- Jeudi 9 janvier 2014
- Audition de M. Jacques Chevallier, professeur émérite de droit public à l'université Panthéon Assas (Paris II), Directeur du Centre d'études et de recherches de sciences administratives et politiques (Cersa)
- Audition de M. Serge Daël, président, et Nicolas Polge, rapporteur général, de la Commission d'accès aux documents administratifs (Cada)
- Audition de M. Paul Hébert, chef du service des affaires juridiques de la Commission nationale de l'informatique et des libertés (Cnil) et de Mme Delphine Carnel, juriste
Jeudi 9 janvier 2014
- Présidence de M. Jean-Jacques Hyest, président. -Audition de M. Jacques Chevallier, professeur émérite de droit public à l'université Panthéon Assas (Paris II), Directeur du Centre d'études et de recherches de sciences administratives et politiques (Cersa)
M. Jean-Jacques Hyest, président. - Nous auditionnons M. Jacques Chevallier, professeur émérite de droit public à l'université Panthéon Assas (Paris II), directeur du Centre d'études et de recherches de sciences administratives et politiques (Cersa), et membre du conseil de la Fondation nationale des sciences politiques et du Comité d'histoire de l'ENA, qui nous exposera les grandes étapes de la mise en place du cadre juridique actuel de communication des documents administratifs depuis l'adoption de la loi du 17 juillet 1978.
M. Jacques Chevallier, professeur émérite de droit public à l'université Panthéon Assas (Paris II). - La loi de 1978 a constitué un tournant capital. Elle a remis en cause le principe du secret, très strict, qui fondait les relations entre l'administration et les administrés. Dans les années 1970 s'était répandue l'idée que le secret avait des effets indésirables. Le principe de libre accès, consacré en Suède depuis 1766, a gagné de nombreux pays, ainsi les Etats-Unis avec le Freedom Information Act de 1966. En 1978-79, plusieurs réformes d'importance ont été adoptées en France dans un remarquable consensus et l'optique a changé fondamentalement. L'information est devenue un droit opposable, les administrés pouvant se prévaloir des dispositions juridiques positives, recourir à la Commission d'accès aux documents administratifs (Cada) ou à la Commission nationale de l'informatique et des libertés (Cnil) et éventuellement aux tribunaux.
Une distinction essentielle s'opère entre données personnelles, qualifiées à l'époque d'informations nominatives, qui bénéficient du régime de protection de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et les documents administratifs (on dit désormais les données publiques), pour lesquels prévaut le principe de communication instauré par la loi du 17 juillet 1978. La loi du 3 janvier 1979 élargit les possibilités de communication des archives publiques. La protection des données nominatives constitue une limite à la communication des documents administratifs.
Le régime des données personnelles a été revu en profondeur par la directive du 24 octobre 1995, modifiée en 2002, transposée par la loi du 6 août 2004 : le champ d'application de la loi a été redéfini ; l'expression « données personnelles » apparaît ; un correspondant sur les données personnelles doit être désigné dans chaque administration et dans les entreprises ; le régime de protection est renforcé. Les données personnelles doivent être traitées loyalement, à des fins déterminées, sur la base du consentement des personnes, avec un droit de rectification ; les pouvoirs de la Cnil sont accrus.
La loi du 17 juillet 1978 sur l'accès aux documents administratifs a été modifiée à plusieurs reprises. Elle reposait sur une différence fondamentale entre documents nominatifs, communicables uniquement aux intéressés, et documents non nominatifs, communicables de droit, à l'exception de secrets protégés liés à des prérogatives régaliennes ou concernant des personnes. Le dispositif coiffé par la Cada a été interprété dans un sens libéral par celle-ci comme par le juge administratif.
Les délais de procédure ont été modifiés plusieurs fois. Deux lois ont apporté des changements de fond. La loi du 12 avril 2000, dite loi DCRA, relative aux droits des citoyens dans leurs relations avec les administrations, pose un principe général de liberté d'accès aux documents administratifs et supprime la règle selon laquelle la communication n'est possible que pour les documents non nominatifs ; mais elle crée une nouvelle distinction entre documents non communicables, qui correspondent aux secrets protégés, et ceux communicables uniquement à l'intéressé. La liberté d'accès prime sur la protection de certaines informations nominatives. La Cada voit sa compétence élargie à certains fichiers ou archives publiques ou certains documents dont l'accès est régi par des lois spéciales. L'ordonnance du 6 juin 2005 accroît les possibilités de communication, introduit en application d'une directive européenne un droit à la réutilisation des données publiques, modifie le statut de la Cada qui devient une autorité administrative indépendante dotée d'un pouvoir de sanction, et institue dans chaque administration une personne responsable de l'accès aux documents.
Ainsi la liberté d'accès aux documents est érigée en principe, à l'exception de certains documents comme les avis du Conseil d'Etat ou certains actes des assemblées parlementaires. Tous ne sont pas communicables : les uns sont couverts par un secret absolu, sous réserve des dispositions de la législation sur les archives ; d'autres, couverts par un secret relatif, ne sont communicables qu'aux intéressés : documents dont la communication porterait atteinte à la vie privée, dossiers médicaux, etc. Plusieurs modalités sont prévues : consultation gratuite, diffusion par courrier électronique, délivrance d'une copie. Le silence gardé par l'administration pendant un mois est considéré comme un refus ; en cas de refus de communication, il faut saisir la Cada dans un délai de deux mois avant tout recours contentieux.
Le bilan est positif. La loi de 1978 a marqué un tournant pratique mais surtout symbolique considérable. Le rôle de la Cada est important si l'on en juge par le rapport d'activité pour 2012 : le nombre d'avis, de conseils, de renseignements du public a augmenté ; les interprétations sont majoritairement favorables aux demandeurs ; les avis sont suivis par les administrations et rarement désavoués par le juge.
Toutefois il faut nuancer. En 1978 la Cada avait été conçue comme une structure provisoire : elle devait disparaître quand le principe de communication serait entré dans les moeurs. Le nombre de saisines de la Cada suffit à montrer que la communication des documents administratifs reste l'objet d'une lutte qui rend nécessaire le maintien d'une instance de médiation. Si les administrations se sont pliées à la logique de la transparence, les pratiques restent marquées par une certaine frilosité comme plusieurs indicateurs le montrent.
A l'occasion d'une enquête réalisée pour les vingt-cinq ans de la Cada, nous avions constaté que celle-ci était saisie par un public restreint, composé d'initiés, parfois des récidivistes qui n'hésitent pas à la saisir de manière répétitive ; quant aux personnes physiques, elles souhaitent essentiellement la communication de documents à caractère personnel, afin d'étayer un éventuel recours devant le juge.
