Open data : la protection des données comme vecteur de confiance

La loi du 7 octobre 2016 pour une République numérique fixe ainsi le cadre juridique relatif à l’open data, en modifiant les dispositions créées dès la fin des années 70 (loi dite « CADA » du 17 juillet 1978 modifiée).

Pour rappel, la loi CADA comportait plusieurs dispositions visant à concilier transparence administrative et protection des données à caractère personnel : elle prévoyait que les informations publiques contenues dans des documents administratifs dont la communication porterait atteinte à la protection de la vie privée ne sont ni communicables (sauf aux personnes intéressées), ni réutilisables, et que de telles informations sont dès lors exclues de tout mise à disposition en open data par une autorité administrative. Elle prévoyait en outre que les informations publiques ne portant pas directement atteinte à la vie privée mais comportant néanmoins des données personnelles sont réutilisables, dans trois hypothèses (consentement, anonymisation ou disposition légale expresse) et dans certaines conditions (respect des dispositions de la loi Informatique et Libertés).

Elle distinguait enfin trois étapes, soumises chacune à des conditions différentes :

• la communication,
• la publication
• et la réutilisation d’informations publiques.

Dans ce contexte, la loi pour une République numérique vise à favoriser l’open data en modifiant le cadre juridique de la diffusion en ligne des informations publiques. Ainsi, les conditions applicables à la communication et à la publication des documents administratifs sont uniformisées : par principe, tout document communicable est donc publiable sur Internet. En cas de demande de communication d’informations publiques, les demandeurs peuvent en outre exiger de l’administration saisie que les documents requis soient publiés en ligne. Les documents portant atteinte à la vie privée des personnes concernées ne peuvent en revanche pas être publiés. De même, un sort particulier est réservé à la publication de documents comportant des données à caractère personnel.

Trois conditions alternatives sont prévues pour en permettre la publication de documents comportant des données personnelles :

1. l’existence de dispositions législatives expresses,
2. l’accord des personnes concernées,
3. la mise en œuvre d’un traitement permettant de rendre impossible l’identification de ces personnes (anonymisation).

Il est également fait obligation aux administrations, sous les réserves précitées, de publier en ligne certaines informations qu’elles produisent ou détiennent. Pour ces informations, définies dans la loi, il s’agit donc de passer d’une logique de demande d’accès par les personnes privées à une logique d’offre par les administrations.

En outre, des dispositions visent à favoriser et à faciliter la réutilisation de documents administratifs. Elles dessinent la logique générale sous-jacente à l’ensemble des modifications apportées au cadre juridique de l’open data  : la contraction des trois phases que constituaient auparavant la communication, la publication et la réutilisation des informations publiques. L’objectif général est en effet de permettre que tout document communicable puisse faire l’objet, non seulement d’une publication, mais également d’une libre réutilisation, en uniformisant les conditions applicables à ces trois régimes juridiques. Il n’est dès lors plus prévu de conditions particulières d’exercice de ce droit de réutilisation en cas d’informations comportant des données à caractère personnel, à l’exception du respect de la loi Informatique et Libertés.

La réutilisation d’informations est ainsi appréhendée comme la suite logique du droit d’accès aux documents administratifs, conformément à la logique de l’open data : toute mise à disposition, sous forme électronique, de documents - c’est-à-dire toute communication ou publication - « se fait dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ».

Au total, le cadre juridique relatif à l’open data est plus prescriptif et mieux adapté à la pratique en la matière. En revanche, il ne remet pas en cause les fondements de l’équilibre trouvé par la « loi CADA » entre transparence administrative, d’une part, et protection de la vie privée et des données personnelles, d’autre part. En effet, le triple filtre prévu (interdiction de publication de documents portant atteinte à la vie privée ; publication sous condition de documents comportant des données personnelles ; réutilisation de telles données dans le respect de la loi Informatique et Libertés) permet de garantir la protection des données des personnes concernées par les informations publiques.

