| N° de demande d'avis : 24011552 | Thématiques : PEReN, loi visant à sécuriser et à réguler l'espace numérique (« loi SREN »), recherche publique, données publiquement accessibles, moissonnage, web scrapping | |:--------------------------------------------------------------------------------------------------------------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : le ministère de l'économie, des finances et de la souveraineté industrielle et numérique|Fondement de la saisine : article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique|

L'essentiel :

- le projet de décret vise à transposer au niveau règlementaire les évolutions issues de l'article 36 de la loi n° 2021-1382, notamment en élargissant aux activités de recherche publique les pouvoirs de collecte automatisée de données publiquement accessibles du PEReN ;
- le projet de décret étend l'ensemble des garanties prévues par le décret n° 2022-603 pour les activités d'expérimentation à l'activité de recherche du PEReN.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Vu la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique modifiée, notamment son article 36 ;
Sur la proposition de M. Bertrand du Marais, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Le PEReN est un service à compétence nationale créé par le décret n° 2020-1102 du 31 août 2020 et placé sous l'autorité conjointe des ministres chargés de l'économie, de la culture et du numérique.
Le PEReN a pour mission d'appuyer les services de l'Etat intervenant dans la régulation des plateformes numériques, dans leurs travaux de conception, de mise en œuvre et d'évaluation de cette régulation. A cette fin, le PEReN peut mener plusieurs types d'activités :

- il fournit un appui aux autorités administratives indépendantes et aux autorités publiques indépendantes intervenant dans la régulation des plateformes numériques qui le souhaitent et qui concluent alors une convention avec ce service.
- il mène des activités d'expérimentation visant à utiliser, concevoir ou évaluer des outils techniques destinés à aider les autorités publiques dans leur mission de régulation des opérateurs de plateformes en ligne ;
- il conduit, à son initiative, des activités de recherche publique, au sens de l'article 112-1 du code de la recherche, pour développer une capacité d'expertise en appui aux politiques publiques et contribuer à la diffusion des connaissances scientifiques.

Le PEReN a rapidement fait valoir des difficultés liées au cadre de collecte des données publiquement accessibles utiles à ses travaux et au refus de certaines plateformes numériques de coopérer avec lui. En conséquence, le législateur a autorisé ce service à mettre en œuvre des méthodes de collecte automatisée de données publiquement accessibles en ligne dans le cadre de ses activités d'expérimentation (article 36 de la loi n° 2021-1382 du 25 octobre 2021). Il prévoit que les opérateurs des plateformes ne puissent pas lui opposer un refus d'accès aux services existants de mise à disposition de ces données ou une interdiction de collecte automatisée au travers des conditions générales d'utilisations (CGU).
Le décret n° 2022-603, pris pour l'application de ces dispositions, est venu préciser les méthodes de collecte automatisée de données publiquement accessibles que le PEReN était autorisé à mettre en œuvre dans le cadre de ces expérimentations. La CNIL a rendu un avis dans le cadre de sa délibération n° 2022-030 du 10 mars 2022.
Le directeur du PEReN a complété ce texte par une décision du 1^er juillet 2022 portant création d'un traitement automatisé de données à caractère personnel mis en œuvre dans le cadre des activités d'expérimentation de ce service.

B. - L'objet de la saisine

La loi SREN est venue modifier l'article 36 de la loi n° 2021-1382 à plusieurs égards. La CNIL a rendu un avis sur une partie de ces modifications dans le cadre de sa délibération n° 2023-036 du 20 avril 2023.
Le IV de l'article 62 élargit le périmètre des opérateurs objets des activités du PEReN, tant en matière d'expertise et d'appui technique aux autorités administratives indépendantes et autorités publiques indépendantes qu'en matière d'expérimentation ou de recherche publique. Initialement limités aux opérateurs de plateformes numériques, tels que définis à l'article L. 111-7-I du code de la consommation (désormais abrogé), ce périmètre est désormais étendu aux opérateurs de services de plateforme essentiels, tels que définis à l'article 2 du règlement (UE) 2022/1925 relatif aux marchés contestables et équitables dans le secteur numérique (ci-après le « règlement européen sur les marchés numériques ») et aux opérateurs de services de communication au public en ligne reposant sur le traitement de contenus, de biens ou de services, au moyen d'algorithmes informatiques.
L'article 42 précise, par ailleurs que les activités de recherche du PEReN peuvent contribuer à la détection, à la détermination et à la compréhension des risques systémiques dans l'Union européenne, au sens du paragraphe 1 de l'article 34 du règlement (UE) 2022/2065 relatif à un marché unique des services numériques.
Ensuite, ce même article 42 étend aux activités de recherche les pouvoirs, initialement limités à la seule activité d'expérimentation, permettant la collecte automatisée de données publiquement accessibles du PEReN, notamment dans des conditions dérogatoires, aux conditions générales d'utilisation ou les licences des services des opérateurs.
Enfin, il fixe la durée maximale de conservation des données à cinq ans, pour les données collectées par ce service au titre de ses activités de recherche publique à comparer à 9 mois pour son activité d'expérimentation.
Le ministère de l'économie, des finances et de la relance a saisi la CNIL d'une demande d'avis relative à un projet de décret modifiant le décret n° 2022-603 afin de tenir compte de ces évolutions au niveau règlementaire.
Le projet de décret modificatif appelle les observations suivantes de la CNIL.

