Après avoir entendu le rapport de M. Bertrand du MARAIS, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement ;
Etant rappelés les éléments de contexte suivants :
Le pôle d'expertise de la régulation numérique (ci-après le « PEReN ») est un service à compétence nationale créé par le décret n° 2020-1102 du 31 août 2020 et placé sous l'autorité conjointe des ministres chargés de l'économie, de la culture et du numérique.
Le PEReN a notamment pour missions :
- de fournir un appui aux autorités administratives indépendantes et aux autorités publiques indépendantes intervenant dans la régulation des plateformes numériques. Dans ce cas, le cadre d'intervention est défini par des conventions ;
- d'apporter son expertise dans le cadre de travaux de recherche commandités par ces services, en réalisant des études à caractère exploratoire ou scientifique.
Depuis sa mise en place, le PEReN fait valoir des difficultés, dans l'exercice de ses activités, liées au cadre de collecte des données publiquement accessibles utiles à ses travaux et au refus de certaines plateformes numériques de coopérer avec lui. Il s'est ainsi vu refuser par un opérateur de plateforme l'accès à son interface de programmation (API) mise à disposition des chercheurs, tandis que les conditions générales d'utilisation (CGU) des services des plateformes numériques interdisent explicitement la collecte automatisée de données en dehors de telles API (« moissonnage du web », ou « web scrapping »).
En conséquence, le législateur a autorisé, par l'article 36 de la loi n° 2021-1382 du 25 octobre 2021, ce service à effectuer des collectes de données publiquement accessibles en ligne sans que les opérateurs des plateformes puissent lui opposer un refus d'accès aux services existants de mise à disposition de ces données ou une interdiction de collecte automatisée au travers des CGU.
Le projet de décret, pris pour l'application de cet article, a pour objet :
- d'une part, de prévoir la liste des autorités administratives indépendantes et des autorités publiques indépendantes autorisées à recourir à l'expertise du PEReN dans le cadre de conventions (article 1er du projet de décret) ; et
- d'autre part, d'encadrer les traitements automatisés permettant la collecte de données publiquement accessibles sur les plateformes en ligne. Ces traitements interviendront dans le cadre d'expérimentations, c'est-à-dire en l'espèce de programme de recherche, visant à concevoir ou évaluer des outils techniques destinés à aider les autorités publiques en bénéficiant, dans leur mission de régulation des opérateurs de plateformes en ligne.
Si la Commission n'a pas de remarques à formuler sur l'article 1er du projet de décret, les articles 2 et suivants concernant les modalités de mise en œuvre des expérimentations appellent les observations suivantes.
Formule les observations suivantes sur le projet de décret :
Concernant l'économie générale des traitements de données à caractère personnel envisagés
Sur l'objet et le fonctionnement des expérimentations
A titre liminaire, il semble nécessaire de relever que les activités d'expérimentation du PEReN impliquent la mise en œuvre non pas d'un seul mais de plusieurs traitements automatisés de données à caractère personnel, chaque expérimentation ayant ses caractéristiques propres. Le projet de décret a vocation à définir un cadre règlementaire pour plusieurs traitements présentant des caractéristiques communes. Les finalités de ces traitements, qui devront s'inscrire dans l'objet précisé par le projet de décret, seront définies ultérieurement dans le cadre des analyses d'impact sur la protection des données (AIPD) qui devront être réalisées pour chaque expérimentation, ainsi que le prévoit l'article 7 du projet.
Au regard de ces éléments, la Commission prend acte de l'engagement du Gouvernement de modifier la deuxième phrase de l'article 5 du projet de décret en ce sens : « Ces traitements permettent de mener des activités d'expérimentation visant à concevoir ou évaluer des outils techniques destinés à la régulation des opérateurs mentionnés au I de l'article L. 111-7 du code de la consommation ou ayant pour objet la réflexion portant sur cette régulation ».
