B. L'OPEN DATA ET LA PROTECTION DES DONNÉES PERSONNELLES : UNE INTERROGATION LÉGITIME
La création par votre commission de la présente mission d'information ainsi que la question posée ont suscité des réserves, voire des craintes, parmi les défenseurs de l' open data . Ceux-ci s'en sont ouverts à vos rapporteurs lors de leurs auditions : l'insistance sur la protection des données personnelles n'aurait-elle pas caché une opposition au principe-même de l' open data ?
Sans doute, l'enthousiasme légitime qu'a suscité l'engagement du Gouvernement en faveur de l'ouverture des données publiques, a-t-il nourri une méfiance a priori contre tout ce qui pouvait sembler freiner ou contrecarrer ce mouvement.
Toutefois, un tel procès d'intention était bien entendu sans fondement : l'objet de la mission d'information est justement de promouvoir un open data respectueux de la protection des données personnelles, et d'inciter à son déploiement. D'ailleurs, vos rapporteurs constatent, à l'issue de leurs travaux, que les arguments parfois employés pour dénoncer l'intérêt d'une telle interrogation, sont peu pertinents, quoiqu'énoncés de bonne foi (1). La question dont s'est saisie votre commission par le biais de cette mission d'information est pleinement légitime, ce qu'illustre l'attention dont elle fait l'objet en France, comme ailleurs en Europe (2).
1. Une nécessité : se garder de certains simplismes
Ceux qui contestent la pertinence de la question posée par la mission d'information ont développé deux arguments à l'appui de cette appréciation. Ceux-ci paraissent toutefois réducteurs et n'emportent pas la conviction.
a) Un problème résolu, avant même de le poser ?
Pour certains, la question de la mise en danger de données personnelles par l' open data ne se pose tout simplement pas.
Les représentants de Regards citoyens ont ainsi fait valoir que l' open data ne concerne que les données publiques, lesquelles excluent, par définition, les données personnelles ou portent seulement sur des informations personnelles que la loi fait obligation de publier. Nulle atteinte ne peut dès lors être portée en principe à la vie privée par l'ouverture des données publiques si celle-ci est accomplie correctement. Par ailleurs, la ré-identification par un tiers de données personnelles anonymisées, diffusées dans une base de données publiques, signalerait moins un problème propre de l' open data , qu'une infraction, par ce tiers, de la législation relative aux données personnelles.
Le directeur de la mission Etalab , M. Henri Verdier a partagé ce raisonnement, considérant que par essence, l' open data devrait exclure toute diffusion de données personnelles.
L'examen des bases de données aujourd'hui mises en ligne sur les sites internet des grandes administrations corrobore largement cette impression : la très grande majorité des bases portent sur des statistiques ou des données agrégées, qui ne présentent pas de lien avec des informations personnelles : chiffres de l'INSEE ou d'Eurostat, information géographique, renseignements d'ordre général sur les procédures, l'organisation ou le budget des administrations etc .
Pour autant, comme l'ont observé les représentantes de l'association pour le développement de l'informatique juridique, Mmes Élise Debiès et Nathalie Metallinos, l'argument ne saurait convaincre, pour au moins deux raisons.
Tout d'abord, la loi prévoit parfois expressément que des informations personnelles soient publiées. Il en va ainsi, par exemple, des délibérations et autres actes des collectivités territoriales, même si elles contiennent des informations nominatives 14 ( * ) . S'assurer que cette diffusion s'accomplit dans des conditions satisfaisantes pour le respect de la vie privée des intéressés est pertinent.
Surtout, le fait qu'un document publié contienne des données personnelles ou identifiantes qui ne devraient pas être diffusées peut avoir échappé à l'administration qui l'a mis en ligne, que le procédé d'anonymisation auquel elle a recouru ait été déficient, ou que le caractère personnel de ces données ne lui soit pas apparu.
Le cas de la publication des aides reçues par les agriculteurs dans le cadre de la politique agricole commune en fournit une illustration. D'autres exemples seront développés dans les développements qui suivent 15 ( * ) .