Les suites données aux avis de la Cada semblent témoigner d'un excellent suivi administratif. Toutefois, de multiples relances sont nécessaires. Certains refus proviennent d'erreurs des administrations, de retards, voire de mauvaise volonté. La persistance du contentieux montre que l'intervention du juge reste parfois nécessaire.
La loi du 15 juillet 2008 a modifié la loi du 3 janvier 1979 sur les archives. Elle a élargi son champ d'application, renforcé le système de protection des archives et de collecte, réaffirmé le principe d'imprescriptibilité. La règle de communicabilité des archives est posée mais ruinée par de nombreuses exceptions et l'instauration de procédures très complexes, avec quatre délais (vingt-cinq ans, cinquante ans, soixante-quinze ans, cent ans). Les chercheurs se plaignent et la ministre de la Culture a annoncé son souhait de modifier la loi, dont le texte avait été durci lors de la discussion parlementaire.
Quels sont les problèmes en suspens ? Tout d'abord des problèmes techniques d'importance secondaire. Le rapport de la Cada évoque ainsi les refus de communication d'une administration à une autre. Elle souhaite aussi une définition plus claire des documents des services publics industriels et commerciaux qui entrent dans le champ de la loi. De plus, il existe des superpositions : le droit au respect de la vie privée n'entraîne-t-il pas de fait la protection des données personnelles ? L'article 6 évoque le secret des procédures devant les juridictions, mais les documents juridictionnels sont déjà exclus du droit à la communication. Il faudrait mieux délimiter les secrets protégés, alors que le Conseil d'Etat, dans trois arrêts du 17 avril 2013, a adopté une définition extensive.
En outre, le rapport pour 2012 de la Cada souligne la coexistence d'un régime général et de régimes spéciaux de communication. La compétence de la Cada a été progressivement étendue à certains de ces régimes en 2005 et 2012, mais les modalités restent distinctes. Pourquoi ne pas les harmoniser, ou, du moins, mieux préciser les articulations ? N'est-il pas concevable, même si le rapport de la Cada ne va pas aussi loin, de supprimer les régimes spéciaux en posant le principe de suprématie de la loi de 1978 ?
De plus, qu'entend-on par « documents administratifs » ? L'article 1er dresse une liste longue mais non exhaustive, ce qui n'est pas satisfaisant. Les textes étrangers, notamment les directives européennes, préfèrent l'expression d'information publique. La loi de 1978, revue en 2005, distingue les documents administratifs et l'information publique, réutilisable et dont les documents administratifs constituent l'un des supports. Ne faut-il pas simplifier ?
La législation sur les archives publiques de 2008 a été fortement critiquée par les historiens et les archivistes. Les régimes sont très complexes. Un toilettage est nécessaire.
Il convient aussi d'évaluer l'effet du développement des données publiques ouvertes, open government data. L'extension des informations publiques publiées et diffusées est considérable. Certes la loi de 1978 prévoyait déjà la publication de certains documents administratifs ; mais ici la publication s'inscrit dans une démarche proactive : il s'agit d'anticiper les demandes du public par une très large publication. Ce phénomène est massif, incontournable et mondial, la charte du G8 a d'ailleurs défini certains principes. Ce développement risque de vider la question du droit d'accès aux documents administratifs d'une partie de son sens. D'ailleurs, la Cada est très peu saisie en matière de réutilisation des données publiques. Cette évolution soulève le problème de la protection du droit d'auteur et de la propriété intellectuelle, notamment des fonctionnaires.
La protection de la vie privée et des données personnelles est également menacée. Certes la loi de 1978 protège les données personnelles mais les frontières entre données publiques et personnelles deviennent poreuses. Il est déjà possible de publier des données personnelles dès lors qu'elles sont anonymisées. De même, la publication de données personnelles publicisées est parfois justifiée par exemple au nom de la transparence et de la lutte contre la corruption ou pour des raisons de santé et de recherche. La numérisation rend possible de croiser une masse considérable de données, dans le cadre de grands systèmes de données intégrés, les big data. La publication des données publiques ouvertes s'inscrit ainsi dans un mouvement plus large qui efface largement la distinction entre données publiques et données personnelles et remet en cause la notion de document administratif.
Un cadre juridique s'impose au-delà des grands principes posés par la charte du G8 : principe d'ouverture par défaut des données publiques ; engagement à publier des données d'un haut niveau de qualité, accessibles et réutilisables par tous, etc. Il faut un régime plus précis pour fixer des garde-fous. Ne conviendrait-il pas de créer une autorité unique de protection, comme dans beaucoup de pays, en fusionnant la Cada et la Cnil ? Cette question iconoclaste mérite d'être posée.
Enfin la réutilisation des données publiques à des fins commerciales, autorisée par l'ordonnance de 2005, prend une importance croissante. Le principe de gratuité a été posé en 2011. Son application se heurte à certaines résistances administratives compréhensibles car certains groupes privés sont susceptibles d'en tirer des bénéfices, tel Google qui réutilise des données cartographiques au profit de son système de géolocalisation. Le rapport Trojette de novembre 2013 prône la suppression de la plupart des redevances, notamment celle de l'Institut géographique national (IGN). L'encadrement de cette réutilisation par la voie des licences ouvertes apparaît souhaitable et un cadre juridique est nécessaire pour prévenir des dérives et des atteintes aux droits fondamentaux.
Mme Corinne Bouchoux, rapporteure. - Merci de cette description précise qui révèle le caractère titanesque du sujet. Il existe des limites à la diffusion des données publiques, juridiques ou politiques. Mais la judiciarisation de la vie quotidienne ne risque-t-elle pas de provoquer un changement de civilisation ? Comment les différents pays réagissent-ils ? Quelle sera la portée de nos lois dans ce nouveau contexte ?
L'extension de la publicité des documents administratifs ne se heurte-t-elle pas à une contrainte d'ordre pratique et à une contrainte de moyens ? Les administrations risquent de consacrer davantage de temps à communiquer qu'à administrer. Enfin, quels sont les points sur lesquels il est urgent de légiférer pour protéger les libertés ?
M. Jacques Chevallier. - Le phénomène des données publiques ouvertes constitue un raz-de-marée qui vide la problématique de l'accès aux documents administratifs d'une partie de sa pertinence. Le dispositif de 1978 était destiné à accompagner les demandes adressées à l'administration. Avec l'open government data, la démarche s'inverse. Le tournant essentiel en France est le décret du 21 février 2011 qui crée une mission Etalab. Une licence spécifique a été mise en place en octobre. L'administration ne répond plus à des demandes, elle met spontanément en ligne une série de données ; on compte 350 000 jeux de données publiques en ligne. Ainsi l'accent doit être à nouveau mis sur la protection de certaines données concernant la vie privée. Il faut des garde-fous. La question de l'accès aux documents administratifs apparaît datée historiquement. Un glissement s'est opéré progressivement de documents à informations publiques, d'informations publiques mises en ligne à données publiques ouvertes. L'édifice de 1978 devra être revu à l'aune de cette nouvelle dynamique.