Chaque expérimentation se décomposera en plusieurs phases. Dans un premier temps, en vertu des dispositions du cinquième alinéa l'article 36 de la loi du 25 octobre 2021, le PEReN peut à son initiative propre, mener une expérimentation, y compris dans le cadre de l'expression d'un besoin formulé par une autorité administrative. En amont de la collecte, le PEReN doit adresser une notification à l'opérateur de plateforme en ligne concerné. Celui-ci dispose d'un délai de six semaines pour formuler ses observations sur la préservation de la sécurité de ses services et, le cas échéant, fournir les informations nécessaires à l'utilisation de ses interfaces de mise à disposition de données (ou API, pour « Application Programing Interface »). Une phase de détermination des critères techniques devra permettre d'orienter l'opération de collecte par la sélection des contenus nécessaires aux objectifs de l'outil que le PEReN sera chargé de concevoir. La collecte des données sera ensuite activée sur l'ensemble des plateformes précédemment ciblées et notifiées, notamment par des techniques d'extraction du contenu de sites, via des scripts ou des programmes automatisés ou encore l'utilisation d'API. Les données collectées feront ensuite l'objet de traitements automatisés afin de séparer les informations à conserver (celles qui correspondent aux catégories de données formant le modèle de données préalablement défini) de celles qui doivent être immédiatement supprimées (à savoir, les données non nécessaires à la finalité et les données sensibles). Les données conservées à l'issue de cette opération seront ensuite exploitées en vue de la finalité préalablement définie.
Au regard de ces éléments, quelle que soit l'utilisation finale de l'outil visant à être conçu ou évalué, la Commission estime que les expérimentations menées par le PEReN relèveront du RGPD dès lors qu'elles ont pour seul objet la mise au point d'outils techniques en vue d'améliorer la réflexion portant sur la régulation des opérateurs de plateformes en ligne. La base légale des traitements de données sera l'exécution de sa mission d'intérêt public, conformément à l'article 6.1.e du RGPD. Conformément à l'article 36 de de la loi n° 2021-1382 du 25 octobre 2021 les traitements seront sous la responsabilité du PEReN, placé sous l'autorité de son chef de service.
Sur la légitimité des expérimentations et les garanties prévues par le projet de décret
La seule circonstance que les données soient accessibles sur internet n'autorise pas toute personne à les collecter et à les exploiter pour toute finalité, la licéité de chaque traitement devant être appréciée au cas par cas. De plus, la nature de tels traitements est susceptible de porter atteinte à certains droits et libertés fondamentaux, dont la liberté d'expression et la liberté d'opinion. De telles atteintes ne peuvent être admises que si des garanties suffisantes sont prévues. Ainsi, une attention particulière doit être accordée au principe de transparence ainsi qu'aux principes de minimisation des données et de protection des données dès la conception.
En l'espèce, les expérimentations sont justifiées au titre de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 précitée, par l'objectif légitime de renforcer les moyens des services de l'Etat intervenant dans le champ de la régulation des opérateurs de plateformes numériques, et qui se heurtent au refus d'accès aux services existants de mise à disposition de ces données ou à une interdiction de collecte automatisée au travers des contrats qui lient ces opérateurs avec leurs usagers. Le PEReN a souligné lors des échanges qu'une partie des expérimentations aura un intérêt propre, indépendamment d'un besoin exprimé par un service de l'Etat ou d'un projet de création d'un outil spécifique. Cependant, s'agissant des expérimentations qui auront précisément pour objet de concevoir un outil particulier pour une autorité publique, le PEReN et les autorités bénéficiaires devront être particulièrement vigilants à ce que leur utilisation puisse elle-même être licite dans le cadre des procédures et missions des autorités, et ce à droit constant ou en faisant évoluer le cadre juridique. En particulier, si les outils mis à disposition des autorités bénéficiaires conduisent celles-ci à opérer une analyse automatique de catégories de données publiquement accessibles, il conviendra de s'interroger sur la licéité de ce mode d'enquête ou d'étude, qui implique souvent un traitement massif de données à caractère personnel, notamment au regard de l'exigence constitutionnelle de proportionnalité des atteintes à la vie privée.
Le projet de décret prévoit d'ores et déjà plusieurs garanties que la Commission juge essentielles.
Tout d'abord, le projet rappelle que, conformément à l'article 36 de la loi, seules les données publiquement accessibles sur les plateformes en ligne des opérateurs concernés pourront être collectées. La Commission prend acte de ce que, selon les précisions apportées par le PEReN, la référence aux « contenus publiquement accessibles » exclut les contenus faisant l'objet d'un accès restreint, notamment lorsqu'ils nécessitent une demande d'accès préalable ou une étape de validation de connexion (par exemple, un groupe fermé sur un réseau social ou un service de messageries en ligne). Par ailleurs, ces données devront être détruites à l'issue des travaux d'expérimentation, au plus tard, au terme d'un délai de neuf mois après leur collecte. Par ailleurs, si le projet de décret autorise la création de comptes dédiés sur les plateformes concernées, il précise que ces derniers ne pourront pas être utilisés par les agents du PEReN pour entrer en relation avec les personnes concernées. En outre, il interdit toute réutilisation des données à d'autres fins que celles prévues dans le cadre de l'expérimentation ayant justifié la collecte et exclut la transmission des données à des tiers autre qu'un sous-traitant du service. Enfin, afin d'assurer une transparence sur les traitements de données mis en œuvre dans le cadre des expérimentations menées, le projet de décret vient préciser le contenu du rapport annuel qui devra être transmis au Parlement et à la Commission.
