C. ADAPTER LA GOUVERNANCE DE L'OPEN DATA AUX EXIGENCES DE LA PROTECTION DES DONNÉES PERSONNELLES

Les auditions conduites par vos rapporteurs ont mis en évidence le manque d'assistance apportée aux différentes administrations nationales et locales pour assurer de manière satisfaisante la protection des données à caractère personnel dans la mise en oeuvre de l' open data . Un besoin d'informations et de conseils pratiques s'est exprimé en matière de protection des données personnelles, auquel seule une gouvernance structurée serait à même de répondre.

1. Organiser l'assistance aux acteurs de l'open data

Vos rapporteurs ont acquis la conviction que la gouvernance décentralisée, structurée en réseau, de la stratégie d' open data telle qu'elle a été conduite jusqu'à présent était la plus adaptée à un mouvement de cette nature. Il n'est en effet pas souhaitable de confier la politique d' open data à un organisme unique qui se substituerait aux producteurs et se chargerait seul de la mise en ligne des données de l'ensemble des administrations et établissements publics de l'État et des collectivités territoriales. Cela risquerait de déresponsabiliser les producteurs alors même qu'il est indispensable que chacun intègre la logique d' open data non seulement dans son action, mais également dans son travail quotidien de recueil et de traitement des données.

En revanche, il apparaît indispensable d'instaurer un référent unique à même de répondre aux différentes interrogations et besoins techniques des producteurs de données portant spécifiquement sur la problématique de la protection des données à caractère personnel dans l' open data . C'est pourquoi vos rapporteurs préconisent que soit instituée auprès de la mission Etalab une structure spécifiquement dédiée à cette problématique.

Recommandations n° 15 et 16

Mettre en place, auprès de la mission Etalab , une structure dédiée à la protection des données personnelles et chargée d'assister les administrations :

- dans l'élaboration de l'étude d'impact préalable à la mise à disposition des données ;

- dans l'anonymisation éventuelle de la base ;

- dans la mise en place d'un mode d'accès restreint

Confier à cette même structure un rôle de veille sur les réutilisations abusives au regard de la protection des données personnelles, en la chargeant de recueillir les alertes éventuelles, d'en informer la CNIL, et de coordonner, le cas échéant, le retrait ou la reconfiguration de la base de données litigieuse

Par ailleurs, vos rapporteurs ont pris connaissance avec intérêt de la plateforme britannique UK Anonymisation Network (UKANON). Mise en place l'an passé, cette plateforme, accessible sur internet, a pour objectif de recenser les bonnes pratiques en matière d'anonymisation et d'offrir conseils et renseignements à toute personne souhaitant traiter et diffuser des données personnelles après anonymisation. Financée par l' Information Commissioner's Office (ICO) , cette initiative est coordonnée par un consortium réunissant l'Université de Manchester, l'Université de Southampton, l' Open Data Institute (ODI) et l' Office for National Statistics , homologue de l'INSEE.

Comme nombre de personnes entendues lors des auditions le faisaient remarquer à vos rapporteurs, la France dispose actuellement de différents organismes dont l'expérience en matière d'anonymisation des données personnelles pourrait être non seulement mutualisée, mais également mise à disposition de tous afin de sécuriser la diffusion de données publiques issues de données personnelles. Une initiative similaire à UKANON pourrait être conduite sous l'égide de la CNIL et avec le concours de la CADA et de la mission Etalab , des opérateurs publics spécialisés comme l'INSEE, ainsi que de laboratoires de recherche tels ceux de l'INRIA. Cela permettrait de faire se rencontrer les approches juridique et technique afin de mettre à disposition des usagers tant des recommandations d'usage que des solutions techniques.

Recommandation n° 17

Rassembler et diffuser les bonnes pratiques et les recommandations en matière de protection des données personnelles dans l' open data

Les « correspondants Informatique et libertés » (CIL) présents au sein des administrations et établissements publics et les quelques 1 600 PRADA peuvent par ailleurs constituer des relais efficaces pour faire pénétrer au sein des administrations les problématiques de protection des données à caractère personnel. Ils présentent en effet l'avantage d'assurer un contrôle de proximité des traitements de données.

Confier de nouvelles missions aux CIL dans le cadre de l' open data conduit cependant à poser de nouveau la question du renforcement de leur statut. À cet égard, vos rapporteurs souhaitent rappeler les travaux sur ce sujet du groupe de travail de votre commission 61 ( * ) qui a débouché sur l'adoption par le Sénat, le 23 mars 2010, de la proposition de loi de nos collègues Anne-Marie Escoffier et Yves Détraigne. Cette proposition contient en particulier des dispositions visant à rendre obligatoire la désignation d'un CIL dans toutes les structures dans lesquelles plus de cent personnes mettent en oeuvre des traitements de données personnelles ou y ont directement accès, ainsi que dans les structures recourant à des traitements de données soumis au régime d'autorisation préalable. Elle tend également à préciser le rôle du CIL ainsi que ses liens étroits avec la CNIL. Cette proposition de loi est toujours en instance devant l'Assemblée nationale.

Recommandation n° 18

Investir les CIL et les PRADA d'attribution de coordination et de veille en matière de protection des données personnelles dans le cadre de l' open data

2. Garantir le financement des mesures d'anonymisation

Vos rapporteurs ont pris acte de la décision du Gouvernement de réaffirmer le principe de gratuité de la réutilisation des données publiques, prise à la suite de la remise au Premier ministre du rapport de M. Mohamed Adnène Trojette sur la légitimité des exceptions au principe de gratuité dans le cadre de l' open data 62 ( * ) . Ainsi, lors du comité interministériel pour la modernisation de l'action publique du 18 décembre 2013, le Gouvernement a-t-il décidé de ne plus autoriser la création de nouvelle redevance et de supprimer certaines des redevances existantes.

