Données personnelles, données publiques, open data, service public de la donnée…
Autant de termes bien encrés dans notre vocabulaire, à la définition pourtant obscure et à la législation encore incertaine.
Depuis l’adoption de la loi[1] pour une République numérique, le 7 octobre 2016, un nouveau pas a été franchi vers une régulation plus aboutie. La route menant à l’adoption de cette loi a été longue, presque un an s’étant écoulé entre sa première lecture à l’Assemblée Nationale et sa promulgation. En cause notamment, le processus d’adoption qui tire son originalité d’un appel à la consultation citoyenne en ligne, grâce au Conseil national du numérique. Les citoyens le souhaitant ont bénéficié de 3 semaines durant lesquelles il était possible de prendre part aux débats.
Cette loi pour une République numérique s’inscrit dans la tendance actuelle liée à la révolution numérique, bel et bien en marche, et qui impose de transformer l’économie et de redéfinir les espaces publics et privés. Sous l’impulsion d’Axelle Lemaire, secrétaire d’Etat chargée du numérique, l’objectif de cette loi était de trouver un équilibre entre circulation des données, protection des individus et garantie d’un accès pour tous au numérique. C’est ainsi que la loi définitive est axée autour de ces 3 points : favoriser la circulation du savoir et des données, œuvrer pour la protection des individus dans la société du numérique et garantir l’accès au numérique pour tous. Certaines de ses dispositions sont déjà applicables, d’autres le seront suite à la publication du décret d’application.
Au regard de la présentation succincte de cette loi et des divers points qu’elle traite, il convient de se pencher sur la question de la cohabitation réussie, dans un même texte, de l’expansion du service public de la donnée avec une protection plus accrue des données personnelles. Alors que la loi dite « Lemaire »[2] développe l’open data (I), elle prévoit également de nouveaux droits pour les personnes en matière de données personnelles (II).
I/- Développement de l’open data et naissance du service public de la donnée
a) L’open data et sa régulation avant la loi pour une République numérique
Avant toute chose, il semble important de revenir sur cette notion, assez floue, qu’est l’open data. D’origine anglo-saxonne, elle était au départ utilisée pour les données issues de la recherche. Ce n’est que dans les années 2000, qu’elle a été transposée aux données issues de la gestion par les administrations.
A traduire en français par « ouverture des données publiques », l’open data se définit comme l’ensemble des données créées par les administrations, lors de leurs missions, qui sont mises à disposition du public et librement réutilisées. Ce concept embrasse deux objectifs : garantir la transparence de l’action publique en assurant à chacun un accès aux données relatives à cette action et offrir la possibilité d’exploiter ces données et d’en tirer un profit pour soi ou le bien commun.
En France, le régime de l’open data repose sur 2 lois pionnières : la loi informatique et libertés du 6 janvier 1978[3] relative à l’informatique, aux fichiers et aux libertés et la loi CADA du 17 juillet 1978[4], relative à l’accès aux documents administratifs, revue en 2000 pour s’assurer de sa conformité avec les principes de protection de vie privée édictés.
Avant la promulgation de la loi Lemaire, la personne qui souhaitait avoir accès à un document public devait en faire la demande auprès de l’administration concernée. Cette dernière avait alors le choix de ne pas donner suite à cette requête en invoquant la sûreté de l’Etat ou encore la protection du secret industriel et commercial. Il était possible, pour le citoyen éconduit, de saisir la Commission d’accès aux documents administratifs (CADA) avant de saisir, en derniers recours et s’il le souhaite, le tribunal administratif.
b) Les apports de la loi pour une République numérique
La loi Lemaire a pour objectif de faire de l’open data la règle en imposant une obligation de mise en ligne des données détenues par l’administration. Cela se traduit de la façon suivante : les administrations ont désormais le devoir, lorsqu’elles communiquent un document au format électronique, de le mettre à disposition du citoyen qui pourra réutiliser gratuitement et librement ces données. Le droit de réutiliser les données sera également efficient pour celles publiées par les acteurs privés agissant dans le cadre d’un service public à caractère industriel et commercial.
En parallèle, la loi pour une République numérique donne naissance au service public de la donnée, dont l’Etat sera le garant. Ce service public aura pour mission de faciliter la réutilisation des principales bases de données de l’Etat par les acteurs privés ou publics. Il est soumis à la rédaction d’un décret de mise en œuvre, non encore rédigé.
Enfin, la grande nouveauté est l’introduction de la notion de données d’intérêt général. Par cette notion, la loi entend imposer au délégataire d’un service public de fournir à l’autorité administrative les données et bases de données, collectées ou produites à l’occasion de l’exploitation du service public. Malgré tout, aucune définition claire n’ayant été rédigée de ces données d’intérêt général, l’impact de cette création n’est pas encore évident à cerner.
Faire de l’ouverture par défaut de la donnée publique le principe, ne signifie pas pour autant une remise en cause de la protection de la vie privée telle que prévue par la loi Informatique et Libertés. Tout d’abord, l’article 1 de la loi pour une République numérique dispose que les données doivent être communiquées « dans le respect de la loi du 6 janvier 1978 », mais en plus, la nouvelle loi prévoit, au fond, des dispositions relatives à une augmentation des droits de la personne, permettant aux individus de mieux maitriser leurs données personnelles, et à un renforcement des pouvoirs de la CNIL.