Compte tenu de ces garanties, et sous réserve des observations qui suivent, la Commission considère que les traitements envisagés sont proportionnés.
Concernant les dispositions du projet de décret
Sur les modalités de la collecte et de l'exploitation des données
A titre liminaire, la Commission prend acte de ce qu'aucun traitement de données à caractère personnel ne sera mis en œuvre au cours de la phase de détermination des critères techniques de chaque activité d'expérimentation.
En premier lieu, la Commission attire l'attention du Gouvernement sur la nécessité de mettre en place des garanties appropriées pour s'assurer que l'intégralité des données à caractère personnel publiquement accessibles sur les plateformes en ligne ne soit pas collectée et ainsi assurer la proportionnalité de la collecte.
Tout d'abord, la Commission considère que la phase de détermination des critères techniques doit permettre de cibler la collecte en s'assurant que seules les informations dont le type et le la nature sont proportionnées aux finalités préalablement définies dans le cadre des AIPD soient collectées.
Ensuite, conformément aux précisions apportées par le ministère, la Commission invite le ministère à compléter le projet de décret afin de préciser que la collecte ne s'effectuera que sur des échantillons de données aléatoires et de faible amplitude ; cette amplitude devra être documentée dans le cadre de chaque AIPD.
Enfin, les expérimentations envisagées ne doivent pas engendrer une collecte permanente de données sur les plateformes concernées. La durée de la collecte et la période de récupération des données (profondeur historique) de chaque projet devront être documentées dans le cadre de chaque AIPD.
En second lieu, en raison des contraintes imposées aujourd'hui par les interfaces de mise à disposition des données ou des caractéristiques inhérentes aux opérations de moissonnage (« scraping ») mises en œuvre, l'opération de collecte déclenchée sur la base des critères techniques préalablement déterminés pourra, en pratique, conduire à collecter des données non nécessaires aux finalités préalablement définies ainsi que des catégories particulières de données à caractère personnel qui pourraient constituer des données sensibles (opinions politiques, convictions religieuses ou philosophiques, état de santé ou orientation sexuelle, etc.). Le 6° et le 7° de l'article 7 du projet de décret prévoient que ces données seront immédiatement et automatiquement supprimées.
La Commission souligne la nécessité de s'assurer de l'effectivité des mesures techniques appropriées permettant, à l'issue de leur collecte, de procéder à la suppression immédiate et automatisée des données considérées comme non pertinentes pour la phase d'exploitation, à défaut de procédés techniques permettant d'opérer un tri suffisant en amont de la collecte. Les méthodes à disposition du PEReN afin d'identifier les données non pertinentes en aval de la collecte, telles que la sélection des contenus par catégorie (publications, commentaires, etc.) ne permettent pas un tri exhaustif. En conséquence, la Commission interprète les dispositions du projet de décret comme impliquant que le PEReN devra veiller à supprimer toute donnée non pertinente dès qu'elle sera identifiée comme telle dans le cadre de l'exploitation.
Par ailleurs, s'agissant plus particulièrement des données sensibles et des données d'infraction, leur sensibilité rend nécessaire la mise en œuvre de garanties supplémentaires, en amont de l'opération de collecte.
A cet égard, la Commission prend acte de ce que le PEReN exclut la réalisation d'expérimentation qui conduirait par nature, en raison des finalités poursuivies, à la collecte de telles données. La Commission recommande également de limiter le risque de collecter de telles données en excluant les recherches pouvant mener à leur collecte (lors de la sélection de mots clés, par exemple).
Sur les catégories de données et technologies utilisées
L'article 6 du projet de décret prévoit l'exclusion de tout recours à un système de reconnaissance faciale lors de la phase de sélection des contenus à collecter, conformément aux dispositions de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021.