Vos rapporteurs considèrent cependant qu'eu égard à l'importance de l'enjeu de la protection de la vie privée, il est impératif que l'État assure l'anonymisation de certains jeux de données plutôt que de renoncer à leur ouverture. Dès lors, ils demandent au Gouvernement de s'engager sur le financement pérenne par le budget de l'État des mesures d'anonymisation indispensables à la mise en ligne de ces jeux de données.

Toutefois, conscients du coût de l'anonymisation de certains jeux de données dans un contexte de restriction budgétaire, vos rapporteurs estiment qu'au regard des bénéfices attendus de l' open data par certains acteurs économiques, il ne serait pas de bonne gestion de renoncer par principe au prélèvement de redevances visant spécifiquement le financement de l'anonymisation.

Par ailleurs, vos rapporteurs invitent le Gouvernement à expérimenter de nouvelles modalités de financement. Ils proposent ainsi d'encourager la contribution volontaire des différents acteurs intéressés à l'ouverture de certains jeux de données qu'ils estimeraient à fort potentiel et qui pourtant ne seraient pas mis à disposition, soit que les administrations n'en aient pas prévu la diffusion dans le cadre de leur programme pluriannuel, soit que ces acteurs souhaitent que cette diffusion soit accélérée par rapport au programme arrêté, soit enfin, que les administrations aient refusé de diffuser certains jeux de données du fait de l'effort disproportionné que représentait leur anonymisation, en application de l'article 40 du décret d'application de la loi « CADA ».

À cet égard, une première solution pourrait être de recourir au financement coopératif. Vos rapporteurs ont noté avec intérêt les annonces faites le 14 février dernier par Mme Fleur Pellerin, alors ministre déléguée chargée des petites et moyennes entreprises, de l'innovation et de l'économie numérique, concernant le renouvellement du cadre juridique relatif au financement participatif ou « crowdfunding », qui met en relation, via des plates-formes internet, des porteurs de projets en quête d'argent avec des particuliers désireux de donner, d'investir ou de prêter. Une autre voie serait de recourir à une forme de mécénat.

Recommandation n° 19

Garantir le financement par l'État des mesures d'anonymisation des données personnelles contenues dans des jeux de données publiques

Ne pas renoncer par principe au prélèvement d'une redevance en présence de coûts d'anonymisation élevés

Encourager le financement coopératif de l'anonymisation

3. Clarifier le droit applicable en matière de réutilisation de données publiques contenant des données personnelles

Un consensus s'est dégagé au cours des auditions conduites par vos rapporteurs pour dénoncer le manque de clarté du cadre juridique dans lequel s'inscrit l' open data . Si certains préconisent une simple clarification des concepts utilisés et une harmonisation des jurisprudences entre CADA et CNIL, d'autres vont plus loin et, soulignant le paradoxe d'une législation à la fois très protectrice et inadaptée car conçue à une époque où les développements actuels n'étaient pas envisagés, souhaitent une remise à plat de ce cadre juridique pour instaurer un véritable droit à la réutilisation.

Vos rapporteurs estiment quant à eux que la transposition, attendue avant la date-limite du 18 juillet 2015, de la directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public, pourrait être l'occasion de remédier à certaines lacunes du cadre juridique actuel. Il leur a cependant semblé que cette question excédait le champ de la mission qui leur a été confiée par votre commission et relevait davantage de la mission commune d'information consacrée à l'accès aux documents administratifs et aux données publiques.

Néanmoins, ils ont souhaité faire état d'une difficulté qui leur est apparue s'agissant de la réutilisation d'informations publiques contenant des données à caractère personnel ayant fait l'objet d'une publicité légale. La conciliation de l'obligation de publication et de celle d'occultation, posée au troisième alinéa de l'article 7 de la loi « CADA », est en effet délicate, comme l'illustre le conseil CADA n° 20121488 du 7 juin 2012, Président du conseil régional de Bourgogne , à propos de l'obligation de publication des délibérations du conseil régional. L'occultation des données à caractère personnel, rendue nécessaire par les dispositions de la loi « Informatique et libertés » en cas de mise en ligne sur internet, risquait de vider de son sens la publication de l'information publique en cause. Aussi la CADA a-t-elle préconisé de s'en tenir à une publication sur supports traditionnels 63 ( * ) , à l'instar de la pratique du Journal officiel s'agissant des mesures de naturalisation par exemple.

Cette position de la CADA pourrait être reprise dans une disposition législative.

Recommandation n° 20

Préciser que, lorsque des données personnelles sont mises en ligne en vertu de la loi, cette publication doit se limiter à la stricte mesure nécessaire au respect de l'objet visé par cette loi


* 61 La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information , rapport d'information n° 441, (2008-2009), de M. Yves Détraigne et Mme Anne-Marie Escoffier, fait au nom de la commission des lois (disponible à l'adresse suivante : http://www.senat.fr/notice-rapport/2008/r08-441-notice.html ).

* 62 Cf. Ouverture des données publiques - Les exceptions au principe de gratuité sont-elles toutes légitimes ?, rapport remis au Premier ministre par M. Mohammed Adnène Trojette, juillet 2013.

* 63 « Au regard des instruments servant de support à la publication, la commission estime qu'en prescrivant la publication, la loi autorise nécessairement le recours aux supports traditionnels que constituent l'affichage aux lieux habituels et les recueils des actes administratifs. La commission considère en revanche que l'obligation légale de publication n'autorise le recours à la mise en ligne de l'acte sur un site internet que pour autant que sont en outre satisfaites les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Ces dernières, en faisant éventuellement obstacle à la mise en ligne de mentions nécessaires à une publication suffisante, peuvent imposer le recours aux supports traditionnels. »

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page