Une table rase est-elle nécessaire ? Sans doute pas. Un rapprochement de la Cnil et de la Cada aiderait peut-être à mieux évaluer les données susceptibles d'être rendues accessibles au public et celles devant être jalousement protégées. Il faut revoir la dualité entre données personnelles et données publiques pour penser leur articulation. A minima, il convient de procéder à une révision des textes pour harmoniser les régimes et supprimer les doublons. Mais il sera sans doute nécessaire de revoir la législation au regard du développement des données publiques ouvertes. Dans un colloque récent sur l'open data et les données personnelles, nous avons constaté que l'émergence de l'open data modifiait la formulation du problème. En 1978, la France était en pointe, même si les Américains avaient légiféré dès 1965. Depuis, nous avons été rattrapés par l'Europe et le contexte a changé. L'intervention du G8 préfigure l'apparition d'un système mondial d'accès aux données publiques.
M. Jean-Jacques Hyest, président. - Voire aux données privées !
M. Jacques Chevallier. - En effet !
Mme Corinne Bouchoux, rapporteure. - Comment informer les personnels des administrations, fonctionnaires comme contractuels ou intérimaires, sur ce sujet ? Comment également éviter une fracture entre les initiés et les citoyens ordinaires ? Comment prévenir le risque de marchandisation possible des données publiques ? La libéralisation risque d'aboutir à la loi de la jungle, d'entraîner l'apparition de nouveaux acteurs, certes créateurs de richesses mais aux pratiques parfois douteuses.
M. Jacques Chevallier. - L'ouverture des données publiques est une lame de fond irréversible, aussi bien au niveau international que local. Aux Etats-Unis comme en France, l'initiative est venue d'abord des collectivités territoriales dans une démarche bottom-up, avant que le législateur n'intervienne. Le sujet est celui des big data : les données publiques sont intégrées à des gigantesques bases de données dont l'exploitation est susceptible de multiples utilisations commerciales, comme, par exemple, dégager des profils de consommateurs pour alimenter les profits de grands groupes mondiaux. Le rapporteur Trojette me semble léger. On comprend les réticences de l'IGN à fournir gratuitement ses données à des entreprises privées. Ces systèmes de données interconnectés constituent une menace redoutable pour les libertés. Comment la France peut-elle réagir ? Nous avons aboli les limites. C'est la directive de 2005 qui a posé le principe de réutilisation des données et les redevances initialement prévues ont été quasiment supprimées en 2011. Nous sommes entrés dans une folle logique de fuite en avant, qui supprime toutes les barrières.
Mme Catherine Procaccia. - Si l'IGN, qui est installé dans mon département, avait un statut privé, serait-il contraint de fournir ces données ? D'autre part, la fusion de la Cada et de la Cnil a-t-elle déjà été proposée dans un rapport, et le gouvernement y semble-t-il favorable ?
M. Jacques Chevallier. - Si l'IGN était privé, il conserverait ses données et les ferait fructifier ! Cet organisme public est contraint de livrer gratuitement ses données à des opérateurs privés.
La fusion de la Cada et de la Cnil, comme la fusion d'autorités administratives indépendantes, est un sujet très sensible. J'ai déjà travaillé sur la fusion de quatre AAI au sein du Défenseur des droits. Chacune a sa culture, c'est difficile. Mais la question, même iconoclaste, mérite d'être posée. La protection des données personnelles ne devrait-elle pas être traitée dans un cadre plus général ? Si les rapports sont bons entre ces autorités, des ajustements sont toujours nécessaires. Ainsi, en 1978, la notion d'informations nominatives était interprétée par la Cnil comme des informations identifiant des personnes, tandis que la Cada entendait des informations concernant des données personnelles. L'existence d'un organisme unique pour les données publiques et la protection des données personnelles est presque la règle à l'étranger.
M. Jacques-Bernard Magner. - Si je comprends bien, il s'agissait en 1978 de donner accès aux citoyens aux données qu'ils devaient pouvoir connaître ; aujourd'hui il convient de les protéger contre des dérives comme la diffusion des données personnelles au niveau mondial. Sur Facebook, les gens mettent en ligne de leur propre initiative des informations qui les concernent, et qui sont susceptibles d'être réutilisées à leur insu par d'autres grâce à l'exploitation de fichiers. Le monde est devenu un village interconnecté et certains tirent profit de l'utilisation des fichiers.
M. Jacques Chevallier. - Absolument ! Les lois de 1978 établissaient une distinction entre documents communicables et documents communicables au seul intéressé. Les personnes communiquent spontanément des informations personnelles. Notre colloque a montré que la distinction entre données publiques et données personnelles devient de plus en plus relative : il existe des données personnelles anonymisées, des données personnelles publicisées, etc. Les données personnelles mises en ligne sur les réseaux sociaux sont susceptibles d'être réutilisées dans des fichiers de big data. Ne voit-on pas d'ailleurs dans le monde politique la pratique de Twitter se développer : il y a un palmarès des hommes politiques en fonction de leur utilisation de Twitter ; les hommes politiques et les citoyens échangent par le biais de Twitter...
M. Jean-Jacques Hyest, président. - Les parlementaires feraient mieux d'écouter leurs collègues s'exprimer !
M. Jacques Chevallier. - Les débats parlementaires font ainsi intervenir les citoyens par Twitter interposé.
M. Jean-Jacques Hyest, président. - Ne confondons pas toutefois. Si certains livrent des informations sur internet ou les réseaux sociaux, il n'est pas admissible qu'un citoyen prudent voie divulguer les données le concernant et détenues par les administrations. L'accès aux immatriculations de véhicules, qui était strictement limité aux forces de police dans le cadre d'une enquête, ne l'est plus. La liste des permis de construire délivrés chaque année est affichée publiquement : avec les moyens automatisés, la portée de cette publication change. Le rapprochement entre la Cnil et la Cada a déjà été évoqué. La délégation sur les AAI présidée par Patrice Gélard avait posé la question, qui a ensuite été résolue avec le défenseur des droits.
Mme Corinne Bouchoux, rapporteure. - Nous prendrons l'attache de nos collègues pour coordonner nos conclusions.