II/- Accroissement des droits et des pouvoirs CNIL en matière de données personnelles
a) Les nouveaux droits des personnes
Dans la version initiale de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les seuls droits offerts aux individus étaient ceux à l’information, à l’accès et à la rectification de leurs données personnelles. Ces droits ont été complétés par la directive du 24 octobre 1995[5], avec l’introduction du consentement au traitement des données personnelles, puis par le très récent règlement du 27 avril 2016[6], applicable à compter du 25 mai 2018. C’est dans cette optique du renforcement des droits, et dans la logique de ce qui est prévu par le règlement, que la loi pour une République numérique offre de nouveaux droits aux individus.
Le premier qui peut être cité est le droit à l’autodétermination informationnelle. Ce droit a été dégagé par la Cour constitutionnelle allemande et plus récemment étudié par le Conseil d’Etat. Il permet, à toute personne privée, de décider de l’usage qui est fait de ses données, de maîtriser ses données. Il s’agit d’un concept très flou, à la mise en œuvre difficile. C’est pourquoi il a été décidé de l’aborder de façon très concrète, par exemple en imposant au responsable de traitement d’indiquer automatiquement la durée de conservation des données personnelles.
La loi pour une République numérique prévoit également un droit à l’oubli pour les mineurs. Jusqu’alors, le mineur, ou ses représentants légaux, n’avait comme unique possibilité que celle de l’opposition, lui permettant de refuser de figurer dans un fichier, à la seule condition qu’existe un motif légitime à ce refus. Il est désormais possible au mineur d’obtenir, au moment de la collecte des données, l’effacement des données personnelles, dans les meilleurs délais et sans motif particulier. Si le mineur n’obtient pas de réponse, ou une réponse négative, dans le délai d’un mois, il peut saisir la CNIL qui a 3 semaines pour rendre sa décision.
Enfin, la loi Lemaire crée un droit novateur, qui renvoie à la possibilité d’organiser le sort de ses données personnelles après sa mort. En effet, la gestion des comptes des utilisateurs après leur mort est aujourd’hui problématique pour les fournisseurs Internet qui n’ont pas connaissance de cette mort. A côté, les héritiers, qui en ont connaissance, ne disposent pas nécessairement des codes d’accès ou même d’une légitimité suffisante pour demander l’accès ou la suppression du compte du défunt. Ainsi, il sera désormais possible à toute personne de rédiger des directives organisant les modalités de conservation et de communication des données personnelles après le décès. En l’absence de telles directives, les héritiers auront le droit d’exercer l’ensemble des droits Informatiques et Libertés du défunt.
Alors que la loi du 7 octobre 2016 accroit les droits des personnes eût égard à leurs données personnelles, elle prévoit également un renforcement des pouvoirs de la CNIL. Un tel renforcement permettant d’assurer, malgré « l’explosion » de l’open data, la protection de la vie privée des personnes.
b) Le renforcement des pouvoirs de la CNIL
Les pouvoirs de la CNIL se trouvent renforcés, sous plusieurs aspects, suite à l’adoption de la loi pour une République numérique. Tout d’abord, le pouvoir de sanction est renforcé, le plafond maximal de l’amende pouvant être prononcée par la CNIL passant de 150 000 euros à 3 millions d’euros. De plus, la formation restreinte de la CNIL peut désormais prononcer une sanction pécuniaire, sans mise en demeure préalable, dans le cas où le manquement ne peut faire l’objet d’une mise en conformité.
D’autre part, la CNIL sera systématiquement saisie, pour avis, sur tout projet de loi, décret ou disposition de projet de loi ou décret relatifs à la protection des données personnelles. A cette fin, elle pourra rendre une expertise plus systématique aux pouvoirs publics, en matière de données personnelles. Ces avis feront également l’objet d’une publicité systématique, ce qui n’était pas le cas auparavant. En parallèle, la CNIL se voit confier de nouvelles missions telles que la certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et réutilisation. Cela signifie que l’ensemble des données, dites publiques, sera anonymisé avant d’être publié, et que cette anonymisation fera l’objet d’un contrôle effectif par la CNIL.
Enfin, la loi Lemaire prévoit un rapprochement entre la CNIL et la CADA. Désormais, le président de la CNIL, ou son représentant, siégera de droit dans la CADA, et vice-versa. Elles auront également la possibilité de se réunir dans un collège unique, à l’initiative d’un des présidents, si un sujet d’intérêt commun le justifie.
Chers lecteurs, n’ayez crainte, face au développement de l’open data, vos droits restent nombreux et garantis par le travail de la CNIL, autorité de surveillance compétente en matière de données personnelles. Votre vie privée restera préservée.
Une interrogation demeure cependant, quid de la donnée anonymisée avant mise en ligne permettant la ré-identification de la personne ? Affaire à suivre…
Camille Rideau & Marion Corvée
[1] Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
[2] Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
[3] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[4] Loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal
[5] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[6] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)