Deux règlements européens font obligation 16 ( * ) aux États membres de publier annuellement la liste des bénéficiaires des aides européennes versées aux agriculteurs par le fonds européen agricole de garantie (FEAGA) et le fonds européen agricole pour le développement rural (FEADER).
Saisie d'une question préjudicielle sur la conformité de cette obligation avec les articles 7 et 8 de la charte des droits fondamentaux, qui protègent la vie privée, la Cour de justice de l'Union européenne a toutefois estimé que l'atteinte portée aux personnes physiques excédait ce qui était acceptable au nom de l'impératif de transparence 17 ( * ) . En revanche, elle a considéré que tel n'était pas le cas pour les personnes morales, compte tenu à la fois des obligations déclaratives qui étaient les leurs et de la contrainte que représenterait, pour les administrations, la charge de trier, parmi ces sociétés, celles dont le nom permettrait ou pas de déterminer l'identité de leurs sociétaires.
Conformément à cette décision, les données aujourd'hui publiées sur le site data.gouv.fr ne mentionnent plus que les subventions versées à des personnes morales. Pourtant, vos rapporteurs ont pu constater que le fichier publié incluait à la fois la localisation et le montant des subventions versées non pas à une personne morale, mais à une indivision successorale nommément désignée, qui rassemble les différents héritiers personnes physiques ou bien à plusieurs particuliers, propriétaires d'un terrain en indivision. La référence à une telle indivision, ainsi qu'à son adresse, est susceptible de permettre l'identification des personnes concernées. La conformité d'une telle mention avec la règle posée par la Cour de justice de l'Union européenne pourrait être discutée.
Ainsi, même s'il est acquis qu'en théorie, l' open data ne doit pas porter atteinte à la vie privée des administrés, cette assertion ne se vérifie pas toujours en pratique. Toute la question est justement de s'assurer qu'aucune donnée personnelle ne pourra être accidentellement diffusée à l'occasion de la mise en oeuvre de l' open data , ni faire l'objet d'une ré-identification facilitée par un tiers. Quelle procédure mettre en place pour éviter ce type de défaillance et quelles garanties apporter aux citoyens pour les protéger de tels dommages ?
b) Une interrogation secondaire ou encore prématurée ?
Sans nier la légitimité de la question posée, d'autres intervenants se sont interrogés sur sa priorité.
M. François Bancilhon, et M. Jean-Marc Lazard, tous les deux présidents directeurs généraux de deux entreprises, respectivement Data Publica et OpenDataSoft , spécialisées dans le traitement des bases de données publiques, ont estimé que le problème de la divulgation de données personnelles par les administrations était secondaire, voire inexistant dans leur pratique professionnelle. Le premier s'est en outre inquiété du risque que représenterait, pour une économie des données encore émergente, une réglementation a priori de l'ouverture des données publiques, privilégiant plutôt la voie d'une sanction a posteriori des usages illégaux.
À plusieurs reprises au cours des auditions les intervenants ont jugé que les risques liés au « big data », c'est-à-dire à la collecte, au traitement et à la diffusion massifs des données personnelles par les entreprises privées étaient bien supérieurs à ceux suscités par l 'open data .
Les représentants du conseil national du numérique ont ainsi fait valoir que se focaliser sur la question de la protection des droits fondamentaux détournait du problème clé de la régulation internationale des échanges de données et de l'activité économique qui en découle.
Constatant que l'ouverture des données publiques n'avait causé aucun scandale majeur jusqu'à présent au sein des grandes administrations, M. Charles Népote, chef de projet au sein de la fondation internet nouvelle génération (FING), a quant à lui estimé que l'interrogation sur sa compatibilité avec la protection des données personnelles était peut-être prématurée et qu'il convenait d'adopter pour l'heure une démarche plus pragmatique et poursuivre le chantier engagé sans le freiner a priori .
Vos rapporteurs partagent le souci de pragmatisme revendiqué par ces différents intervenants. Ils reconnaissent aussi que les questions que posent les nouveaux usages des données personnelles dépassent très largement la problématique de l'o pen data .
Toutefois, ils observent que, sans qu'il soit besoin de classer par ordre de priorité les multiples interrogations que suscitent les bouleversements de l'économie numérique, chacune est légitime si la réflexion qu'elle engage permet d'assurer une meilleure conciliation entre le bénéfice social qui en est retiré et la protection des libertés individuelles.