M. Jean-Jacques Hyest, président. - Je vous remercie, monsieur le Professeur : nous avons bien commencé !
Audition de M. Serge Daël, président, et Nicolas Polge, rapporteur général, de la Commission d'accès aux documents administratifs (Cada)
M. Jean-Jacques Hyest, président. - La loi qui a créé en 1978 la Commission d'accès aux documents administratifs (Cada) a instauré un véritable droit d'accès aux documents administratifs. C'est le Sénat qui avait placé la Cada au centre du dispositif opérationnel de facilitation de l'accès aux documents administratifs. Nous entendons à présent son président et son rapporteur général. M. Serge Daël, président suppléant de la Cada depuis juillet 2008, en est devenu le président en décembre 2011. Il est conseiller d'Etat honoraire et a été successivement commissaire du gouvernement - ce qu'on appelle maintenant rapporteur public -, président de la cour administrative de Douai et professeur associé à Lille 2, puis président adjoint de la section du contentieux du Conseil d'Etat. Auteur d'un Contentieux administratif, chez Thémis, il a publié en 2011 des Exercices de contentieux administratif.
M. Nicolas Polge est maître des requêtes au Conseil d'Etat, qu'il a rejoint en 2009 ; il y exerce les fonctions de rapporteur public auprès de la cinquième sous-section du contentieux. Rapporteur général adjoint de la Cada à compter du 1er février 2011, et il en est le rapporteur général depuis le 1er octobre suivant.
M. Serge Daël, président de la Commission d'accès aux documents administratifs. - Le professeur Chevallier vous l'a dit, il faut, d'abord, réfléchir au caractère dual de notre système de protection des données, organisé en deux commissions : la Cnil et la Cada. Je ne suis pas favorable à leur fusion, car leurs périmètres sont distincts, et ne se recouvrent que sur la question des données à caractère personnel. Cette question est très importante, mais ne doit pas être le prisme unique à travers lequel la problématique de la transparence administrative est abordée. Les deux commissions ne s'estiment pas en concurrence, en vertu du principe d'unité de l'Etat, bien que deux divergences soient toutefois apparues entre elles. Sur les règles fixées par le code du patrimoine sur la réutilisation des données, nous avons alors laissé la Cnil faire du droit dur dans du droit mou en fixant par une délibération des délais qui auraient pu figurer dans la loi.
Distinguons l'accès aux documents administratifs, leur diffusion et leur réutilisation. L'accès est exclusivement régi par les dispositions de l'article 6 de la loi, qui définissent ce qui est secret et donc accessible par le seul intéressé. En principe, la notion de données à caractère personnel recouvre toute donnée identifiante. Une conception aussi extensive interdirait tout débat public : les noms de MM. Hollande et Sarkozy, par exemple, sont mentionnés tous les jours dans la presse, donc sur internet ; il faudrait demander leur autorisation à chaque fois... Cette notion entre en ligne de compte uniquement dans les règles de diffusion et de réutilisation. La question est alors celle de la frontière entre ce qui appartient au domaine public et le reste. Faut-il donner aux autorités administratives indépendantes compétence pour la tracer ? Les libertés publiques sont en jeu, c'est donc au législateur d'intervenir - ce serait plutôt ma position.
Qu'est-ce qu'un document administratif ? Pour les informations environnementales, le code de l'environnement, transcrivant les directives européennes, le définit comme un document détenu par une personne publique. La loi Cada, quant à elle, le définit comme une information produite ou détenue par une personne publique dans le cadre de sa mission de service public et par une personne privée chargée d'une mission de service public. Cette rédaction visait à codifier la jurisprudence antérieure de la Cada et du Conseil d'Etat, mais l'expression « dans le cadre de sa mission de service public », qui se comprend bien pour une personne privée, est plus embarrassante pour les personnes publiques, dont la quasi-totalité de l'activité est une mission de service public. La jurisprudence antérieure du Conseil d'Etat distinguait selon le régime juridique de l'activité : si celle-ci relevait du droit administratif, on avait un document administratif ; si elle était organisée sous le régime du droit privé, c'est qu'elle était concurrentielle et il n'y avait pas de raison de faire peser sur un service public industriel et commercial des charges dont ses concurrents étaient exemptés.
La solution retenue actuellement fait une synthèse entre cette jurisprudence et la doctrine de la Cada : le régime juridique de l'activité reste le critère pour les services publics industriels et commerciaux dans leurs relations avec leurs usagers et leurs agents. Pour les marchés, nous essayons de déterminer l'étroitesse du lien avec un service public - comme on faisait autrefois pour déterminer si un agent était un agent public ou non. En clarifiant les choses, le législateur réduirait l'insécurité juridique.
Qui sont les bénéficiaires de la loi Cada ? Le code de l'environnement donne actuellement compétence à la Cada sur les litiges entre personnes publiques pour l'accès à une information environnementale. La loi Cada de 1978 était conçue pour le citoyen. La Cada estime que pour cette loi, les contestations entre personnes publiques ne relèvent pas de sa compétence. Il serait possible de faire autrement, la Cada en a la capacité, mais son rôle en serait modifié : elle serait alors au service du citoyen et de celui de la démocratie.
Il me semble que la nouvelle directive sur la réutilisation sera transposée a maxima puisque les politiques actuelles vont au-delà de ses exigences. L'information publique est désormais considérée comme une matière première, et l'on escompte retrouver par l'impôt sur les sociétés ce qui sera perdu dans des redevances difficiles à gérer. La Cada est un organisme consultatif dont les avis, motivés, sont le plus souvent suivis. Voulons-nous lui donner un pouvoir de décision ?
M. Jean-Jacques Hyest, président. - Et de sanction, comme pour d'autres autorités administratives indépendantes.
M. Serge Daël. - La plupart des présidents d'AAI ne demanderaient qu'à obtenir un tel surcroît de pouvoir. Je suis un peu à contre-emploi... La seule question est pourtant de savoir si le système actuel est efficace. Il est concentré sur le coeur de métier, et peu onéreux. Nous n'avons pas les moyens de faire de la stratégie globale, mais notre système d'information est bien conçu, avec un site, une doctrine, une jurisprudence. Que nous semblions jouer petits bras ne condamne pas le système.
Il est possible de donner à la Cada un pouvoir de décision. Cela reviendrait à centraliser et à déresponsabiliser. Puis, il faudra faire exécuter les décisions prises et nous doter d'un service contentieux. Une autre solution, qui aurait ma préférence personnelle, serait de favoriser le recours, dans les cas où les avis de la Cada ne sont pas suivis, au référé administratif, qui est rarement utilisé en raison des deux conditions d'utilité et d'urgence auxquelles il est soumis. Il faudrait créer un référé communication, diffusion et réutilisation qui en serait dispensé. La Cada conserverait alors un rôle consultatif.
M. Nicolas Polge, rapporteur général de la Cada. - En tant que rapporteur général comme en tant que citoyen, je tiens vraiment à ce que les compétences de la Cada ne soient pas étendues aux conflits entre personnes publiques et à ce qu'on ne lui donne pas un pouvoir de décision en matière de réutilisation. L'administration doit être autant que possible au service des citoyens, pas des autres administrations ! Le législateur a été sage d'orienter la Cada vers le service aux citoyens. Les administrations ont les moyens de connaître les termes exacts du droit et de s'entendre à l'amiable, ou d'aller devant le juge. Prévoir une intervention de la Cada dans ces litiges ne ferait que nourrir l'activité de la machine administrative sans profit pour le citoyen.
