Village de la Justice www.village-justice.com

Open data, sauvegarde du patrimoine immateriel des entités publiques et protection des données à caractère personnel (partie 2). Par Antoine Cheron, Avocat.
Parution : mercredi 13 janvier 2016
Adresse de l'article original :
https://www.village-justice.com/articles/Open-data-sauvegarde-patrimoine,21198.html
Reproduction interdite sans autorisation de l'auteur.

Depuis quelques années, le Gouvernement manifeste sa volonté de favoriser la pratique de l’open data, c’est-à-dire le processus de libéralisation des données publiques. En effet, une telle ouverture des données ne concerne en France que le secteur public, bien qu’elle soit également mise en œuvre par certaines entreprises en situation de quasi-monopoles telles que la SNCF ou la RATP.
L’open data a initialement été motivée par la volonté de réinscrire les gouvernés dans les institutions administratives et dans l’action de l’État, plus spécifiquement via l’idée de participation du citoyen à la prise de décision concernant le fonctionnement de la démocratie. (Partie 1)

II – Open data et protection des données à caractère personnel

En marge des questions relatives à la sauvegarde des droits de propriété intellectuelle des entités publiques, se pose également la problématique tenant au respect de la vie privée. Le risque majeur de l’ouverture des données publiques tient en effet à une utilisation massive et abusive des données collectées, au sein desquelles peuvent se trouver des données à caractère personnel, soumises à la loi Informatique et Libertés n° 78-17 du 6 janvier 1978. Si les dispositions relatives à l’ouverture et la réutilisation des données prévoient déjà des mesures de sécurité visant à prévenir les risques d’atteinte au droit au respect de la vie privée (A), le législateur envisage un renforcement de ces mesures à la charge du responsable du traitement des données (B).

A) La nécessaire protection des données a caractère personnel par les entités publiques.

En droit français, la notion de donnée à caractère personnel est posée à l’article 2 de la loi Informatique et Libertés du 6 janvier 1978 : les données revêtent cette qualité dès lors qu’elles concernent une personne identifiée ou identifiable par référence à plusieurs éléments qui lui sont propres. Selon l’article 7 bis de la directive du 16 septembre 2009 relative à la publicité des sociétés dans l’Union Européenne, le fait que les données concernent des personnes physiques suffit à les caractériser de données à caractère personnel.

Compte tenu de la particularité de ces données et leur nature « sensible », la collecte et le traitement de ces données font l’objet d’un encadrement très strict par la Loi du 6 janvier 1978 précitée. Cet encadrement consiste par exemple à imposer un certain nombre de garanties aux personnes en charge d’un traitement de données à caractère personnel.

Une difficulté est apparue avec l’ouverture des données publiques, dans la mesure où les documents publics contiennent pour la plupart des données à caractère personnel. Afin d’anticiper les risques liés à la diffusion et la réutilisation de ces données sensibles parmi les informations publiques publiées par les administrations, la loi CADA a aménagé plusieurs mesures contraignantes pour les administrations.

La loi prévoit ainsi par exemple, que les informations publiques comportant des données à caractère personnel ne peuvent faire l’objet d’une réutilisation que si la personne intéressée y a consenti, si l’autorité détentrice est en mesure de les rendre anonymes ou, à défaut d’anonymisation, si une disposition législative ou règlementaire le permet (Cf. Article 13 de la loi CADA).

En parallèle, dans le cadre du droit d’accès aux documents administratifs, la loi CADA a listé les documents administratifs qui ne sont communicables qu’au seul intéressé. Il s’agit des documents dont la communication porterait atteinte à la protection de la vie privée, au secret médical et au secret en matière commerciale et industrielle, des documents portant une appréciation ou un jugement de valeur sur une personne physique nommément désignée et facilement identifiable, ou des documents faisant apparaître le comportement d’une personne dont la divulgation pourrait lui porter préjudice (Cf. Article 6 de la loi CADA).

Ainsi, on le constate, le respect de la vie privée des citoyens est une problématique qui a toujours été au cœur des préoccupations du législateur dans le cadre de l’ouverture des données publiques, ce qui mérite d’être salué. Ces mesures de précaution en faveur de la protection des données à caractère personnel contraignent néanmoins les entités publiques à réaliser un travail supplémentaire de vérification et de traitement de ses données préalablement à toute communication ou publication, ce qui requiert des moyens humains et financiers non négligeables pour les administrations.

B) Vers un renforcement des mesures de sécurité en faveur de la protection des données à caractère personnel.

Le projet de loi Lemaire, dans ses dispositions relatives aux données à caractère personnel, prévoit de renforcer la protection de celles-ci en aménageant de nouvelles mesures de sécurité et en déployant les pouvoirs de la Commission Nationale de l’Informatique et des Libertés (CNIL).

D’emblée, il faut noter que la fusion de cette autorité administrative indépendante à la Commission d’Accès aux Documents Administratifs, comme il en avait été question, n’a finalement pas été prévue par le projet de loi, lequel n’envisage qu’un simple rapprochement des deux institutions. Le président de la CADA aura par exemple la possibilité de siéger dans le collège de la CNIL, et inversement. Il est également prévu que les deux institutions puissent se réunir sous la forme d’un collège unique pour des questions les concernant toutes deux.

S’agissant des mesures de sécurité nouvelles, a été prévue l’obligation pour les entités publiques de déclarer auprès de la CNIL les traitements de données ayant exclusivement des finalités de statistique publique, et d’obtenir l’autorisation préalablement de la CNIL pour les traitements de données ayant exclusivement des finalités de de recherche scientifique ou historique, lorsque le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques a préalablement fait l’objet d’une opération cryptographique robuste (Cf. Article 15 du projet de loi).

Par ailleurs, le projet de loi Lemaire prévoit la mise en place d’un accompagnement à la mise en conformité des traitements de données à caractère personnel, ainsi que la possibilité pour la CNIL de certifier la conformité à la loi de 1978 les processus d’anonymisation des données à caractère personnel (Cf. Article 26 du projet de loi).

Parallèlement à ce projet de loi, un projet de règlement européen sur la protection des données est actuellement en cours de discussion auprès des institutions européennes. Ce projet de règlement du 25 janvier 2012, qui a été modifié le 11 juin dernier, prévoit un renforcement significatif de l’obligation de sécurité à laquelle est soumis tout responsable d’un traitement de données. En droit français, cette obligation de sécurité figure à l’article 34 de la loi du 6 janvier 1978, aux termes duquel « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Le projet de règlement européen prévoit d’insérer dans cette obligation, le devoir pour tout responsable d’un traitement d’anticiper la « probabilité et la gravité du risque » lié au traitement (Cf. Article 60 ter), ce qui le contraint ainsi à mettre en place, préalablement à tout traitement, des mesures visant à réduire les risques d’atteinte à la confidentialité des données.

Ces nouvelles mesures conduiront, là encore, les entités publiques responsables de traitement de données, à mobiliser des moyens humains et financiers adéquats pour assurer la protection des données à caractère personnel.

{{Antoine Cheron ACBM Avocats }} [->acheron@acbm-avocats.com]