Village de la Justice www.village-justice.com

Open data : pas d’incompatibilité entre données publiques et données personnelles. Par Sébastien Bouchindhomme.
Parution : lundi 28 novembre 2016
Adresse de l'article original :
https://www.village-justice.com/articles/Open-data-pas-incompatibilite-entre-donnees-publiques-donnees-personnelles,23614.html
Reproduction interdite sans autorisation de l'auteur.

Alors que les discussions sur l’ouverture des données publiques se poursuivent après la promulgation de la loi pour une République numérique, les entreprises, membres de la FIGEC et spécialisées en information d’entreprise, se retrouvent au cœur de ces débats et souhaitent continuer à exercer sereinement leur activité dans l’intérêt légitime des acteurs économiques que sont leurs clients.

En effet, leur métier est de rendre intelligibles et exploitables les données sur les entreprises, associations, etc., issues de multiples sources, dont des sources publiques, et de les délivrer aux travers de services à valeur ajoutée.

Ainsi, pour les entreprises de la FIGEC, les données publiques et les données personnelles ne sont pas incompatibles : elles peuvent, voire doivent, aller de pair, même lorsqu’elles sont réutilisées, le tout dans l’intérêt général et sans atteinte au respect de la vie privée.

Données publiques et données personnelles ne sont pas incompatibles : elles peuvent, voire doivent, aller de pair, dans l’intérêt général, sans atteinte au respect de la vie privée.

Maintenant que la loi pour une République numérique, dite « loi Lemaire », a été promulguée, la phase de rédaction des décrets d’application a commencé.

C’est une nouvelle occasion, à ne pas rater, pour clarifier plusieurs points.

Ce sera le cas avec le décret destiné à définir la liste des catégories de documents pouvant être rendus publics sans avoir fait l’objet du traitement permettant de rendre impossible l’identification des personnes physiques (article L. 312-1-2 du Code des Relations entre le Public et l’Administration (CRPA) créé par l’article 6 de la loi Lemaire).

Certaines données personnelles sont, de longue date, soumises à publicité légale.

On y accède aisément, et c’est d’ailleurs l’objectif, dans divers registres, bulletins officiels et autres répertoires publics. On peut citer le répertoire SIRENE de l’INSEE et le Registre National des Associations (envisagés comme futures bases de données de référence dans l’étude d’impact de la loi Lemaire et dans la récente consultation Etalab afférente), le registre du commerce, le BODACC, le futur registre des bénéficiaires effectifs, etc.

Dans ces exemples, les données personnelles considérées sont relatives à des personnes ayant un mandat, une position de contrôle ou habilitées à représenter l’entité.

Si les informations soumises à publicité légale, données personnelles incluses, sont soumises à déclaration et à publication, c’est pour que chacun puisse y accéder ; elles participent ainsi à la poursuite de l’intérêt général.

C’est à ce titre que ces données personnelles doivent, selon les sociétés spécialisées en information de solvabilité et de prévention de défaillance membres de la FIGEC :
- être considérées comme des données personnelles publiques d’intérêt général,
- conserver leur statut d’informations publiques de publicité légale, même lorsqu’elles sont réutilisées, à l’identique, par des réutilisateurs-rediffuseurs.

Nous avons appris récemment, lors d’une réunion à la DILA, que les annonces BODACC, mises à disposition sur le site www.data.gouv.fr, ne seront pas anonymisées, ce qui correspond tout à fait à notre compréhension de ce qu’est et doit rester la publicité légale.

L’article L. 321-1 du CRPA, tel que modifié par l’article 9 de la loi Lemaire, dispose que :
« Les informations publiques figurant dans des documents communiqués ou publiés par les administrations mentionnées au premier alinéa de l’article L. 300-2 peuvent être utilisées par toute personne qui le souhaite à d’autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus. Les limites et conditions de cette réutilisation sont régies par le présent titre ».

Mais l’article L. 322-2, modifié par l’article 6 de la loi Lemaire, dispose en parallèle que : « La réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Il convient donc de trouver une solution équilibrée permettant de rediffuser les informations utiles, exactes et à jour, y inclus personnelles, faisant l’objet de publicité légale, quel que soit le domaine d’application, tout en tenant compte du nécessaire respect de la vie privée.