Les conflits sur la réutilisation ont vocation à se trancher, s'ils persistent, devant le juge. Toutefois, l'introduction de la saisine obligatoire de la Cada à titre consultatif avant la saisine du juge administratif a eu un effet très positif : alors que la Cada traite 5 000 conflits chaque année, le juge administratif n'est saisi que de cinq cents recours. L'intermédiation de la Cada dégonfle le contentieux. Si elle acquérait un pouvoir de décision, cela reviendrait à une centralisation de la gestion de ces conflits, partant à un transfert de charge qui nécessiterait d'allouer des moyens supplémentaires à la Cada, sans économies ailleurs en raison de la parcellisation actuelle de la gestion des contentieux.
Lorsque l'avis de la Cada n'a pas abouti à une résolution du conflit, il faut faire en sorte que le juge statue plus rapidement. Le code de justice administrative prévoit un délai maximal de six mois qui est rarement respecté, ce qui pose problème dans les affaires les plus délicates. Mieux vaut s'attacher aux règles de procédure applicables.
M. Jean-Jacques Hyest, président. - Les conflits entre administrations, qui ne sont pas si nombreux, n'ont pas besoin de passer par la Cada...
M. Serge Daël. - Nous ne sommes pas demandeurs ! Lorsque nous sommes sollicités, nous répondons que la loi de 1978 ne nous donne pas compétence pour les traiter. Ce serait un changement de centre de gravité.
Mme Corinne Bouchoux, rapporteure. - Merci pour cette description de la situation. La Cada traite quelque cinq mille demandes par an. Quels sont les malentendus les plus fréquents ? S'agit-il de cas où l'administration devrait communiquer mais l'ignore ? De problèmes dans les marchés publics ? De contentieux dans l'accès aux listes électorales ? Les rapports annuels de la Cada révèlent qu'elle est un bon observatoire des zones de friction dans l'application de la loi. Dans ce domaine, quels sont les deux ou trois points sur lesquels le législateur devrait prioritairement se pencher ? Enfin, pouvez-vous nous expliquer le concept de vie privée des entreprises ?
M. Serge Daël. - Nous nous efforçons de ne pas dépasser le chiffre de 5 000 demandes d'avis pas an, qui correspond à nos capacités, en utilisant la régulation entre saisine officielle et simple demande de renseignements : nous recevons chaque année 6 000 demandes de renseignements par courrier et une soixantaine de demandes téléphoniques par jour. Nous ne devrions plus être saisis sur certains thèmes, sur lesquels le droit est désormais très clair : marchés publics, permis de construire et urbanisme, dossiers des fonctionnaires, dossier médical... Pourquoi le sommes-nous toujours ? Cela peut résulter de situations conflictuelles, parfois en période électorale, ou de cas où la communication des documents pose des problèmes, par exemple pour de gros marchés publics. Pour un document comme un plan local d'urbanisme intercommunal (Plui), qui n'est pas censé contenir de données nominatives, la meilleure solution est la mise en ligne.
M. Jean-Jacques Hyest, président. - Les questions ne portent plus sur la consultation du document mais sur son processus d'élaboration. Il faut donner accès aux documents préparatoires.
M. Serge Daël. - Ils deviennent communicables une fois la phase préparatoire achevée.
M. Jean-Jacques Hyest, président. - Il y a des spécialistes qui savent faire annuler tout un Plui si la moindre consultation préalable a été omise. Des associations en font parfois marché.
M. Serge Daël. - Les collectivités territoriales doivent faire attention à ne pas laisser dans ces documents de données couvertes par le secret de la vie privée. Une fois que le Plui est approuvé, tous les documents sont communicables. Cela expose, en effet, aux recours contentieux...
Les cas de mauvaise volonté sont rares. Au contraire, les maires de petites communes accomplissent souvent un travail admirable. Plus fréquents sont les cas de simple méconnaissance de la loi, ou encore de trop grand temps de réponse, parfois dû à la difficulté physique de réaliser les copies. Pour tout ce qui ne relève pas du secret de la vie privée, la mise en ligne me paraît la solution idéale : elle libère les personnels de tâches lourdes et coûteuses. Pour les secrets de l'article 6 ou les données à caractère personnel, un traitement individualisé du dossier est toujours indispensable. Il serait allégé si cette nécessité était prise en compte lors de la constitution du dossier, en distinguant ce qui sera communicable et ce qui ne le sera pas.
Mme Corinne Bouchoux, rapporteure. - Quelles demandes vous ont le plus surpris ? L'inventivité des citoyens est souvent plus forte que ce que nous pouvons prévoir...
M. Serge Daël. - On nous a par exemple demandé communication de toute une base de données, ainsi que du programme qui la structurait ! S'agit-il bien d'un document administratif ? Lorsque l'administration crée une plateforme hébergeant des données fournies par des opérateurs, la question se pose de savoir quand ces informations deviennent des informations administratives, produites ou détenues par une administration dans le cadre de sa mission de service public. Nous avons bien éclairci cette question. Il y a aussi, bien sûr, des clients d'habitude.
M. Nicolas Polge. - Compte tenu de l'objectif de transparence fixé par la loi du 17 juillet 1978, aucune demande raisonnablement motivée par le souci de comprendre l'action de l'administration ne me surprend. Les demandes qui semblent le plus baroques sont souvent motivées par des conflits entre individus : une des parties cherche à obtenir des informations sur l'autre. C'est notamment le cas pour des conflits intrafamiliaux, dont la violence se ressent dans le caractère insistant de la demande. En général, les informations demandées ne sont pas communicables, car elles mettent en cause la vie privée. L'intervention de la Cada a souvent un rôle apaisant dans ces affaires.
La vie privée des entreprises est une notion apparue récemment dans la jurisprudence du Conseil d'Etat. En 2013 la Haute juridiction a considéré dans une décision qu'un document relatif à l'adhésion d'une entreprise à un syndicat professionnel était couvert par le secret de la vie privée. Jusqu'alors, la notion de vie privée était appliquée aux personnes physiques. Pour les personnes morales, on utilisait la notion de secret industriel et commercial ou celle de secret des affaires qui couvrait le secret des stratégies. La Cour européenne des droits de l'homme (CEDH) avait précédé le Conseil d'Etat, en jugeant que la protection du domicile s'appliquait aux entreprises. Désormais, le respect de la vie privée prévu à l'article 6 de la loi de 1978 ne concerne pas seulement les personnes physiques mais aussi les personnes morales. S'agit-il d'une régression par rapport à la doctrine de la Cada sur la transparence ? Dans la plupart des cas, cela ne créera pas de nouveaux secrets. Certains sujets cependant pourront sans doute être couverts, qui ne l'étaient pas par le dispositif antérieur : il y aura une légère perte de transparence.