Deux autres points méritent d’être soulignés. Au-delà de ces dispositions générales sur l’open data, la loi du 7 octobre 2016 comporte de nombreuses dispositions sectorielles permettant la mise à disposition, à des fins d’intérêt général, de données publiques particulières ou de données détenues par des opérateurs privés, ainsi que des dispositions visant à favoriser la circulation de ces données dans la société par l’obligation de les mettre à disposition dans des standards ouverts et réutilisables.

D’autres dispositions sectorielles sont également prévues pour l’immobilier (ouverture aux professionnels du secteur des données foncières détenues par l’administration fiscale), en matière de sécurité routière (création d’une base de données nationale des vitesses maximales autorisées) ou encore en matière d’environnement.

Elles s’ajoutent aux nombreuses dispositions spéciales déjà existantes, par exemple en matière de santé : depuis la loi du 26 janvier 2016 de modernisation de notre système de santé, les données du système national des données de santé (SNDS) font l’objet d’une mise à la disposition du public sous la forme de statistiques agrégées ou de données individuelles dans des conditions telles que l’identification, directe ou indirecte, des personnes concernées est impossible. La loi prévoit que la réutilisation de ces données ne peut avoir ni pour objet ni pour effet d’identifier les personnes concernées.

La loi pour une République numérique a renforcé les missions des autorités administratives indépendantes chargées de veiller à l’application de ce régime juridique renouvelé, à savoir la CADA et la CNIL. La CNIL a par exemple été dotée d’un pouvoir de certification et d’homologation de processus d’anonymisation des données. Dans la mesure où cette anonymisation constitue une des conditions présidant à la mise en open data de données publiques, elle pourra ainsi contrôler et assurer le développement de projets open data respectueux de la protection des données personnelles.

Le rapprochement de ces deux autorités a également été poursuivi : le président de la CADA devient membre de droit de la CNIL et, réciproquement, le président de la CNIL devient membre à part entière de la CADA, tous deux pouvant désigner un représentant. En outre, il est rendu possible pour les deux autorités, lorsqu’un sujet d’intérêt commun le justifie et sur l’initiative conjointe de leurs présidents, de se réunir dans un collège unique.

L’ensemble de ces dispositions dessinent un nouveau paysage juridique en matière d’open data, qui vise notamment à consolider l’équilibre nécessaire entre transparence administrative et protection de la vie privée et des données à caractère personnel. Si toutes les difficultés pratiques liées à l’application de la loi ne sont pas résolues, les conditions juridiques sont dorénavant établies pour permettre un développement de l’open data favorisant l’innovation tout en respectant les libertés individuelles.

La mise en œuvre de ce nouveau dispositif juridique, complexe et composite, n’est pas sans susciter des interrogations de la part de l’ensemble des autorités publiques, nationales ou locales, soumises à ces obligations. De même, les responsabilités exactes des réutilisateurs des informations publiques ainsi mises en open data ne sont pas nécessairement et clairement appréhendées lorsque ces jeux de données comportent des données à caractère personnel.

Ainsi, l’étendue exacte des secrets protégés par la loi en matière de publication de données, les modalités de recueil du consentement des personnes concernées par celles-ci ou le caractère anonyme ou non des informations diffusées constituent des points d’interrogations récurrents de la part des différentes parties prenantes du mouvement de l’open data.

Dans ce contexte, la CNIL souhaite améliorer l’accompagnement de ces acteurs en élaborant un « pack de conformité » dédié à l’ouverture des données publiques.

Un tel référentiel permettra de mieux encadrer, du point de vue de la protection des données personnelles, les modalités d’action des administrations, établissements publics et collectivités territoriales, tout particulièrement en matière de diffusion en ligne de données publiques, ainsi que de répondre à leurs questions récurrentes en la matière. Il permettra également de faciliter la réutilisation de données à caractère personnel, dans des conditions conformes aux droits des personnes concernées par ces données. Il devra nécessairement être élaboré dans une démarche de co-régulation avec les autres autorités concernées par cette thématique, et en particulier avec la CADA, conformément à la loi pour une République numérique, ainsi qu’avec les autorités publiques en charge des politiques nationales et locales d’ouverture des données. Producteurs et réutilisateurs d’informations publiques pourront ainsi s’appuyer sur des outils juridiquement et technologiquement approuvés par le régulateur dans le cadre de leurs projets d’open data.

