Open data et protection des données personnelles

Mise à disposition et réutilisation de données nécessite de prendre en compte la protection des données personnelles, de quoi est il question?

 

Né en Grande Bretagne et aux Etats-Unis, l’Open data (données ouvertes) est un mouvement d’ouverture et de mise à disposition de données produites et collectées par les services publics (administrations, etc.).

L’organisme met ces données à disposition de tous, sous forme numérique et directement exploitable, dans un souci de transparence et de réutilisation de ces données. Leur accès et leur usage sont donc laissés libres aux utilisateurs.

            L’open data en France

La France a mis en œuvre une politique très incitative en matière d’open data, notamment avec la mise en ligne de la plateforme « data.gouv.fr ». C’est l’un des Etats ayant le plus poussé sa politique d’ouverture en matière de données publiques.

L’open data doit être structurée, et les modalités juridiques de réutilisation par tous, sans restriction technique ou financière, doivent également être détaillées.

L’open data doit répondre à trois critères :

  • Les données sont exploitables: lisibles par une machine ;
  • Les données sont accessibles sur internet, sans contrainte d’accès et dans un format ouvert ;
  • Les données peuvent être réutilisées: la licence doit préciser les conditions de réutilisation.

Cette mise à disposition des données poursuit trois objectifs : renforcement de la transparence de l’action publique, communication au public d’une image détaillée de son fonctionnement actuel et développement du marché de l’information publique.

L’ouverture des informations détenues par les administrations publiques rejoint la question de la protection des données car l’open data permet la mise à disposition de tout internaute des informations du secteur public.

Selon la CNIL, en pratique, un portail en open data propose sur Internet une plateforme permettant de télécharger des jeux de données souvent accompagnés de l’acceptation d’une licence ou de conditions générales d’utilisation.

            Open data et protection des données

A l’origine, l’open data n’est pas directement lié à la protection des données à caractère personnel car la plupart des informations mises à disposition ne concernent pas ces données. Cependant, les organismes publics détiennent une grande variété de données susceptibles d’être mises à disposition sur Internet.

Rappelons qu’une donnée à caractère personnel permet d’identifier, directement ou indirectement, une personne physique. Leur protection est un objectif fondamental imposé par le RGPD. Or, avec le développement du numérique, il est de plus en plus aisé de ré-identifier une personne initialement concernée par un traitement. Ainsi, la question de la protection des données doit se poser pour l’open data.

L’open data concerne également des secteurs et des demandes sociales et économiques de plus en plus variés (open data de données de santé, en matière d’immobilier, etc.). Il touche donc aux données sensibles de personnes physiques.

Dès lors, un équilibre doit être trouvé entre transparence administrative et protection des données à caractère personnel.

Selon la CNIL, les objectifs poursuivis tant par la politique d’ouverture des données publiques que par la protection de la vie privée sont conciliables.

            Le cadre juridique de l’open data

En France, l’encadrement juridique de la communication, de la publication ainsi que de la réutilisation des informations publiques a été modifié à plusieurs reprises ; notamment afin de prendre en compte la protection des données personnelles.

Le régime juridique de l’open data a été fixé par la loi n°2016-1321 du 7 octobre 2016 pour une une république numérique , modifiant les dispositions de la loi n°78-753 du 17 juillet 1978 dite loi « CADA », dont les dispositions sont reprises dans le code des relations entre le public et l'administration. Cette dernière comprenait des règles visant déjà à concilier les deux impératifs de transparence administrative et de protection des données.

Avec la loi pour une République numérique, les conditions sur la communication et la publication des documents administratifs sont uniformisées. Elle pose le principe que tout document communicable est publiable sur Internet. Lors d’une demande de communication d’informations publiques, le demandeur peut exiger de l’administration que les documents soient publiés en ligne.

Cependant, il n’est pas possible de publier des documents portant atteinte à la vie privée des personnes concernées.

Enfin, pour tout document comprenant des données à caractère personnel, trois conditions alternatives sont prévues pour permettre leur publication :

  • Existence de dispositions législatives expresses;
  • Accord de la personne concernée;
  • Mise en œuvre d’un traitement permettant de rendre impossible l’identification de la personne (anonymisation).

L’objectif général de l’open data est donc de permettre que tout document communicable puisse faire l’objet d’une publication et d’une libre réutilisation, en uniformisant les conditions applicables aux trois régimes juridiques posés par la loi « CADA » (communication, publication et réutilisation des informations publiques).

Il n’y a plus de conditions particulières d’exercice du droit de réutilisation en cas d’informations comportant des données à caractère personnel (sous réserve de respecter la Loi Informatique et Libertés).

Comme le précise la CNIL, la réutilisation de l’information est appréhendée comme la suite logique du droit d’accès aux documents administratifs.

La loi CADA prévoyait également un triple filtre permettant de garantir la protection des données personnes des personnes concernées par les informations :

  • Interdiction de publier des documents portant atteinte à la vie privée ;
  • Publication sous condition de documents comportant des données personnelles ;
  • Réutilisation de ces données dans le respect de la loi Informatique et Libertés.