M. Serge Daël. - Pour la Cada, il y a une vie privée des entreprises, qui ne saurait toutefois être confondue avec celle des personnes privées.
M. Nicolas Polge. - Comme la Cada l'a déjà signalé, il serait bon que le législateur règle des problèmes que la jurisprudence laisse irrésolus. Le premier est l'articulation entre la loi de 1978 et l'un des plus anciens régimes spéciaux, qui avait été mis en place en 1884 pour les communes. Ce régime permet à toute personne de recevoir communication et de publier nombre de documents émanant des collectivités territoriales. Le législateur n'ayant jamais ajouté la moindre réserve à ce texte, la Cada a toujours considéré que, contrairement aux dispositions de la loi de 1978, les documents couverts par le code général des collectivités territoriales étaient systématiquement communicables. Le Conseil d'Etat l'a désavoué en 2010 dans une décision Commune de Sète, en considérant que si le législateur avait donné un droit d'accès à certains documents des collectivités territoriales, il n'avait pas pour autant entendu rendre communicables certaines mentions, en l'espèce des appréciations d'ordre individuel sur des agents publics. Les limites de ce droit d'accès ne sont toujours pas définies, ce qui place la Cada dans l'embarras. Elle a considéré que d'autres secrets devaient être pris en compte : secret médical, secret de la vie privée... Il conviendrait de clarifier l'intention du législateur.
Le deuxième concerne le code électoral et l'accès aux listes électorales. Il est primordial que les citoyens puissent vérifier qui a voté et qui en a le droit. Tout électeur peut obtenir copie intégrale de la liste électorale de toute circonscription. Or, ces listes comportent, outre les noms des électeurs, leurs dates de naissance et adresses postales. Ce sont des données sensibles, comme en témoignent les demandes qui émanent de sociétés commerciales. Le code électoral pose pourtant une limite : celui qui obtient communication de la liste doit s'engager à ne pas en faire un usage purement commercial. Mais aucune sanction n'est prévue. Tout usage autre que purement commercial est-il légitime ? Les seuls usages légitimes sont le contrôle du vote et la communication politique, - la Constitution prévoit que les partis politiques concourent à l'expression du suffrage. Or, de nombreux généalogistes utilisent ces listes. Le législateur pourrait restreindre les motifs pour lesquels il est possible d'y avoir accès, et instituer une sanction en cas de détournement de cet objectif.
M. Serge Daël. - Le code électoral ouvre une brèche énorme, puisqu'on peut prendre copie des listes. Le législateur devrait se saisir de la question du code général des collectivités territoriales (CGCT) ; nous avons parlé de la loi de 1884, mais en réalité, comme l'indique le rapport annuel du Conseil d'Etat pour 2012, cette ouverture remonte à 1789. Il y a deux types de secrets : ceux qui protègent l'État et ceux du II de l'article 6, que, contrairement à ce qu'on pourrait croire, la loi de 1978 n'a pas créés mais rappelés ; si la loi était abrogée, le secret médical ou le secret de la vie privée demeureraient. Le CGCT a-t-il entendu déroger à ces règles générales ? Les délibérations, visées initialement, ne comprennent pas de données personnelles, à la différence des pièces annexes et de la comptabilité, qui en regorgent. Au point où on en est, il n'y a plus lieu de distinguer les collectivités territoriales et les autres acteurs, à moins de faire preuve d'une suspicion particulière pour les administrations locales... L'équilibre de 1978 est bon ; les secrets qu'il protège sont les mêmes que ceux que protège la Cour de Strasbourg.
Mme Gisèle Printz. - Etes-vous souvent consultés sur l'application du droit local d'Alsace-Moselle, qui diffère sur la chasse, la sécurité sociale, les jours fériés ou les associations ?
M. Serge Daël. - Je suis en fonctions depuis 2011 et je n'en ai pas eu connaissance.
M. Nicolas Polge. - La Cada n'est pas compétente pour répondre à des questions d'interprétation du droit, mais seulement sur l'accès aux documents. Il arrive en revanche qu'elle découvre, à l'occasion de demandes, des documents qui existent uniquement dans les trois départements de l'Est.
Mme Catherine Procaccia. - Vous parlez de 5 000 saisines par an... ?
M. Serge Daël. - Nous recevons 5 000 demandes officielles - majoritairement des demandes d'avis en cas de refus de communication d'un document, ainsi que 70 demandes de conseil - mais il faut y ajouter 6 000 demandes de renseignement, sans compter les appels téléphoniques. Nous sommes souvent saisis en dehors de notre compétence, comme sur les actes notariés.
Mme Catherine Procaccia. - Une meilleure information éviterait-elle une partie de ces 6 000 demandes ? Autour de moi, alors que je vis dans un monde privilégié, personne ne connaît la Cada. Si elle était plus connue, vous seriez submergés !
M. Serge Daël. - Lorsque je parle de mon activité, je vois bien sur le visage de mes interlocuteurs que la Cada n'est pas très connue. Son site internet comporte pourtant une information très complète, le guide édité à la Documentation française il y a quelques années est encore valable à 95 %, nous publions une lettre et comptons 1 500 correspondants. Faute de moyens, nous n'organisons pas de manifestations de prestige : pas de réunion au Palais des congrès, pas de battage. C'est pour cela que nous ne coûtons pas cher. Si quelqu'un me demande un exemple de ces documents auxquels nous garantissons l'accès, je parle des documents d'un marché public passé par une collectivité, qu'un concurrent voudrait consulter - ah bon c'est consultable, me répond-on... Si les gens savaient combien de documents le sont, nous serions submergés. Je ne m'en plains pas. Nous ne multiplions pas les colloques internationaux : Nicolas Polge s'est rendu à un congrès à Berlin, c'est tout. Nous ne rendons pas visite à toutes les Prada, personnes ressources pour l'accès aux documents administratifs.
Mme Catherine Procaccia. - Tout cela se passe par internet, aujourd'hui.
M. Serge Daël. - C'est une administration rudimentaire ; mais nous obtenons un service pas idiot pour un coût pas démesuré.
Mme Catherine Procaccia. - Un nouveau service informe sur les ventes immobilières sur un territoire donné. Evaluez-vous le risque de surcharge de travail qui pourrait en découler, comme d'autres nouveautés, telles que la publication du patrimoine des élus en préfecture ou le redécoupage des cantons ?
