LISTE DES RECOMMANDATIONS |
• Accélérer le déploiement d'un open data respectueux de la protection des données personnelles Recommandation n° 1 Poser le principe que l'administration est tenue de mettre en ligne progressivement, en les anonymisant si nécessaire, toutes les bases de données qu'elle détient et qui seraient susceptibles d'être communiquées à un citoyen s'il en fait la demande ou qui font l'objet d'une diffusion publique sur un autre support L'administration ne pourrait s'y opposer qu'en raison des coûts déraisonnables de gestion que cette mise en ligne imposerait (notamment les coûts d'anonymisation éventuelle), ou du risque avéré, qu'en dépit des précautions prises, des informations personnelles puissent être ré-identifiées Recommandation n° 2 Afin de permettre aux administrations de satisfaire à l'obligation précédente, mettre en place une phase transitoire, pendant laquelle elles : - opèreraient une recension complète des jeux de données qu'elles détiennent et décideraient de leur mise en ligne ; - publieraient un calendrier pluriannuel des mises à dispositions programmées Recommandation n° 3 Imposer aux administrations d'indiquer, pour chaque jeu de données, en marge du registre publié sur leur site internet les énumérant, s'il fera ou non l'objet d'une mise en ligne et, dans ce dernier cas, la raison pour laquelle elles s'y opposent Recommandation n° 4 Le cas échéant, examiner l'opportunité d'étendre les cas, définis par la loi, dans lesquels, compte tenu de l'intérêt général qui s'y attache, des jeux de données incluant des données personnelles peuvent, par exception, être diffusés en ligne et ouverts aux réutilisations |
• Mettre en oeuvre une doctrine de protection des données personnelles en matière d' open data * Anticiper et évaluer Recommandation n° 5 Prévoir, dès la conception de la base, dans la perspective de sa possible ouverture : - les modalités de son anonymisation éventuelle ; - le cas échéant, le marquage des jeux de données afin d'être en mesure de suivre les réutilisations éventuelles et dénoncer les mésusages Recommandation n° 6 Procéder, préalablement à tout examen de l'opportunité d'ouvrir une base de données, ainsi, le cas échéant, qu'à intervalles réguliers, à une analyse du risque de ré-identification et des conséquences possibles d'une telle ré-identification * Adapter la diffusion en fonction du risque Recommandation n° 7 En cas de risque avéré sur les données personnelles, impossible à éliminer par des procédés d'anonymisation, refuser l'ouverture des données ou, si le bénéfice social attendu de cette ouverture est jugé trop important, procéder à une ouverture restreinte de cette base Recommandation n° 8 Concevoir à cette fin un continuum de solutions d'accès aux données, allant de l' open data , jusqu'aux modes d'accès les plus sélectifs * Assurer une veille sur la diffusion et les réutilisations des données mises en ligne Recommandation n° 9 Assurer une veille sur la diffusion et les réutilisations des données publiques, en facilitant notamment les procédures par lesquelles un réutilisateur peut alerter l'administration compétente Recommandation n° 10 Assurer aussi cette veille sur les données publiées par des tiers sur les sites publics Recommandation n° 11 Prévoir que l'administration définisse une stratégie de rapatriement ou de suppression des jeux de données compromis, afin de remédier rapidement à la diffusion accidentelle d'informations personnelles * Renforcer la protection offerte par la licence de réutilisation Recommandation n° 12 Exclure expressément les données personnelles du champ d'application de la licence ouverte utilisée par les administrations pour la réutilisation des données publiques Recommandation n° 13 Interdire expressément dans le contrat de licence toute réutilisation abusive qui aboutirait à lever l'anonymisation des données Recommandation n° 14 Intégrer au contrat de licence, une clause de suspension légitime du droit de réutilisation, ainsi que de suppression ou de rapatriement des jeux données compromis lorsqu'un risque de ré-identification est apparu |
• Adapter la gouvernance de l' open data aux exigences de la protection des données personnelles * Renforcer l'assistance aux acteurs de l' open data Recommandation n° 15 Mettre en place, auprès de la mission Etalab , une structure dédiée à la protection des données à caractère personnel et chargée d'assister les administrations : - dans l'élaboration de l'étude d'impact préalable à la mise à disposition des données ; - dans l'anonymisation éventuelle de la base ; - dans la mise en place d'un mode d'accès restreint Recommandation n° 16 Confier, à cette même structure, un rôle de veille sur les réutilisations abusives au regard de la protection des données personnelles, en la chargeant de recueillir les alertes éventuelles, d'en informer la CNIL, et de coordonner, le cas échéant, le retrait ou la reconfiguration de la base de donnée litigieuse Recommandation n° 17 Rassembler et diffuser les bonnes pratiques et les recommandations en matière de protection des données personnelles dans l' open data Recommandation n° 18 Investir les CIL et les PRADA d'attribution de coordination et de veille en matière de protection des données à caractère personnel dans le cadre de l' open data * Garantir le financement des mesures d'anonymisation Recommandation n° 19 Garantir le financement par l'État des mesures d'anonymisation des données personnelles contenues dans des jeux de données publiques Ne pas renoncer par principe au prélèvement d'une redevance en présence de coûts d'anonymisation élevés Encourager le financement coopératif de l'anonymisation * Clarifier le droit applicable Recommandation n° 20 Préciser que, lorsque des données personnelles sont mises en ligne en vertu de la loi, cette publication doit se limiter à la stricte mesure nécessaire au respect de l'objet visé par cette loi |