Délibération n° 2024-066 du 26 septembre 2024 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l'appui du pôle d'expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d'expérimentation
| Numéro | 2024-066 |
| Date | jeudi 26 septembre 2024 |
| Nature | Délibération |
| Type d'acte | Avis |
| État | En vigueur |
| Référence | CNILTEXT000052155204 |
| N° de demande d'avis : 24011552 |
Thématiques : PEReN, loi visant à sécuriser et à réguler l'espace numérique ( loi SREN ), recherche publique, données publiquement accessibles, moissonnage, web scrapping |
|
Organisme(s) à l'origine de la saisine : le ministère de l'économie, des finances et de la souveraineté industrielle et numérique |
Fondement de la saisine : article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique |
L'essentiel :
- le projet de décret vise à transposer au niveau règlementaire les évolutions issues de l'article 36 de la loi n° 2021-1382, notamment en élargissant aux activités de recherche publique les pouvoirs de collecte automatisée de données publiquement accessibles du PEReN ;
- le projet de décret étend l'ensemble des garanties prévues par le décret n° 2022-603 pour les activités d'expérimentation à l'activité de recherche du PEReN.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ( loi informatique et libertés ) ;
Vu la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique modifiée, notamment son article 36 ;
Sur la proposition de M. Bertrand du Marais, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
Le PEReN est un service à compétence nationale créé par le décret n° 2020-1102 du 31 août 2020 et placé sous l'autorité conjointe des ministres chargés de l'économie, de la culture et du numérique.
Le PEReN a pour mission d'appuyer les services de l'Etat intervenant dans la régulation des plateformes numériques, dans leurs travaux de conception, de mise en œuvre et d'évaluation de cette régulation. A cette fin, le PEReN peut mener plusieurs types d'activités :
- il fournit un appui aux autorités administratives indépendantes et aux autorités publiques indépendantes intervenant dans la régulation des plateformes numériques qui le souhaitent et qui concluent alors une convention avec ce service.
- il mène des activités d'expérimentation visant à utiliser, concevoir ou évaluer des outils techniques destinés à aider les autorités publiques dans leur mission de régulation des opérateurs de plateformes en ligne ;
- il conduit, à son initiative, des activités de recherche publique, au sens de l'article 112-1 du code de la recherche, pour développer une capacité d'expertise en appui aux politiques publiques et contribuer à la diffusion des connaissances scientifiques.
Le PEReN a rapidement fait valoir des difficultés liées au cadre de collecte des données publiquement accessibles utiles à ses travaux et au refus de certaines plateformes numériques de coopérer avec lui. En conséquence, le législateur a autorisé ce service à mettre en œuvre des méthodes de collecte automatisée de données publiquement accessibles en ligne dans le cadre de ses activités d'expérimentation (article 36 de la loi n° 2021-1382 du 25 octobre 2021). Il prévoit que les opérateurs des plateformes ne puissent pas lui opposer un refus d'accès aux services existants de mise à disposition de ces données ou une interdiction de collecte automatisée au travers des conditions générales d'utilisations (CGU).
Le décret n° 2022-603, pris pour l'application de ces dispositions, est venu préciser les méthodes de collecte automatisée de données publiquement accessibles que le PEReN était autorisé à mettre en œuvre dans le cadre de ces expérimentations. La CNIL a rendu un avis dans le cadre de sa délibération n° 2022-030 du 10 mars 2022.
Le directeur du PEReN a complété ce texte par une décision du 1er juillet 2022 portant création d'un traitement automatisé de données à caractère personnel mis en œuvre dans le cadre des activités d'expérimentation de ce service.
B. - L'objet de la saisine
La loi SREN est venue modifier l'article 36 de la loi n° 2021-1382 à plusieurs égards. La CNIL a rendu un avis sur une partie de ces modifications dans le cadre de sa délibération n° 2023-036 du 20 avril 2023.
Le IV de l'article 62 élargit le périmètre des opérateurs objets des activités du PEReN, tant en matière d'expertise et d'appui technique aux autorités administratives indépendantes et autorités publiques indépendantes qu'en matière d'expérimentation ou de recherche publique. Initialement limités aux opérateurs de plateformes numériques, tels que définis à l'article L. 111-7-I du code de la consommation (désormais abrogé), ce périmètre est désormais étendu aux opérateurs de services de plateforme essentiels, tels que définis à l'article 2 du règlement (UE) 2022/1925 relatif aux marchés contestables et équitables dans le secteur numérique (ci-après le règlement européen sur les marchés numériques ) et aux opérateurs de services de communication au public en ligne reposant sur le traitement de contenus, de biens ou de services, au moyen d'algorithmes informatiques.
L'article 42 précise, par ailleurs que les activités de recherche du PEReN peuvent contribuer à la détection, à la détermination et à la compréhension des risques systémiques dans l'Union européenne, au sens du paragraphe 1 de l'article 34 du règlement (UE) 2022/2065 relatif à un marché unique des services numériques.
Ensuite, ce même article 42 étend aux activités de recherche les pouvoirs, initialement limités à la seule activité d'expérimentation, permettant la collecte automatisée de données publiquement accessibles du PEReN, notamment dans des conditions dérogatoires, aux conditions générales d'utilisation ou les licences des services des opérateurs.
Enfin, il fixe la durée maximale de conservation des données à cinq ans, pour les données collectées par ce service au titre de ses activités de recherche publique à comparer à 9 mois pour son activité d'expérimentation.
