Ou le cadre juridique de la réutilisation des données publiques
Conscientes du potentiel économique que représentent les bases de données publiques, nombreuses sont les entreprises qui conçoivent de nouveaux services à partir de celles-ci. Pour ce faire, il est indispensable de s’approprier le cadre juridique de la réutilisation des données publiques.
Il fût un temps où les documents administratifs ne pouvaient être adressés qu’à un seul destinataire et pour son propre usage. Aujourd’hui, les administrations partagent des jeux de données sur le site data.gouv.fr, où elles sont librement accessibles. La communication d’un document administratif peut aboutir à sa publication sur internet et, de fait, à sa consultation par des millions de personnes.
Ce changement d’échelle rendu possible par le droit comporte non seulement des risques pour l’individu dont les données pourraient être communiquées mais aussi pour les entreprises qui ne respecteraient pas le cadre légal de leur réutilisation.
Le cadre juridique de l’open data est constitué de trois ensembles :
-
- des dispositions sur le droit d’accès aux documents administratifs, codifiées au livre III du code des relations entre le public et l’administration (CRPA),
- de nombreuses législations spéciales (par exemple, l’arrêté du 14 avril 2017 relatif aux données essentielles dans la commande publique, modifié par l’arrêté du 27 juillet 2018),
- des dispositions sur la protection des données personnelles (RGPD et loi Informatique et Libertés modifiée), qui sont applicables dès lors que la mise en ligne concerne des documents administratifs comportant des informations relatives à des personnes identifiées ou susceptibles de l’être.
La CNIL (Commission Nationale Informatique et Libertés) et la CADA (Commission d’Accès aux Documents Administratifs) ont publié un guide pratique de la publication en ligne et de la réutilisation des données publiques auquel il convient de se référer.
Après avoir traité de la question de l’accès aux données publiques (1), l’entreprise devra être très vigilante quant au respect des règles en matière de protection des données personnelles (2).
(1) L’accès aux documents administratifs. La Loi pour une République Numérique du 7 octobre 2016 a mis en place une politique d’ouverture progressive des principaux documents administratifs, puis de tous les documents qui revêtent un intérêt économique, social, sanitaire ou environnemental.
En l’absence de données accessibles ou lorsque sont requises des données particulières, il convient d’adresser une demande de réutilisation des informations publiques à l’administration concernée. Le site cada.data.gouv.fr met à disposition des internautes un outil de simulation qui informe les demandeurs sur le caractère communicable des documents administratifs.
Si les demandeurs se voient opposer un refus de la part de l’administration, il est toujours possible de saisir la CADA en charge de veiller à la liberté d’accès aux documents administratifs, aux archives publiques et à la réutilisation des informations publiques. Pour faciliter les démarches, la CADA met en ligne sur son site un formulaire de saisine.
Bien entendu, la publication de données publiques par l’administration elle-même doit respecter certaines règles dont celles relevant notamment du droit d’auteur. De plus, elles doivent mettre en place des mesures empêchant l’indexation par des moteurs de recherches des données identifiantes diffusées en open data.
(2) La protection des données personnelles. Le document administratif qui comporte des données personnelles ne peut être communiqué à un tiers et publié si ce document relève de la vie privée.
En revanche, s’il ne relève pas de la vie privée, le document pourra être communiqué sans anonymisation à toute personne qui en fait la demande. Pour autant, ce demandeur ne pourra pas diffuser les données personnelles en ligne notamment, sauf à rendre impossible l’identification de la personne.
Il existe trois cas d’exception à l’obligation d’anonymisation :
- une disposition légale expresse visant à lever le secret de la vie privée (à l’instar de l’article L. 124-5 relatif aux émissions de substance dans l’environnement),
- l’accord de la personne concernée par les données personnelles,
- tout document relevant de l’article D. 312-3 du code des relations entre le public et l’administration.
La technique d’anonymisation devra faire l’objet d’une attention particulière et l’entreprise devra veiller à ce que la réidentification ne soit pas possible, ou très complexe.
En somme, dans le cadre des projets reposant sur l’open data, les aspects juridiques devront être intégrés en amont afin de limiter les risques mais aussi les coûts non anticipés.