D'autres systèmes de reconnaissance biométrique peuvent toutefois présenter certaines des failles connues relatives aux systèmes de reconnaissance faciale, comme la présence de biais dus à un manque de représentativité des données d'entraînement qui peuvent entraîner des risques de discrimination pour les personnes. La Commission recommande ainsi qu'une vigilance particulière soit accordée aux expérimentations traitant des données biométriques comme le gabarit vocal ou tout autre gabarit biométrique de personnes. En tout état de cause aucun traitement de données biométriques aux fins d'identifier une personne physique de manière unique ne devra être mis en œuvre.
De plus, le PEReN a indiqué que des algorithmes d'identification des traits physiques dont la finalité n'est pas l'identification des personnes pourraient être utilisés par le dispositif. La Commission recommande que ces techniques soient soumises à une analyse spécifique portant sur la présence de biais et les risques de discrimination des personnes lors des expérimentations prévues, notamment pour celles qui ont vocation à proposer des outils aux autorités habilitées à recourir au PEReN.
Sur l'information des personnes concernées
L'article 10 du projet de décret prévoit que les personnes concernées sont informées au travers d'annonces écrites publiées sur le site web du PEReN.
Le ministère entend ainsi déroger, par application des dispositions de l'article 14.5.b du RGPD, à l'obligation d'informer les personnes concernées de manière individuelle ; une telle obligation exigerait, en effet, des efforts disproportionnés et conduirait à la collecte ou à la conservation des données d'identification alors que celles-ci ne seront pas toujours collectées et, lorsqu'elles le seront, feront l'objet d'une suppression rapide ou, a minima, d'une pseudonymisation.
Le projet de décret prévoit des mesures appropriées pour protéger les droits, les libertés et les intérêts légitimes des personnes concernées, conformément à l'article 14.5.b du RGPD : une information générale sera délivrée sur le site web du PEReN présentant notamment les différentes expérimentations, les sources de collecte et les droits des individus liés à la protection de données à caractère personnel les concernant. Sur ce point, la Commission insiste sur la nécessité de délivrer une information compréhensible par le plus grand nombre afin de permettre aux internautes de prendre conscience des conditions précises dans lesquelles les données à caractère personnel les concernant sont susceptibles d'être collectées à tout moment. D'autres mesures sont prévues par le projet de décret, telles que la réalisation d'une AIPD pour chaque expérimentation ou encore l'application, le cas échéant, de techniques de pseudonymisation.
Sur le périmètre de l'exercice du droit d'opposition
L'article 10 du projet de décret prévoit que le droit d'opposition s'exercera dans les conditions prévues à l'article 21 du RGPD.
La Commission considère que, pour assurer son effectivité, le droit d'opposition doit pouvoir concerner l'ensemble des expérimentations ayant vocation à être mises en œuvre sans qu'il soit nécessaire, pour les personnes concernées, de renouveler l'exercice de leur droit pour chaque traitement de données à caractère personnel réalisé dans le cadre des expérimentations. Dès lors, elle invite le ministère à compléter le projet de décret pour clarifier la portée du droit d'opposition.
Sur la conservation des journaux
Le 5° de l'article 7 du projet de décret prévoit les modalités de journalisation des traces et précise que ces informations seront conservées pendant trois ans.
La Commission considère que cette durée de conservation est excessive au vu de la durée de conservation prévue de neuf mois pour les données à caractère personnel collectées dans le cadre du traitement. En effet, la conservation des traces de journalisation après la suppression des données visées par cette journalisation ne paraît pas utile au-delà d'une durée transitoire permettant leur exploitation. La Commission recommande ainsi que les traces soient conservées pour une durée d'au maximum un an après leur journalisation pour tenir compte de cette durée transitoire.
Par ailleurs, le ministère a indiqué qu'aucun traitement automatisé des traces de journalisation n'était actuellement mis en place. La Commission recommande fortement de réaliser un contrôle des traces de manière automatique, afin de détecter d'éventuels comportements anormaux et de générer des alertes, le cas échéant.
Les autres dispositions du projet de décret, notamment celles sur les durées de conservation, n'appellent pas d'observation supplémentaire de la part de la Commission.
Formule les observations suivantes quant aux conditions de mise en œuvre :
Sur les données d'identification déclarées par les titulaires de comptes
L'article 6 du projet de décret prévoit que les données d'identification déclarées par les titulaires de comptes sont susceptibles d'être collectées.