M. Serge Daël. - Nous n'en avons pas les moyens.
M. Jean-Jacques Hyest. - Cela pourrait figurer dans l'étude d'impact...
M. Serge Daël. - Ce nouveau service est une bonne chose : les assujettis à l'ISF évalueront leur bien aisément. Il est vrai qu'auparavant, ils pouvaient pour un coût modéré procéder à une réquisition à la conservation des hypothèques. C'est de la compétence de la Cada, mais il n'y a pas de litige. Si une vente n'est pas répertoriée, cela peut être parce que le service ne prend pas en compte les opérations non représentatives, et l'usager a toujours la faculté de s'adresser à la conservation des hypothèques.
M. Jean-Jacques Hyest. - Je vous remercie. Nous aurons sans doute recours à vous de nouveau à l'avenir.
M. Serge Daël. - Nous sommes à votre entière disposition.
Audition de M. Paul Hébert, chef du service des affaires juridiques de la Commission nationale de l'informatique et des libertés (Cnil) et de Mme Delphine Carnel, juriste
M. Jean-Jacques Hyest, président. - Nous accueillons maintenant M. Paul Hébert, avocat spécialisé dans le droit des nouvelles technologies devenu chef du service des affaires juridiques de la Commission nationale de l'informatique et des libertés (Cnil), accompagné de Mme Delphine Carnel, juriste au sein de ce service. La question de la vie privée et des données nominatives n'est pas au coeur de nos travaux ; une mission d'information de la commission des lois examine en ce moment la problématique de l'open data et de la protection de la vie privée. Pour autant, les compétences de la Cnil et leur articulation avec celles de la Cada sont bien au centre de nos préoccupations.
M. Paul Hébert, chef du service des affaires juridiques de la Cnil. - Les missions de la Cnil - veiller au respect de la loi Informatique et libertés - revêtent deux formes : celles d'un contrôle a priori et d'un contrôle a posteriori du traitement de données à caractère personnel au sens large, puisqu'il peut s'agir de leur collecte, de leur utilisation ou de leur transmission par les réseaux. Elle n'est pas concernée en l'absence de données à caractère personnel, lorsqu'il s'agit de données économiques ou météorologiques par exemple.
Le contrôle a priori varie selon le degré de sensibilité de l'information. L'avis - régime intermédiaire - est le plus fréquent pour les données administratives : selon l'article 26 de la loi, le traitement de données intéressant la sûreté de l'Etat, la défense ou la sécurité publique est soumis à un arrêté après avis de la Cnil - il faut un décret en Conseil d'Etat pour les données à caractère sensible (religion, vie sexuelle...) ; cela inclut les téléservices comme mon.service-public.fr. L'autorisation, régime plus restrictif puisque le silence vaut alors refus, s'applique généralement à la sphère privée : biométrie, santé (chapitres IX et X de la loi), ainsi que les transferts de données hors de l'Union européenne vers des pays n'ayant pas de législation protectrice en ce domaine ; cela peut concerner des documents publics numérisés par des sociétés ayant leur siège à l'étranger.
Ces formalités sont de plus en plus simplifiées depuis 2004 : les dispenses pour les collectivités territoriales sont de plus en plus nombreuses, comme pour le matériel électoral ou les fichiers de paie ; des déclarations simplifiées ont été mises en place pour les demandes fréquentes ; sur la diffusion des archives en ligne, la Cnil a fait oeuvre de droit mou en mettant une place l'autorisation unique qui fixe un cadre et dispense les administrations de demander formellement une autorisation. Toutes ces formalités sont dématérialisées. Le correspondant Informatique et libertés, créé en 2004, est un personnage important - un service spécifique est consacré à ce réseau de 3 704 correspondants couvrant 13 000 organismes, certains, comme les huissiers et les notaires, mutualisant leurs correspondants. Il y en a de plus en plus dans la sphère publique : autour de 500. Chaque formalité s'accompagne de flux importants de demandes de conseils. La Cnil y répond, édite des guides mis en ligne, comme sur le droit d'accès ou sur la réutilisation des données publiques, en coopération avec le Conseil d'orientation de l'édition publique et de l'information administrative (Coepia). Elle rend aussi des avis sur des projets de décret ou de loi, ainsi, dernièrement, sur la transparence de la vie publique.
Le contrôle a posteriori se renforce, en contrepartie de l'allègement du contrôle a priori. La proposition de règlement européen sur la protection des données personnelles actuellement en discussion alourdirait encore les sanctions. Sur pièces et sur place selon la loi, ce contrôle est le plus souvent sur place. De 40 contrôles en 2004, principalement en Ile-de-France, la Cnil est passée à 450 contrôles sur l'ensemble du territoire national en 2012. L'article 48 bis du projet de loi sur la consommation ouvre la possibilité de faire des contrôles en ligne pour constater une violation de sécurité, par exemple : la Cnil pourrait dresser un constat probant en cas de faille dans fichier d'entreprise, par exemple.
Mme Catherine Procaccia. - Avez-vous des hackers ?
M. Paul Hébert. - Notre service de contrôle, atypique en Europe, compte, autant d'ingénieurs et d'informaticiens que de juristes. La loi Godfrain nous interdit de pirater un site, mais nous pouvons établir des constats.
Le droit d'accès tel que nous le connaissons est différent de celui de la Cada. Le droit d'accès direct est le plus utilisé. Défini à l'article 39, il s'applique aux données propres à chacun mais nécessite l'occultation des données personnelles des autres. Toute demande de copie de ces données - pour laquelle la Cnil a créé des modèles de courrier - doit être honorée dans un délai de deux mois ; elle est sinon considérée comme rejetée. Les données doivent être intelligibles, les sigles et abréviations étant au besoin explicités dans un lexique. Sur 4 800 plaintes, 555 portent sur le droit d'accès.
M. Jean-Jacques Hyest, président. - Dans quel domaine ? S'agit-il du fichier du Système de traitement des infractions constatées (Stic) ?
M. Paul Hébert. - Le Stic entre dans l'autre catégorie : le droit d'accès indirect, qui concerne les fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique - fichiers de police judiciaire, fichier Schengen, fichiers des détenus ou même fichier national des comptes bancaires et assimilés (Ficoba), tenu par la direction générale des finances publiques par exemple. Chacun a le droit de savoir s'il y est référencé, de corriger, voire de se voir communiquer - en accord avec le responsable du traitement et si elles ne mettent pas en cause la sécurité de l'Etat - les informations qui y figurent. Avec 4 305 demandes, nous assistons à une hausse de 17 % en 2013, due en grande partie à des demandes concernant le Ficoba, suite à une décision du Conseil d'Etat du 29 juin 2011.
