Open Data et protection des données personnelles

Open Data

Un rapport d’information sur l’Open Data de la Commission des lois du Sénat souligne les contradictions entre les impératifs de transparence des données publiques et de secret de la vie privée.

Par Roseline Letteron.

Open DataL’Open Data est généralement définie comme la mise à disposition des données produites et détenues par les administrations. Elle repose sur une double préoccupation. D’une part, il s’agit de permettre aux citoyens d’accéder à l’information pour mieux contrôler l’administration, dans une préoccupation de démocratie administrative. Sur ce point, l’Open Data est dans le prolongement de la démarche initiée, il y a plus de trente ans, par la loi du 17 juillet 1978 relative à l’accès aux documents administratifs. D’autre part, l’Open Data a également pour objet de permettre l’exploitation d’un véritable gisement de données considérées comme des biens communs, exploitation par les chercheurs certes, mais aussi à des fins commerciales.

Sur un plan plus institutionnel, l’Open Data est aujourd’hui une politique publique coordonnée par Etalab, un service du Premier ministre chargé de la mettre en œuvre, à travers un portail spécifique, data.gouv.fr.

La Commission des lois du Sénat a publié, le 16 avril 2014, un rapport d’information sur l’Open Data, qui offre un bilan de cette démarche de transparence. Les rapporteurs, Gaëtan Gorce (PS) et François Pillet (UMP) suggèrent la mise en œuvre d’un Open Data plus respectueux des données personnelles, ce qui implique une évolution véritable de sa gouvernance.

Un produit d’importation

La notion d’Open Data est un produit d’importation. Les spécialistes affirment qu’elle apparaît en 1995, dans une publication du National Research Council, qui prônait l’ouverture totale des données géophysiques et environnementales. Plus tard, au tournant du millénaire, elle sera étendue aux domaines de l’administration puis de l’économie. Cette évolution est parfaitement logique dans un système américain dominé par l’idée que l’information est un bien susceptible d’appropriation et d’exploitation commerciale. Elle doit donc bénéficier du principe de libre circulation, au même titre que n’importe objet de consommation.

Le problème est que cette conception de l’information est surtout répandue dans le monde anglo-saxon. En Europe, et plus particulièrement en France, le droit a toujours admis des restrictions à la liberté d’information dans le but de protéger les données personnelles. On constate d’ailleurs que la loi du 17 juillet 1978 a été précédée de quelques mois par la loi du 6 janvier 1978, qui affirme que chacun a droit à la protection des données personnelles le concernant. Il peut y avoir accès, et exercer un droit de rectification si elles sont erronées, voire de suppression si leur conservation n’est plus pertinente ou attentatoire à sa vie privée.

La situation actuelle est donc celle d’un conflit entre deux tendances. D’un côté, une conception anglo-saxonne de l’Open Data, largement relayée par les internautes qui considère que les données sur le web appartiennent à tout le monde. D’autre part, une conception européenne qui vise à assurer un équilibre aussi harmonieux que possible entre la circulation de l’information et la protection des données personnelles.

Le cadre juridique

Le droit français offre donc un cadre juridique à l’Open Data, avec les lois des 6 janvier et 17 juillet 1978. Certains peuvent considérer que ces textes sont anciens, en tout état de cause antérieurs au développement d’internet. Il n’en demeure pas moins que les trois garanties par ces textes en matière de données publiques demeurent largement d’actualité.

La première garantie réside dans l’interdiction du stockage de données personnelles, sauf exceptions lorsqu’il y a consentement de l’intéressé, obligation légale de publication ou encore anonymisation des données publiées. Ce dernier élément constitue aujourd’hui le pilier essentiel du droit de l’Open Data. Encore doit-on observer qu’il s’agit là d’une procédure coûteuse. L’article 40 du décret du 30 septembre 2005 dispense donc l’administration de cette anonymisation lorsque cette opération entraîne des « efforts disproportionnés ». Dans ce cas, les pièces demandées ne sont pas communiquées.

La seconde est constituée par les procédures imposées par la loi du 6 janvier 1978, qui impose l’autorisation de la CNIL pour les traitements de données personnelles. Ces dernières ne peuvent être conservées qu’en respectant le principe de loyauté et en recueillant le consentement de l’intéressé. Par les formalités préalables à la création d’un fichier de données publiques, la CNIL est en mesure de contrôler le respect de ces garanties.

