[Clôturée] Ouverture et réutilisation de données publiées sur Internet : la CNIL vous consulte sur un projet de guide pratique
Depuis plusieurs années, le cadre légal évolue en faveur de l’ouverture des données publiques. Régulièrement saisie sur le sujet, la CNIL accompagne cette évolution afin de l’articuler avec le respect de la protection des données personnelles. Elle soumet ainsi un projet de guide pratique à consultation publique jusqu’au 12 novembre 2023.
Des enjeux importants autour de la circulation de la donnée
Invités par la loi pour une République numérique à travailler ensemble sur les « sujets d’intérêt commun », la CADA et la CNIL ont adopté en 2019 un guide pratique de la publication en ligne et de la réutilisation des données publiques. Ce guide avait pour objet de présenter les différents éléments du cadre juridique régissant de telles opérations, en clarifiant les dispositions applicables du code des relations entre le public et l’administration (CRPA).
Depuis, le potentiel et les enjeux de la circulation des données s’imposent de plus en plus dans le débat public, où la stratégie européenne pour les données vient ainsi encourager, dans l’intérêt général, les partages d’informations entre acteurs aussi bien publics que privés. En parallèle de l’accélération des politiques publiques relatives au partage des données, les opérations de collecte et de réutilisation d’informations librement accessibles sur Internet, qu’il s’agisse de données publiques publiées par les administrations ou d’autres données diffusées par des particuliers ou organismes du secteur privé (ex. : données diffusées sur les réseaux sociaux), n’ont cessé de se développer ces dernières années.
Dans ce contexte, la CNIL a souhaité poursuivre ses travaux sur les questions juridiques et techniques posées par ces pratiques au regard de la protection des données personnelles.
Lors de son évènement « air2021 », sur l’ouverture et du partage de données, la CNIL a ainsi annoncé la création en son sein d’un groupe de travail chargé d’éclairer les acteurs sur les questions « informatique et libertés », et la volonté de leur apporter, au moyen de critères et d’exemples variés, des réponses à la fois concrètes, opérationnelles et facilement mobilisables dans différents contextes.
Un guide sur l’ouverture et la réutilisation de données
Le projet de guide soumis à consultation publique a pour objectif de préciser les obligations légales des diffuseurs de données ouvertes et des réutilisateurs de données publiquement accessibles, comme les bonnes pratiques à adopter dans une logique de protection des données dès la conception.
Il est le fruit de la position de la CNIL, de ses homologues, ainsi que de décisions de justice française et européenne, enrichi d’une série de consultations de différents acteurs directement impliqués dans le développement des démarches d’ouverture, de partage et de réutilisation des données publiquement accessibles (partenaires institutionnels, associations et entreprises, avocats, chercheurs).
Quel est son périmètre ?
Le périmètre de ce guide porte sur :
- la mise à disposition du public de données personnelles, en ligne et dans un format ouvert, aisément réutilisable et exploitable par machine, afin qu’elles soient réutilisées (open data).
Cette opération est essentiellement réalisée par des personnes publiques (par ex. : registre national des entreprises de l’INPI), ouvrant leurs données en application de la loi, ainsi que par des organismes privés souhaitant notamment partager avec le plus grand nombre des données « d’intérêt général ».
Elle porte généralement sur un ensemble de données relativement important et structuré, qui constitue alors une base de données.
- la réutilisation de données personnelles publiquement accessibles (données diffusées « ouvertes », autres données librement accessibles en ligne)
Le projet de guide traite aussi bien des exploitations de données qui ont été mises à disposition du public à des fins de réutilisation, que des exploitations de données « simplement » publiées par un individu ou un organisme sur un site web.
Il s’intéresse aussi aux traitements de données mis en œuvre par des organismes publics (par ex. : une recherche universitaire sur les impacts pour la vie privée des publications librement accessibles en ligne) ainsi que par des organismes privés (par ex. : une entreprise qui exploite des données publiées sur des sites de petites annonces à des fins de prospection commerciale).
Il est à noter que les partages en « circuit fermé » (c’est-à-dire les transmissions de données inter-administrations, inter-entreprises ou encore d’entreprises à administrations) feront l’objet de travaux ultérieurs.
Quels sont ses objectifs ?
Ce guide a vocation à aider les acteurs dans leurs projets d’ouverture ou de réutilisation de données publiquement accessibles, de façon à faciliter leurs démarches de mise en conformité au cadre juridique de la protection des données personnelles.
Le guide comporte deux types de fiches:
- des fiches « principes », avec les points d’attention les plus structurants, ainsi que les moyens d’en tenir compte suivant le contexte.
Ces fiches composent une grille d’analyse globale mobilisable pour les différentes catégories de traitements en cause et reprennent les grands principes de la réglementation en matière de protection des données.
- des fiches « cas d’usage », déclinant et précisant ces principes pour des traitements répondant à des cas fréquemment rencontrés et/ou présentant des enjeux particuliers.
À ce stade, les cinq fiches concernent les cas d’usage suivants :
- la diffusion et la réutilisation des données d’entreprises déclarées à l’administration ;
- la réutilisation de données publiquement accessibles aux fins de diffusion d’annuaires « enrichis » de professionnels ;
- la réutilisation de données publiquement accessibles aux fins de constitution et d’enrichissement de bases destinées à la prospection commerciale ;
- la réutilisation de données publiquement accessibles à des fins de recherche scientifique (hors santé) ;
- l’aspiration de données publiquement accessibles par des autorités publiques dans le cadre de leurs missions.
Ces fiches ont vocation à être enrichies au fil de l’eau avec de nouveaux cas d’usages répondant aux besoins des acteurs.
Qui peut contribuer à la consultation ?
La CNIL souhaite permettre au plus grand nombre, qu’il s’agisse d’organismes publics ou privés, de s’exprimer sur les travaux réalisés. En particulier, cette consultation s’adresse :
- aux diffuseurs de données sur Internet, qui doivent ou souhaitent mettre en ligne à disposition du public des données personnelles ;
- aux réutilisateurs de données publiquement accessibles, qui collectent ces informations en vue d’une exploitation pour leur propre compte.
La CNIL invite les acteurs d’un même organisme ou secteur d’activité à regrouper, si possible, leurs commentaires au sein d’une seule et même contribution, notamment en se rapprochant de leurs représentants, têtes de réseaux, fédérations, associations, etc.
La consultation est terminée
Quel est le calendrier ?
La consultation durera 15 semaines et prendra fin le 12 novembre.
Les contributions seront ensuite analysées pour permettre la publication du guide définitif par la CNIL, sur son site web, fin 2023.