Le ministère de l'économie, des finances et de la relance a saisi la CNIL d'une demande d'avis relative à un projet de décret modifiant le décret n° 2022-603 afin de tenir compte de ces évolutions au niveau règlementaire.
Le projet de décret modificatif appelle les observations suivantes de la CNIL.
II. - L'avis de la CNIL
A. - Sur les garanties mises en œuvre
Le projet de décret étend l'ensemble des garanties prévues par le décret n° 2022-603 pour les activités d'expérimentation à l'activité de recherche du PEReN. Ainsi, seules les données publiquement accessibles sur les services des opérateurs concernés pourront être collectées. Par ailleurs, le recours à un système de reconnaissance faciale ou d'identification vocale est exclu. En outre, si la création de comptes dédiés sur les services des opérateurs concernées est autorisée, ces derniers ne pourront pas être utilisés par les agents du PEReN pour entrer en relation avec les personnes concernées. De plus, afin d'assurer la proportionnalité de la collecte, la sélection des contenus à collecter sur les services s'opère par application de critères techniques déterminés, dans la limite de la constitution d'échantillons de données statistiquement représentatifs de faible amplitude. Enfin, les données collectées qui ne sont pas nécessaires aux finalités poursuivies -tant d'expérimentation que dorénavant de recherche- ainsi que les données sensibles, au sens de l'article 6 de la loi informatique et libertés quelle que soit la finalité mise en œuvre, sont détruites immédiatement après leur collecte, selon un procédé automatisé. La CNIL approuve l'extension de ces garanties qui est indispensable compte de l'élargissement des pouvoirs de collecte automatisée de données publiquement accessibles du PEReN en matière de recherche publique.
Par ailleurs, le directeur du PEReN a adopté une décision du 1er juillet 2022 portant création d'un traitement automatisé de données à caractère personnel mis en œuvre dans le cadre de ses activités d'expérimentation. Cette décision a permis au PEReN de préciser l'encadrement des traitements de données ayant vocation à être mis en œuvre en prenant en compte les principales recommandations que la CNIL avait formulé dans sa délibération n° 2022-030 du 10 mars 2022 sur les caractéristiques essentielles de ces traitements. Elle prévoit notamment la réalisation d'analyse d'impact sur la protection des données (AIPD), les obligations en matière de journalisation des accès aux données à caractère personnel ainsi que les modalités d'information et d'exercice des droits des personnes concernées. Elle interdit toute réutilisation des données à d'autres fins que celles prévues dans le cadre de l'expérimentation ayant justifié la collecte et exclut la transmission des données à des tiers autre qu'un sous-traitant du service. Enfin, elle vient préciser le contenu du rapport annuel qui devra être transmis au Parlement et à la CNIL afin d'assurer une transparence sur les traitements de données.
La CNIL invite le PEReN à s'assurer que, par cohérence, l'ensemble de ces garanties s'appliquent également aux activités de recherche soit en modifiant la décision du 1er juillet 2022 pour l'élargir aux activités de recherche soit en adoptant une nouvelle décision.
Enfin, la CNIL réitère les recommandations qu'elle a formulées au titre de sa délibération n° 2022-030 du 10 mars 2022, notamment s'agissant du droit d'opposition et invite le PEReN à clarifier la portée du droit d'opposition, notamment dans sa décision du 1er juillet 2022. A cet égard, elle prend acte de l'engagement du gouvernement de préciser dans sa décision la durée de conservation des informations strictement nécessaires pour assurer le respect du droit d'opposition. La CNIL invite également le PEReN à prévoir, dans sa décision, que le droit d'opposition puisse concerner l'ensemble des activités de recherche ou d'expérimentations ayant vocation à être mises en œuvre sans qu'il soit nécessaire, pour les personnes concernées, de renouveler l'exercice de leur droit pour chaque traitement de données à caractère personnel réalisé dans le cadre de l'une de ces activités.
B. - Sur la notion de données publiquement accessibles
L'article 36 la loi n° 2021-1382 prévoit que les méthodes de collecte automatisée des données publiquement accessibles peuvent être notamment mises en œuvre auprès des fournisseurs de systèmes d'intelligence artificielle.
Le ministère a précisé que cette extension du périmètre permet la collecte de données générées, en réponse à une requête du PEReN, par des services commerciaux d'intelligence artificielle ou par une fonctionnalité d'intelligence artificielle générative intégrée dans un service de plateforme numérique.
En principe, la notion de données publiquement accessibles ne vise pas des données produites suite à des requêtes auprès des services des opérateurs lorsque ces requêtes impliquent une opération autre que la simple communication des informations. La CNIL souligne cet élargissement de la notion de données publiquement accessible qui est justifié en l'espèce :
- par les activités spécifiques du PEReN ;
- par les dispositions de la loi qui visent spécifiquement la collecte automatisée de données publiquement accessibles auprès des fournisseurs de systèmes d'intelligence artificielle ;
- par le caractère strictement nécessaire et proportionné de cette collecte dont il conviendra de s'assurer, en pratique, au cas par cas compte tenu des finalités des traitements envisagés.
C. - Sur les durées de conservation
L'article 36 la loi n° 2021-1382 prévoit que les données collectées dans le cadre des activités de recherche publique sont détruites à l'issue des travaux, et, dorénavant au plus tard cinq ans après leur collecte.
La durée de cinq ans, prévue par la loi, est une durée maximale : le PEReN devra déterminer, pour chaque projet de recherche, la durée de conservation des données à caractère personnel strictement appropriée en fonction de la finalité poursuivie, conformément au principe de limitation de la conservation prévu à l'article 5.1.e du RGPD.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026