La CNIL s’est investie très tôt dans la régulation de la diffusion des données de jurisprudence en édictant, dès 2001, une recommandation en matière de diffusion sur internet des décisions de justice, aujourd’hui largement appliquée par les juridictions concernées et les diffuseurs de ces décisions. Afin de faciliter l’accès au droit tout en protégeant la vie privée des personnes concernées par ces décisions, la CNIL avait recommandé d’occulter, préalablement à la diffusion sur internet, les données les plus directement identifiantes (noms, prénoms et adresses des parties et des témoins). Ces données ne sont donc pas « anonymisées » au sens strict, mais plutôt pseudonymisées.

La loi pour une République numérique marque l’aboutissement de ce processus de mise à disposition des données de jurisprudence. Elle prévoit en effet que l’ensemble des jugements des juridictions administratives et judiciaires «  sont mis à la disposition du public à titre gratuit dans le respect de la vie privée des personnes concernées » et que cette mise à disposition « est précédée d’une analyse du risque de ré-identification des personnes ».

La mise en œuvre de ces nouvelles dispositions permettra à la CNIL de mieux accompagner les juridictions dans leurs projets de mise à disposition de leurs décisions. Le décret en Conseil d’Etat qui doit déterminer les conditions d’application de ces nouvelles obligations devra en effet déterminer les modalités d’analyse de risque de réidentification des personnes et la CNIL pourra ainsi apporter toute son expertise sur ce sujet, dans le cadre de son avis sur ce décret, ainsi que son concours dans la réalisation de ces études d’impact sur la vie privée. Le changement d’échelle opéré par la loi du 7 octobre 2016 devra également s’accompagner d’une nouvelle clarification des obligations des réutilisateurs de ces données, dans la même lignée que celle opérée par le caveat. La pseudonymisation en amont de ces données par la puissance publique et le contrôle de la CNIL sur leur réutilisation, en particulier sur l’absence de réidentification des personnes et sur le caractère effectif et continu du respect des droits des personnes concernées (rectification et opposition notamment), permettra ainsi de maintenir le délicat équilibre entre accès au droit et protection de la vie privée.

Depuis 2015, la CNIL participe aux travaux gouvernementaux portant sur l’anonymisation de données énergétiques. La loi pour une République numérique a prévu dans ce cadre de nouvelles dispositions, selon lesquelles les gestionnaires des réseaux de transport et de distribution d’électricité et de gaz naturel mettent à disposition du public les données détaillées de consommation et de production issues de leurs systèmes de comptage d’énergie, dans l’objectif de favoriser notamment le développement d’offres d’énergie, d’usages et de services énergétiques, « sous une forme agrégée garantissant leur caractère anonyme ».

Dans le cadre du décret d’application de ces dispositions, la CNIL devra donc énoncer les critères d’anonymisation des données énergétiques. Ce cas particulier permettra dès lors à la CNIL d’actionner les nouveaux pouvoirs qui lui ont été conférés par la loi du 7 octobre 2016 en matière de certification et d’homologation de processus d’anonymisation des données.

Une même démarche opérationnelle sera suivie par la CNIL dans les autres domaines d’application de ce pack de conformité, comme en matière de santé par exemple, où l’accès et la mise à disposition des données issues du SNDS doivent intervenir dans des conditions variables selon la qualité des « réutilisateurs ». Pour le public en particulier, cette mise à disposition doit intervenir dans des conditions rendant impossible la réidentification des personnes et la CNIL devra dès lors fixer les opérations techniques permettant l’anonymisation de ces données particulièrement sensibles.

Au total, il s’agira de clarifier les obligations générales ou sectorielles des producteurs de données mises à disposition en open data et des réutilisateurs de ces jeux de données. Ce pack permettra également, sur la base de projets open data aboutis, de définir et de promouvoir les bonnes pratiques opérationnelles ou techniques. En un mot, de participer à l’accompagnement de l’innovation dans le respect des droits des personnes.