Selon le PEReN, ces données peuvent représenter des informations utiles pour certaines expérimentations, à partir desquelles peuvent être dérivées des variables prédictives (à titre illustratif, la présence de caractères numériques dans l'identifiant d'un compte de réseau social est un indicateur du caractère automatique d'un compte).
Le ministère a toutefois précisé que, lorsque la finalité de l'expérimentation le permet, ces données doivent faire l'objet d'une pseudonymisation. Le cas échéant, la Commission recommande que la pseudonymisation soit effectuée juste après la collecte des données et que le recoupement, sur plusieurs plateformes en ligne, à partir des identifiants collectés, ne soit possible qu'après avoir conduit une analyse documentée dans l'AIPD afin de mettre en balance l'intérêt de ce recoupement et les risques pour les droits et libertés des personnes concernées.
Sur les modalités concrètes de mise en œuvre d'exercice des droits
L'article 10 du projet de décret prévoit que l'ensemble des droits consacrés par le RGPD s'exerceront auprès du chef du PEReN.
En premier lieu, la Commission relève que lorsque le PEReN ne sera pas en mesure d'identifier la personne concernée, l'article 11 du RGPD permettra d'écarter l'application de ces droits sans préjudice de la possibilité, pour les personnes concernées, d'apporter des informations complémentaires à des fins de réidentification aux fins d'exercice de leurs droits.
En deuxième lieu, s'agissant plus précisément du droit d'opposition, le PEReN prévoit de constituer une « liste repoussoir » qui permettrait aux personnes concernées de s'opposer à la collecte de leurs données sur les plateformes en ligne en fournissant leurs données d'identification sur les plateformes en amont des expérimentations.
La Commission considère que la mise en œuvre d'une telle liste contribue à assurer l'effectivité d'un droit d'opposition préalable sous réserve des observations suivantes.
Tout d'abord, elle recommande la mise en œuvre de mesures techniques et organisationnelles permettant d'assurer le respect des principes de minimisation des données et de protection des données dès la conception. Ainsi, afin de limiter l'impact que pourrait avoir la divulgation accidentelle ou la perte d'une telle liste au profit d'un attaquant, elle recommande au PEReN de ne conserver que les seules empreintes cryptographiques des identifiants des personnes concernées, en supprimant tout lien entre les identifiants d'une même personne afin d'empêcher le recoupement des identifiants utilisés par une même personne sur les plateformes, ainsi que la suppression immédiate des données brutes.
Ensuite, ces informations, qui restent des données à caractère personnel, devront être conservées dans le respect du principe de limitation de la conservation. Compte tenu du fait que les expérimentations menées par le PEReN ont vocation à être mises en œuvre de manière indéterminée dans le temps, elle recommande d'offrir aux personnes concernées la possibilité de s'opposer pour différentes durées plus ou moins longues. A titre d'exemple, la personne concernée pourra faire son choix parmi différentes durées de conservation prédéterminées par le PEReN (par exemple, de quelques mois à quelques années). En tout état de cause, les personnes concernées devront être informées de la durée de conservation afin d'assurer une transparence sur le traitement de données mis en œuvre dans le cadre de la « liste repoussoir ».
Enfin, la Commission rappelle que le droit d'opposition doit pouvoir s'exercer à tout moment et que le PEReN devra prévoir des modalités de suppression des données conservées en base.
Sur la sécurité du système
Le PEReN a indiqué que les données collectées pourraient être accessibles aux agents habilités en dehors du réseau de son ministère de tutelle. La Commission recommande la mise en place d'un mécanisme de double authentification.
Le PEReN a également indiqué que l'utilisation de traitements algorithmiques d'« intelligence artificielle » était prévue. La Commission souligne qu'au vu des difficultés que ce type d'algorithmes peut poser en termes d'explicabilité, leur utilisation sur des données à caractère personnel doit faire l'objet d'une revue particulière afin d'en identifier les limites potentielles avant le déploiement de l'outil faisant l'objet d'une expérimentation. La Commission recommande ainsi, lorsque cela ne nuirait pas à l'expérimentation, que les algorithmes utilisés soient publiés et soumis à un procédé de revue par les pairs.
Par ailleurs, en application du principe de moindre privilège, la Commission recommande de séparer les habilitations d'accès aux données et celles relatives à la maîtrise technique des outils de collecte (ces dernières permettant notamment la sélection des catégories de données à collecter et de celles devant être supprimées immédiatement après la collecte).