En outre, ils constatent - ce que la consultation publique organisée par la CNIL sur l' open data permet de confirmer ( cf. encadré) - que les administrations sont régulièrement confrontées à des interrogations sur l'ouverture de jeux de données contenant des données personnelles.
|
Les résultats de la consultation publique
organisée par la CNIL,
Cette consultation était ouverte aux différents acteurs de l'ouverture des données publiques : services producteurs, diffuseurs, réutilisateurs ou correspondants « Informatique et libertés ». 391 personnes ont répondu au questionnaire, ce qui constitue un total important, même s'il n'est pas forcément représentatif de l'ensemble des acteurs concernés. Sur la question de la protection des données personnelles, la consultation livre plusieurs enseignements : - 55% des répondants « responsables open data » et « gestionnaires de données publiques » se sont déjà demandés si certains jeux de données dont l'ouverture était envisagée, pouvaient contenir des données personnelles (44% des réutilisateurs répondants se sont également posé cette question) ; - 50% des gestionnaires de données publiques répondants ont indiqué avoir déjà fait part de leur opposition à l'ouverture de certaines informations détenues ou produites par leur organisme au motif d'un risque d'identification des personnes concernées par les données. Source : CNIL |
Surtout, l'examen de cette question est aujourd'hui plus que jamais opportune. En effet, l' open data procède d'un double mouvement, pour le passé et pour l'avenir.
Il s'agit, en effet, d'une part d'ouvrir maintenant des bases de données constituées précédemment selon des modalités qui n'anticipaient pas leur divulgation future. S'attacher à la méthode qui doit être suivie pour éviter toute atteinte accidentelle à la vie privée n'est pas illégitime.
Il s'agit, d'autre part de concevoir, pour le futur, les nouvelles bases de données d'une manière telle que leur mise à disposition du public soit facilitée. Anticiper les difficultés susceptibles de se poser favoriserait le développement de l' open data .
De telles considérations sont d'ailleurs largement partagées, en France comme en Europe.
2. Concilier le développement de l'open data et la protection des données personnelles : une préoccupation partagée en France et au niveau européen
Comme on l'a vu précédemment, l'État et les administrations publiques réfléchissent depuis longtemps à l'ouverture des données qu'ils détiennent. Or, conformément aux prescriptions du cadre législatif et réglementaire français et européen 18 ( * ) , le souci de la protection des données personnelles est au coeur de cette réflexion.
Plusieurs éléments en témoignent.
Si le vade-mecum publié par Etalab sur l'ouverture et le partage des données publiques, et diffusé auprès de l'ensemble des ministères en vertu d'une circulaire du Premier ministre 19 ( * ) , est assez peu disert sur le sujet 20 ( * ) , il peut s'appuyer sur un travail antérieur, beaucoup plus approfondi, le mémento sur « la protection des informations à caractère personnel dans le cadre de l'ouverture et du partage des données publiques » 21 ( * ) , publié précédemment par le conseil d'orientation de l'édition publique et de l'information administrative (COEPIA), qui constituait, jusqu'à la création d' Etalab , l'une des instances de préfiguration de la mise en place de l' open data français.
Le rapport d'activité de la commission d'accès aux documents administratifs (CADA) pour 2011, a pour sa part consacré de longs développements à la notion de données à caractère personnel, et notamment à la question de la mise en ligne et des réutilisations des données publiques.
Récemment encore, afin de répondre à la forte demande d'un accès plus important aux données détenues par les administrations de santé, la ministre des affaires sociales et de la santé a confié le soin à MM. Pierre-Louis Bras et André Loth de conduire une réflexion sur une plus large ouverture de ces données, sous la condition d'une sécurité suffisante pour les données personnelles. Les conclusions du rapport remis à l'issue de ces travaux 22 ( * ) nourrissent aujourd'hui le projet que préfigure le groupe de travail sur l' open data en santé, mis en place le 21 novembre dernier.
