Comment concilier l’open data avec le nouveau cadre juridique de protection des données personnelles du Règlement Général sur la Protection des Données (RGPD) ? Au-delà de l’application du règlement européen à leur collectivité ou établissement, les élus et agents territoriaux doivent, dès aujourd’hui, anticiper ses effets sur les politiques d’ouverture des données publiques. Le volume important de données publiques collectées, d’une part, et les sanctions prévues par le RGPD, d’autre part, imposent la plus grande vigilance.
Dès le 25 mai prochain, les collectivités devront en effet concilier deux exigences a priori que tout oppose, à savoir l’obligation de mise à disposition spontanée des données publiques avec les nouveaux principes régissant la protection des données à caractère personnel.
Open data et RGPD, deux mouvements que tout oppose ?
Schéhérazade Abboub, avocate, Parme Avocats |
L’open data s’inscrit dans une tendance qui considère l’information publique comme un bien commun dont la diffusion est d’intérêt public et général. Cette philosophie a été renforcée en 2016 par la loi pour une République numérique (loi Lemaire) qui a consacré l’obligation pour les administrations de mettre à disposition les données qu’elles détiennent. Ainsi, c’est l’ensemble des données produites et collectées par les administrations qui doivent désormais être mises à disposition de manière spontanée et large (contrats de la commande publique, données de transport, données liées à l’exécution d’un service public…).
L’article 4 du RGPD définit également de manière particulièrement large la donnée à caractère personnel. Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable ; étant précisé que le RGPD s’applique à toutes les données qui se rapportent à : une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification... Cette définition large de la donnée personnelle va donc faire entrer dans le champ d’application du RGPD des documents et données jusqu’alors exclus.
Open data + RGPD = une addition à somme nulle ?
Théo Clerc, élève-avocat, Parme Avocats |
L’article L.312-1-2 du code des relations entre le public et l’administration tel qu’introduit par la loi Lemaire prévoit que les données publiques contenant notamment des données à caractère personnel doivent, préalablement à leur mise à disposition, faire l’objet d’un traitement permettant d’occulter ces mentions. Ainsi, la loi Lemaire, tout en anticipant les exigences du RGPD, a mis à la charge des collectivités une obligation de mise à disposition de l’ensemble des données, y compris celles contenant des données personnelles, sous réserve de rendre "impossible" l’identification des personnes.
Cette articulation entre open data et RGPD n’est pas sans soulever des interrogations. Bien que tous les documents détenus par une personne publique ne contiennent pas nécessairement des données à caractère personnel, l’addition de ces deux dispositifs donnera-t-il un résultat à somme nulle ? Pire encore, le RGPD ralentira-t-il la mise en open data des données publiques ? Alors que les collectivités ne toucheront pas de dotation spécifique pour la mise en œuvre du RGPD, comment feront-elles face aux coûts liés à l’anonymisation et au risque de se voir infliger en cas de violation du Règlement ?
Au-delà de cette problématique financière, l’anonymisation amène à s’interroger sur l’utilité d’une telle pratique. Quel intérêt de bénéficier d’une donnée "nettoyée" de toute information ? En effet, il serait préjudiciable que l’anonymisation réduise le nombre de données publiées en open data.
Les récentes évolutions du marché de la "Legal Tech" démontrent qu’il est possible de concilier anonymisation et ouverture des données judiciaires. Par ailleurs, le recueil du consentement des personnes concernées pourrait être également une solution.
Une piste est sans doute à rechercher au sein des nouveaux principes introduits par le RGPD et notamment du principe de "privacy by design" incitant les collectivités à améliorer la protection de la vie privée dès l’origine au regard des obligations futures de diffusion des données publiques.