II. - L'avis de la CNIL
A. - Sur les garanties mises en œuvre

Le projet de décret étend l'ensemble des garanties prévues par le décret n° 2022-603 pour les activités d'expérimentation à l'activité de recherche du PEReN. Ainsi, seules les données publiquement accessibles sur les services des opérateurs concernés pourront être collectées. Par ailleurs, le recours à un système de reconnaissance faciale ou d'identification vocale est exclu. En outre, si la création de comptes dédiés sur les services des opérateurs concernées est autorisée, ces derniers ne pourront pas être utilisés par les agents du PEReN pour entrer en relation avec les personnes concernées. De plus, afin d'assurer la proportionnalité de la collecte, la sélection des contenus à collecter sur les services s'opère par application de critères techniques déterminés, dans la limite de la constitution d'échantillons de données statistiquement représentatifs de faible amplitude. Enfin, les données collectées qui ne sont pas nécessaires aux finalités poursuivies -tant d'expérimentation que dorénavant de recherche- ainsi que les données sensibles, au sens de l'article 6 de la loi « informatique et libertés » quelle que soit la finalité mise en œuvre, sont détruites immédiatement après leur collecte, selon un procédé automatisé. La CNIL approuve l'extension de ces garanties qui est indispensable compte de l'élargissement des pouvoirs de collecte automatisée de données publiquement accessibles du PEReN en matière de recherche publique.
Par ailleurs, le directeur du PEReN a adopté une décision du 1^er juillet 2022 portant création d'un traitement automatisé de données à caractère personnel mis en œuvre dans le cadre de ses activités d'expérimentation. Cette décision a permis au PEReN de préciser l'encadrement des traitements de données ayant vocation à être mis en œuvre en prenant en compte les principales recommandations que la CNIL avait formulé dans sa délibération n° 2022-030 du 10 mars 2022 sur les caractéristiques essentielles de ces traitements. Elle prévoit notamment la réalisation d'analyse d'impact sur la protection des données (AIPD), les obligations en matière de journalisation des accès aux données à caractère personnel ainsi que les modalités d'information et d'exercice des droits des personnes concernées. Elle interdit toute réutilisation des données à d'autres fins que celles prévues dans le cadre de l'expérimentation ayant justifié la collecte et exclut la transmission des données à des tiers autre qu'un sous-traitant du service. Enfin, elle vient préciser le contenu du rapport annuel qui devra être transmis au Parlement et à la CNIL afin d'assurer une transparence sur les traitements de données.
La CNIL invite le PEReN à s'assurer que, par cohérence, l'ensemble de ces garanties s'appliquent également aux activités de recherche soit en modifiant la décision du 1^er juillet 2022 pour l'élargir aux activités de recherche soit en adoptant une nouvelle décision.
Enfin, la CNIL réitère les recommandations qu'elle a formulées au titre de sa délibération n° 2022-030 du 10 mars 2022, notamment s'agissant du droit d'opposition et invite le PEReN à clarifier la portée du droit d'opposition, notamment dans sa décision du 1^er juillet 2022. A cet égard, elle prend acte de l'engagement du gouvernement de préciser dans sa décision la durée de conservation des informations strictement nécessaires pour assurer le respect du droit d'opposition. La CNIL invite également le PEReN à prévoir, dans sa décision, que le droit d'opposition puisse concerner l'ensemble des activités de recherche ou d'expérimentations ayant vocation à être mises en œuvre sans qu'il soit nécessaire, pour les personnes concernées, de renouveler l'exercice de leur droit pour chaque traitement de données à caractère personnel réalisé dans le cadre de l'une de ces activités.

B. - Sur la notion de données publiquement accessibles

L'article 36 la loi n° 2021-1382 prévoit que les méthodes de collecte automatisée des données publiquement accessibles peuvent être notamment mises en œuvre auprès des fournisseurs de systèmes d'intelligence artificielle.
Le ministère a précisé que cette extension du périmètre permet la collecte de données générées, en réponse à une requête du PEReN, par des services commerciaux d'intelligence artificielle ou par une fonctionnalité d'intelligence artificielle générative intégrée dans un service de plateforme numérique.
En principe, la notion de données publiquement accessibles ne vise pas des données produites suite à des requêtes auprès des services des opérateurs lorsque ces requêtes impliquent une opération autre que la simple communication des informations. La CNIL souligne cet élargissement de la notion de données publiquement accessible qui est justifié en l'espèce :

- par les activités spécifiques du PEReN ;
- par les dispositions de la loi qui visent spécifiquement la collecte automatisée de données publiquement accessibles auprès des fournisseurs de systèmes d'intelligence artificielle ;
- par le caractère strictement nécessaire et proportionné de cette collecte dont il conviendra de s'assurer, en pratique, au cas par cas compte tenu des finalités des traitements envisagés.

C. - Sur les durées de conservation

L'article 36 la loi n° 2021-1382 prévoit que les données collectées dans le cadre des activités de recherche publique sont détruites à l'issue des travaux, et, dorénavant au plus tard cinq ans après leur collecte.
La durée de cinq ans, prévue par la loi, est une durée maximale : le PEReN devra déterminer, pour chaque projet de recherche, la durée de conservation des données à caractère personnel strictement appropriée en fonction de la finalité poursuivie, conformément au principe de limitation de la conservation prévu à l'article 5.1.e du RGPD.