Enfin, la troisième et dernière garantie réside dans l’existence même du pouvoir de sanction de la CNIL. Dans l’hypothèse d’une réutilisation des données non conforme à la loi de 1978, et notamment d’une divulgation illicite de données personnelles, la Commission peut prononcer des sanctions administratives, et même saisir le juge pénal qui peut prononcer des peines allant jusqu’à 100.000 € d’amende et trois années d’emprisonnement (art. 226-22-6 c. pén.).

Ce dispositif juridique a le mérite d’exister, mais le rapport du Sénat insiste sur son indispensable évolution. Aux difficultés techniques s’ajoute en effet la nécessité d’établir une doctrine française en matière d’Open Data et d’imposer une nouvelle gouvernance dans ce domaine.

Les obstacles techniques

Le rapport du Sénat insiste sur le fait que l’anonymisation des données n’est plus une technique infaillible pour empêcher la diffusion d’informations personnelles. Différentes méthodes permettent aujourd’hui de « ré-identifier » des données anonymisées, voire de les croiser pour obtenir d’autres éléments de la vie privée. Le rapport Bras-Loth de 2013 sur l’utilisation des données de santé montre ainsi que 89% des patients ayant été hospitalisés en 1989 peuvent être identifiés avec le seul croisement des informations suivantes : l’hôpital d’accueil, le code postal du domicile, le mois et l’année de naissance, le mois de sortie et la durée du séjour. Ce chiffre atteint 100% si le patient a été hospitalisé deux fois la même année.

Une doctrine nouvelle de protection des données

Le rapport sénatorial montre la nécessité d’imposer une doctrine nouvelle, reposant sur la conciliation entre le principe de mise à disposition des données et celui de protection des données personnelles. Cette rupture complète par rapport aux principes développés par les juristes anglo-saxons doit être assumée.

Pour les rapporteurs, la doctrine de l’Open Data « à la française » est donc, avant tout, une doctrine de la protection des données personnelles. Sur ce point, la « Privacy in Design », c’est-à-dire l’intégration de la préoccupation de respect de la vie privée dès la construction de la base de données, n’est certainement pas inutile. Cette approche préventive ne saurait cependant être suffisante, et elle doit s’accompagner d’une évaluation au cas par cas des projets de réutilisation des données. Le rapport suggère en conséquence de confier à la CNIL le soin d’apprécier ces projets et d’assurer une veille dans ce domaine.

Encore faut-il que les règles gouvernant l’Open Data soient connues et appliquées, ce qui pose le problème de la gouvernance en ce domaine.

Une gouvernance de l’Open Data

Le rapport sénatorial dresse un bilan relativement sévère de la gouvernance de l’Open Data. Le service Etalab n’a qu’un rôle de coordination, mais chaque administration demeure finalement libre d’avoir sa propre politique dans ce domaine. Le résultat est que certaines ont donné une impulsion forte, et que d’autres se sont désintéressées de cette question. Il est donc indispensable de développer le pilotage et l’accompagnement en matière d’Open Data. Cet effort devrait permettre, en même temps, de diffuser des règles de bonnes pratiques en matière de protection des données.

Le rapport sénatorial semble marqué au coin du bon sens, tant il est vrai que la transparence des données publiques et le secret de la vie privée sont des impératifs en apparence contradictoires. Le droit doit donc rechercher un équilibre, et mettre en place les règles et procédures destinées à le garantir.

Il n’en demeure pas moins que les partisans d’une ouverture totale des données publiques vont certainement s’offusquer d’une doctrine qui réintroduit un certain contrôle dans un espace virtuel qu’ils voudraient entièrement libre. Comme dans d’autres domaines, l’Open Data témoigne ainsi de la fin d’un internet libertaire, dans lequel les données de chacun sont les données de tous. On assiste aujourd’hui à une réintroduction du droit dans un espace qui rejetait toute contrainte juridique. Si nous voulons que le droit au respect de la vie privée demeure une liberté effective, il n’y a pas d’autre solution.


Sur le web.