Le droit d'accès est un sujet mineur pour la Cnil qui s'intéresse d'abord à la personne publique productrice des données, et non à leur réutilisation. Mais des problèmes d'articulation surviennent lorsque les données publiques contiennent des données personnelles, car elles entrent dans le champ de l'article 13 de la loi Cada. Une demande de consultation d'un document d'archive, par exemple, ne relève pas de la Cnil, mais du code du patrimoine et de la Cada, sauf s'il est mis en ligne ou numérisé par une entreprise : il y a alors traitement de données à caractères personnel et cela requiert l'autorisation de la Cnil si cette utilisation est faite à d'autres fins qu'historiques ou statistiques. C'est pourquoi elle a émis une recommandation qui trace un cadre pour ce cas et mis en place une autorisation unique. Dès qu'un document est sur Internet, les moteurs de recherche peuvent l'indexer, ce qui équivaut à une publication.
Il ne faut pas surestimer les difficultés techniques de ces cas. La Cnil a mené en juillet dernier un séminaire sur les enjeux de l'open data, dont le compte rendu détaillé, mis en ligne, a donné lieu à une consultation dont l'analyse vient d'être mise en ligne. Les constats ont été les suivants : les jeux de données ouverts comptent rarement d'informations à caractère personnel, et lorsque c'est le cas, elles présentent peu de risques pour les individus, quoiqu'indirectement identifiantes. En revanche, les acteurs ne sont pas très au fait de la problématique de la vie privée : ils ne savent pas ce qui est identifiable ni comment l'anonymiser. On constate même une certaine frilosité, voire une instrumentalisation de la législation de protection des données personnelles pour en mettre le moins possible en ligne. Nous manquons également d'outils didactiques et de techniques d'anonymisation. Un sous-groupe du G29, l'organisme qui regroupe la Cnil et ses homologues européens, travaille sur la question. Nous avons encore besoin de guidelines pratiques pour encadrer ce mouvement qui revêt un intérêt économique important.
Mme Delphine Carnel, juriste. - Les deux droits d'accès, à mes données ou aux données de la société dans laquelle je vis, sont complémentaires. L'obligation d'information n'est pas suffisamment respectée. L'objectif de transparence pour comprendre les prises de décisions devrait inciter à constituer des répertoires de données et à présenter les modalités pratiques pour y avoir accès. Chaque administration devrait faire un état des lieux de ses jeux de données avant de les ouvrir, ainsi pour les listes électorales. Paradoxe de la visibilité, nous ne savons pas jusqu'où aller pour rendre publiques des informations ou communicables des données personnelles qui intéressent tout un chacun, comme les contribuables qui ont intérêt à connaître les données du marché immobilier. Pour prendre un cas extrême, est-il utile de connaître jusqu'au groupe sanguin des électeurs pour contrôler la régularité d'un scrutin ?
Nous devons faire face à la massification des demandes d'accès, des données et des outils utilisés par le secteur public. Mes interlocuteurs, les responsables de traitement, sauf certains très en retard ou très en avance, sont dans une pratique empirique qui dépend de la manière dont se sont constitués leurs outils. La logique système doit être repensée, de la chaîne de production - coeur de métier de la Cnil - jusqu'à l'accessibilité ou à l'ouverture à un plus large public.
Mme Corinne Bouchoux, rapporteure. - Nous voyons bien la complémentarité et les zones de friction qui peuvent exister entre Cnil et Cada. Nous aimerions avoir des précisions sur la typologie des 555 demandes sur le droit d'accès. De mémoire, la coexistence aimable entre les deux commissions est favorisée par la présence d'un représentant de la Cnil à la Cada. Vous rencontrez-vous tous les ans ? Le professeur Jacques Chevallier posait la question d'une fusion entre les deux institutions. Qu'en pensent les responsables de la Cnil ? L'accès aux documents administratifs, c'est de la préhistoire ; la Cnil est compétente dès lors que les données sont informatisées. Avez-vous identifié des zones de friction sur lesquelles le législateur devrait se pencher ? Bientôt, il n'y aura plus de documents administratifs comme on l'entendait jadis, ce qui pourrait poser des problèmes aux juridictions administratives...
M. Jean-Jacques Hyest, président. - Ils existeront sous une autre forme : un permis de construire est un permis de construire, même s'il est regroupé dans des big data.
M. Paul Hébert. - Nous apporterons des réponses écrites sur les questions auxquelles nous ne pouvons pas répondre. Il y a une réelle collaboration entre Cnil et Cada. Deux commissaires de la première - le président Massot et M. de Givry - siègent à la seconde. Une convention de services passée dans les années 1980 et actualisée régulièrement régit nos rapports : si une plainte concernant le droit d'accès est mal aiguillée, les services la renvoient à la bonne institution.
M. Jean-Jacques Hyest, président. - Vous avez évoqué l'évolution de la législation européenne. La commission des lois du Sénat s'est inquiétée d'un éventuel affaiblissement de la protection. Qu'en pense le Groupe européen des autorités de protection dont fait partie la Cnil ?
M. Paul Hébert. - Un projet de règlement européen est en cours de discussion - je ne sais s'il aboutira très rapidement. Il modifierait considérablement l'économie du système en diminuant les formalités, mais en multipliant les missions d'accompagnement et de conseil pour aider les entreprises et les administrations à avoir une démarche par risque. Pour les fichiers les plus sensibles, les institutions de protection seront consultées. Des changements majeurs interviendraient dans la façon d'appréhender la vie privée.
Mme Delphine Carnel. - Notre outil informatique ne nous fournit pas des statistiques par type de plainte, mais il doit évoluer. Nous vous les communiquerons après les avoir extraites manuellement. Pour illustrer la collaboration entre Cada et Cnil, les recommandations de cette dernière sur les archives et leur réutilisation ont bénéficié des nombreuses réunions tenues à propos de ce qui est devenu le litige NotreFamille.com, site qui réutilise les données d'état-civil à visée généalogique pour alimenter un business model. On peut encore citer la révision de la directive sur la réutilisation des informations du secteur public, pilotée depuis 2011 par le secrétariat général aux affaires européennes avec la mission Etalab, avec qui nous collaborons. Plusieurs définitions restent en effet en suspens : qu'est-ce qu'une donnée rendue publique, quid d'une donnée fournie sur Facebook, l'affichage d'un ban de mariage sur la porte de la mairie pour garantir les droits des tiers ou faire valoir les empêchements autorise-t-il leur réutilisation pour une autre finalité ? Les présidents des deux commissions ont adressé une lettre commune au directeur d'Etalab pour avoir des réponses à cet égard. Une donnée même accessible, si elle identifie une personne reste à caractère personnel. Certes, la loi Informatique et libertés autorise de nombreuses modulations pour faire vivre l'article 13 de la loi de 1978 qui renvoie à la loi Informatique et libertés après avoir pris soin d'insérer la notion de consentement, d'anonymisation ou de régime spécifique autorisant la publication. Ces principes sont-ils spécifiques, doivent-ils être entendus étroitement ou plus largement ? Ces articulations doivent être peaufinées pour faire face à la massification des accès et des données.
M. Jean-Jacques Hyest, président. - Je vous remercie pour les précisions que vous nous avez apportées.