, ce qui n’appelle pas d’observations de sa part.

S’agissant de l’article 36 (abrogation de l’article 3 de la loi du 30 septembre 1986 relatif au secret des choix)

L’article 3 de la loi du 30 septembre 1986 énonce que : Le secret des choix faits par les personnes parmi les services de communications électroniques et parmi les programmes offerts par ceux-ci ne peut être levé sans leur accord .

Le régime protecteur actuellement en vigueur est la conséquence de la nature particulière des informations relatives aux programmes visualisés, lesquels peuvent s’avérer particulièrement révélateurs des habitudes ou modes de vie des personnes concernées.

La Commission tient à rappeler que si cette disposition était abrogée, d’autres législations protectrices de la vie privée des personnes continueraient à s’appliquer à l’opération de collecte de ces informations ainsi qu’à l’ensemble des autres traitements de données à caractère personnel mis en œuvre dans ce cadre - traitements de mesures d’audience et analyses statistique, de ciblage publicitaire ou encore recommandation de contenus. De tels traitements doivent en effet, en tout état de cause, respecter l’ensemble des dispositions relatives à la protection des données à caractère personnel ainsi que les textes spécifiques éventuellement applicables (article 82 de la loi informatique et libertés concernant l’accès en lecture et écriture des terminaux depuis un service de communication en ligne ouvert en public, article L. 34-1 du code des postes et des communications électroniques concernant les données traitées dans le cadre de la fourniture au public de services de communications électroniques, etc.).

S’agissant de l’article 43 (possibilité donnée aux autorités administratives ou publiques indépendantes intervenant dans la régulation des opérateurs de plateforme en ligne de recourir à l’expertise et à l’appui d’un service administratif de l’Etat désigné par décret en Conseil d’Etat)

La Commission accueille avec intérêt la possibilité de recourir à l’expertise et l’appui d’un service administratif de l’Etat dans le cadre de son action de régulation des opérateurs de plateforme en ligne, tout en soulignant que les spécificités liées à ses pouvoirs, notamment de contrôle et de sanction, nécessitent qu’elle dispose en interne des ressources lui permettant de conduire de manière satisfaisante et autonome ses missions.

S’agissant des articles 58 et 63 (renforcement des mesures de protection des mineurs sur l’ensemble des services de médias audiovisuels)

L’article 58 transpose les dispositions de la directive s’appliquant aux services de partage de vidéos et prévoit notamment des dispositifs de vérification d’âge et de contrôle parental à la charge des services de plateforme de partage de vidéos. Il pose comme principe que les données personnelles des mineurs collectées ou générées par les fournisseurs dans le cadre de ces dispositifs ne doivent pas être utilisées à des fins commerciales, telles que le marketing direct, le profilage et la publicité sur le comportement.

L’article 63 précise que l’ARCOM s’assure notamment de la mise en œuvre d’un procédé technique de contrôle d’accès adapté à la nature des services de médias audiovisuels à la demande. Il énonce par ailleurs que les données à caractère personnel de mineurs traitées par les éditeurs de services de communication audiovisuelle à l’occasion de la mise en œuvre des alinéas précédents ne doivent pas être utilisées à des fins commerciales, notamment publicitaires .

La Commission prend acte de la mise en place de dispositifs de vérification d’âge et de contrôle parental visant à protéger les mineurs qui devraient conduire au traitement de données personnelles relatives aux mineurs. Conformément au principe de finalité posé par le Règlement (UE) 2016/649 général sur la protection des données (RGPD) et la loi informatique et libertés , les données personnelles des mineurs ainsi collectées ne pourront pas être utilisées en dehors de la finalité des dispositifs de vérification d’âge et de contrôle parental, ce qui exclut ainsi toute utilisation notamment à des fins commerciales.

En tout état de cause, la Commission rappelle que le contrôle de la conformité de tels traitements de données au RGPD et à la loi informatique et libertés relève de ses attributions.

Plus largement, la Commission rappelle que le sujet de la vérification de l’âge soulève des interrogations, notamment au regard du principe de minimisation des données, tel que prévu par le RGPD. Elle précise qu’elle mène actuellement une réflexion sur cette thématique.

Les autres dispositions du projet de loi n’appellent pas d’observations de la Commission.

La Présidente

Marie-Laure DENIS




Nature de la délibération: AVIS
Date de la publication sur legifrance: 10 décembre 2019