Manifestant toute l'importance que revêtait le sujet, la commission nationale de l'informatique et des libertés (CNIL) a souhaité dresser un état des lieux des pratiques et des questions posées par l' open data et la protection des données personnelles, afin d'y apporter des réponses concrètes et opérationnelles. Elle a organisé à cette fin, le 9 juillet 2013, un premier séminaire sur ce thème 23 ( * ) et lancé, en janvier 2014 une vaste consultation en ligne.
D'autres initiatives de la société civile illustrent l'attention portée à ces questions 24 ( * ) .
La France ne se distingue pas, de ce point de vue, des autres pays européens qui se sont engagés sur la voie de l'ouverture des données. Ainsi, au Royaume-Uni, pays qui fait figure de précurseur en la matière, l' Information Commissionner's Office (ICO), qui rassemble les compétences de la CNIL et de la CADA, a publié dès 2012, un guide des bonnes pratiques destinée à promouvoir des procédés efficaces d'anonymisation afin de concilier la protection des données personnelles et l'ouverture des données publiques.
La même réflexion est en cours en Europe, notamment au sein du groupe dit « de l'article 29 », qui réunit les CNIL européennes et devrait prochainement publier une opinion sur les techniques d'anonymisation en faveur de l' open data , après avoir adopté, le 5 juin 2013, une première opinion, sur l' open data et la réutilisation des informations publiques 25 ( * ) .
Tant au vu des travaux conduits en France et en Europe que du principe même de la question posée, la légitimité de l'interrogation suivie par la mission d'information de votre commission apparaît ainsi hors de doute. Contrairement à ce que craignent ceux qui s'en défient, y répondre de manière satisfaisante pourrait d'ailleurs être le meilleur moyen de garantir la promotion rapide et efficace de l' open data , au bénéfice de tous.
* 14 Art. L. 2121-26, L. 3121-17n L. 4132-16, L. 5211-46, L. 5421-5, L. 5621-9 et L. 5721-9 du code général des collectivités territoriales. Les documents nominatifs correspondent notamment à des arrêtés individuels relatifs aux agents. Si les informations personnelles doivent en principe être occultées (CE, 10 mars 2010, Commune de Sète , n° 308314), la CADA rappelle que cette occultation concerne seulement les appréciations portées sur l'agent public (avis 20101311 du 25 mars 2010).
* 15 Cf. infra , II. A.
* 16 Art. 42, point 8 ter , et 44 bis du règlement (CE) n° 1290/2005 du Conseil, du 21 juin 2005, relatif au financement de la politique agricole commune, tel que modifié par le règlement (CE) n° 1437/2007 du Conseil, du 26 novembre, ainsi que, d'autre part, le règlement (CE) n° 259/2008 de la Commission, du 18 mars 2008, portant modalités d'application du règlement n° 1290/2005 en ce qui concerne la publication des informations relatives aux bénéficiaires de fonds en provenance du Fonds européen agricole de garantie (FEAGA) et du Fonds européen agricole pour le développement rural (FEADER).
* 17 CJUE, 9 novembre 2010, Volker und Markus Schecke GbR et Hartmut Eifert c./ Land Hessen , (req. n° C-92/09 et C-93/09).
* 18 Cf. , sur ce point, infra , I.
* 19 Circulaire du Premier ministre n° 5677/SG en date du 17 septembre 2013, sur l'ouverture et le partage des données publiques.
* 20 http://www.modernisation.gouv.fr/sites/default/files/fichiers-attaches/vademecum-ouverture.pdf .
* 21 http://www.gouvernement.fr/sites/default/files/fichiers_joints/coepia_memento_donnees_personnelles.pdf .
* 22 http://www.drees.sante.gouv.fr/IMG/pdf/rapport-donnees-de-sante-2013.pdf .
* 23 Séminaire « Open data , quels enjeux pour la protection des données personnelles » du 9 juillet 2013 dont un compte-rendu peut être consulté à l'adresse suivante : http://www.cnil.fr/fileadmin/documents/approfondir/dossier/OpenData/CR_Workshop_Open_Data_9_juillet_2013.pdf .
* 24 Colloque interdisciplinaire du 12 novembre 2013 l'open data et les données personnelles, organisé par l'université Panthéon-Assas Paris II, le CNRS et le CERSA.
* 25 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp207_en.pdf .