L’OpenData et le RGPD : un mariage impossible ?

opendata RGPD.jpg

La loi pour une République numérique du 7 octobre 2016 encadre l’ouverture des données détenues par l’administration, sa diffusion gratuite dans un format ouvert et facilement réutilisable : On parle aujourd’hui d’Open Data. Sans bénéficier d’une définition partagée par tous les acteurs, l’Open Data répond à trois objectifs majeurs :

·        Renforcer la transparence de l’action publique et de la vie démocratique,

·        Communiquer au public une image détaillée du territoire et de son fonctionnement actuel,

·        Développer le marché de l’information publique en permettant d’identifier des leviers d’amélioration de l’organisation publique et de susciter l’innovation économique.

Le but est de « penser l’administration comme une plateforme » afin de confier aux développeurs et aux administrés des propositions d’amélioration du service public ou encore la création de services innovants constitués à partir de jeux de données ouvertes.

De façon générale, l’open data ne concerne pas directement la protection des données à caractère personnel : la majorité des informations du secteur public mises à disposition des internautes ne comportent aucune donnée personnelle.

Néanmoins, les organismes publics produisent ou détiennent une très grande variété de données susceptibles, dans le cadre de l’open data, d’être mises à disposition sur Internet.

De fait, le 11 juillet 2017, la CNIL rappelait à l’ordre les collectivités locales Françaises et plus généralement l’ensemble du secteur public pour que des mesures soient prises en vue de se mettre en conformité aux nouvelles obligations du Règlement Général Européen pour la Protection des données (RGPD).

La question de la gestion des données et plus généralement de leur bonne gouvernance est en effet un sujet majeur pour un secteur en pleine révolution. A l’heure de l’e-administration, des Smartcity, des dispositifs de surveillance civile, mais également à l’heure de l’explosion des attaques informatiques et des risques d’atteintes à la vie privée des citoyens, la mise en œuvre d’une stratégie digitale globale au sein de chaque organisme devient un impératif.

data.jpg

Qui est concerné par l’Open Data ?

Les administrations d’Etat, les Collectivités locales de plus de 3500 habitants, les établissements publics et organismes privés chargés d’un service public seront concernés par cette obligation d’ouverture et de mise à disposition de leurs données. Nous parlons donc des Administrations de l’Etat, des Collectivités territoriales et des autres entités de Droit public ou privé exerçant une mission de service public.

Quelles sont les données concernées par l’Open Data ?

Se pose également la question du périmètre de cette obligation d’ouverture des données. Chaque entité concernée devra en effet en premier lieu identifier celles qui devront être intégrées au « programme Open Data » à mettre en œuvre. De façon très générale, il s’agit de documents administratifs « communicables », et à contrario les documents – données – informations qui sont exclues du périmètre de l’Open Data sont justement celles à caractère personnel (données fiscales ou patrimoniales, données médicales, etc.) qui ne doivent pas être publiées : protection définie par la loi n° 78-17 du 6 janvier 1978 et par le règlement européen 2016/679 du 27 avril 2016.

Obligations & principes de gouvernance liés à l’Open Data

Rajouter à ci-dessus ces obligations et principes et dont le premier est celui de respecter le RGPD. Le Règlement prévoit ainsi des obligations spécifiques pour le secteur public dont notamment l’obligation de désigner un Délégué à la Protection des Données, et les principes de responsabilisation et ceux de contrôle de conformité dès la conception de nouveaux traitements qui vont s’appliquer aux données à caractère personnel. La logique de ces principes, l’organisation à mettre en place pour assurer par exemple la sécurité des systèmes d’information ou la sensibilisation des agents aux cyber risques trouveront un prolongement naturel dans le domaine de l’Open Data.

Si certaines expressions sont improprement employées, la logique de l’Open Data concerne de plus en plus de secteurs et les demandes sociales ou économiques « d’ouverture » de données se font de plus en plus diverses : on parle ainsi d’Open Data des décisions de justice, d’Open Data des données de santé.

Le développement de ce mouvement a donc soulevé la question de l’équilibre entre le droit d’accès à l’information publique, et la nécessaire protection des données à caractère personnel. Plus que l’open data lui-même, c’est davantage le contexte dans lequel il s’inscrit qui doit appeler à la vigilance : informatisation de la société, des administrations comme des acteurs privés ; diffusion spontanée de données personnelles par les internautes ; indexation de données nominatives par de puissants moteurs de recherche ; développement du Big Data...

Pour la CNIL, il n’en est rien : les objectifs parfaitement légitimes poursuivis par la politique d’ouverture des données publiques sont pleinement conciliables avec la protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de favoriser la confiance des différentes parties prenantes de ce mouvement (autorités publiques, citoyens, entreprises), qui constitue une condition essentielle de la réussite de toute politique publique. La CNIL a donc, très tôt, appelé l’attention des pouvoirs publics sur la nécessité de mieux concilier ces impératifs. Cette conciliation est d’autant plus réalisable en pratique qu’un cadre juridique existe depuis la fin des années 70 visant précisément à articuler les objectifs de transparence administrative et de protection des données personnelles. Ce cadre juridique a été largement renouvelé par la loi du 7 octobre 2016 pour une République numérique et par l’entré en vigueur du RGPD en Mai 2018.