Parmi les données personnelles publiques d’intérêt général, certaines peuvent être réutilisées sans risque d’impacter défavorablement la personne concernée. D’autres peuvent toutefois porter atteinte au droit à la protection de la vie privée, même si elles sont publiquement accessibles par disposition légale ou règlementaire ; c’est le cas par exemple de l’adresse personnelle (une adresse personnelle pouvant d’ailleurs être aussi une adresse professionnelle).

C’est l’impact éventuel sur la vie privée, considéré comme la « ligne blanche » à ne pas franchir en termes de réutilisation, qu’il convient de traduire en termes opérationnels au sein des autorités détentrices en charge de la diffusion de ces données, mais aussi chez les réutilisateurs-rediffuseurs.

Mais cette traduction doit, selon nous, être effectuée dans le cadre d’un débat ouvert entre toutes les parties.

Deux solutions nous semblent possibles.

La première est de considérer la finalité du traitement effectué par le réutilisateur qui rediffuse ces données personnelles, afin de vérifier qu’elle est compatible avec la finalité initiale du traitement effectué par la source publique.

Si l’on considère les registres et bulletins cités ci-dessus, les acteurs spécialisés en information d’entreprise, de solvabilité et prévention de défaillance opèrent, selon nous, dans le cadre d’une finalité conciliable avec la finalité du traitement initial.

Les entreprises qui sont leurs clients sont de surcroit aussi des « réutilisés » soumis à cette même publicité légale. Elles ont à ce titre un intérêt légitime à accéder aux informations de même type que celles qu’elles communiquent, données personnelles incluses, afin d’évaluer le risque commercial de traiter avec un (futur) client ou (futur) fournisseur.

La seconde est d’étendre ce qui est aujourd’hui proposé lors de l’inscription au répertoire SIRENE de l’INSEE à tous les registres et répertoires de publicité légale, quels qu’ils soient.

En effet, les formalités d’immatriculation et de modification d’une entreprise « personne physique » permettent maintenant à cette dernière de demander « à ce que les informations enregistrées dans le répertoire SIRENE ne puissent pas être consultées ou utilisées par des tiers », avec cependant une précision très importante à nos yeux dans la notice qui accompagne la formalité.

On peut y lire : « En cochant cette case et conformément à l’article A. 123-96 du Code de commerce, les informations enregistrées dans le répertoire SIRENE (notamment le numéro d’identité : numéro SIREN, les nom, nom d’usage, prénoms, adresse légale et pour chaque établissement : les dénomination usuelle, adresse, code APE et date de création) ne pourront pas être consultées sur le site de l’Insee (rubrique avis de situation) ni utilisées par des tiers autres que les administrations ou organismes habilités, à des fins de prospection notamment commerciale ».

Et ce, alors même que les personnes physiques enregistrées dans ces répertoires et registres, soit au titre d’entrepreneur individuel, de dirigeant social etc., ou, plus largement, en tant que personne habilitée à représenter une entité, sont des professionnels dès lors qu’elles n’agissent pas en tant que consommateur.

La mention en gras revient donc à dire que les données personnelles et professionnelles citées ci-dessus devraient logiquement :
- pouvoir être utilisées par les réutilisateurs-rediffuseurs à d’autres fins que celle de prospection, notamment commerciale,
- être communiquées dans ce cadre par les sources publiques.

Ceci étant, si nous comparons les dispositions prévues par les formalités administratives avec le nouveau dispositif Bloctel - http://www.bloctel.gouv.fr/- relatif au démarchage téléphonique, il convient de souligner que les numéros professionnels sont exclus de ce dernier, et qu’avoir un même numéro personnel et professionnel n’interdit pas d’être sollicité par un appel professionnel.

Ne pourrait-on pas s’en inspirer ?

Dans le cadre des deux solutions proposées, la modification ou la suppression des données personnelles ne pourraient être effectuées qu’auprès de l’administration, au sens du CRPA, responsable du registre ou du répertoire. A charge pour cette dernière de transmettre ces informations aux réutilisateurs-rediffuseurs via les mises à jour.

La FIGEC se tient à la disposition des acteurs publics intervenant dans le cadre de l’ouverture des données publiques, afin que des solutions pratiques soient développées au bénéfice de tous : personnes physiques, sources publiques, réutilisateurs-rediffuseurs et clients de ces derniers.

Sébastien Bouchindhomme