L’open data, qui par essence s’inscrit dans une tendance considérant que l’information est publique et d’intérêt général, est-elle conciliable avec les exigences du Règlement Général sur la Protection des Données ? Le volume important de données publiques collectées et les sanctions prévues par le RGPD sont a priori totalement opposés, elles imposent en effet la plus grande vigilance dans leur traitement.
L’open data et le RGPD : deux principes par essence opposés ?
Le terme d’open data désigne des données publiques, auxquelles tout un chacun peut accéder, mais aussi utiliser et partager. L’open data est notamment défini par trois critères essentiels qui sont la disponibilité, la réutilisation, la distribution et la participation universelle.
L’accès à ces données ouvertes est totalement libre de droits, au même titre que leur exploitation. Elles offrent ainsi de nombreuses opportunités en termes de connaissance humaine, permettant entre autres la création de services qualitatifs et de nouveaux produits.
L’open data est par essence basée sur une interopérabilité, c’est-à-dire un principe fondamental de mise en commun des données, essentiel pour tirer des bénéfices de l’ouverture de nombreuses sources d’information au public. Ces données doivent donc permettre à différentes organisations et systèmes de travailler ensemble en mélangeant leur savoir, en utilisant un langage commun.
Les collectivités contraintes à plus de transparence par la loi Lemaire pour une République numérique
L’open data semble donc, à première vue, inconciliable avec le cadre législatif imposé par le RGPD quant au traitement des données personnelles. En 2016, la philosophie de partage de l’information considérée comme publique a été renforcée, en France, par la loi Lemaire, pour une République numérique. Cette loi consacre notamment l’obligation pour les administrations de rendre publiques les données qu’elles détiennent. Désormais, l’ensemble des informations générées et collectées par les administrations doivent être mises à disposition des citoyens, de manière spontanée. Ces données peuvent par exemple se référer à l’exécution d’un service public, le transport, ou encore des contrats de la commande publique, etc.
Les données personnelles, principe défini au sens large du terme par le RGPD
Étant donné que le Règlement Général pour la Protection des Données (article 4) définit de manière particulièrement large ce qu’est une donnée à caractère personnel – et donc devant être protégée par une série de mesures -, il devient complexe de concilier les principes de l’open data avec ceux du RGPD. Ce texte législatif destiné à protéger les données personnelles des résidents de l’Union européenne définit ces dernières comme toutes informations se référant à une personne physique identifiée ou identifiable. C’est-à-dire, une personne physique pouvant être identifiée, directement ou indirectement, via une ou des données telles qu’un nom, un identifiant, un numéro de téléphone, etc. Cette définition large de la donnée personnelle inclut donc dans le champ d’application du Règlement Général pour la Protection des Données des documents et des informations qui ne l’étaient pas jusqu’alors.
En réalité, la loi Lemaire et l’article L.312-1-2 du code des relations entre le public et l’administration semblent avoir anticipé les principes préconisés par le RGPD en imposant que les données à caractère personnel doivent, avant leur mise à disposition, être traitées de manière à occulter les mentions à caractère personnel. Ainsi, la loi Lemaire avait, avant l’entrée en vigueur du RGPD, chargé les collectivités de mettre à disposition l’ensemble des informations concernant le public, y compris celles se référant à des données personnelles, sous réserve de rendre impossible l’identification des personnes concernées.
RGPD et open data : une addition impossible ?
Toutefois, cette articulation entre l’open data et le Règlement Général sur la Protection des Données soulève quelques problématiques. En effet, l’addition de ces deux dispositifs par principe opposés n’amène-t-elle pas une certaine occultation des données publiques ou bien un ralentissement de la mise en open data de ces données ? De plus, comment les collectivités, qui ne touchent pas de dotation particulière pour la mise en œuvre des principes du RGPD, feront-elles face aux sanctions financières de la CNIL s’il s’avérait que la publication de leurs données contrevenait aux principes du RGPD ? Sans oublier le coût inhérent à l’anonymisation des données personnelles en amont de l’ouverture au public de leurs données.
Les risques de l’anonymisation dans les données publiques
Outre une éventuelle problématique financière, l’anonymisation des données publiques ne les rend-elle pas inutiles ? Quel intérêt y a-t-il à consulter une donnée “nettoyée” de toutes informations personnelles ? Il serait en effet dommage que les exigences du RGPD et le principe d’anonymisation tendent à réduire le volume de données accessibles en open data. D’autant plus que derrière ces deux principes simples que sont l’obtention de données publiques transparentes pour davantage de démocratie et la protection des données à caractère personnel des habitants, se trouvent d’autres enjeux fondamentaux. Par exemple, la souveraineté publique sur les données d’intérêt général ou encore celui de la marchandisation des données publiques. Il existe également des enjeux touchant aux politiques et à la démocratie, tels que le contrôle citoyen des usages publics de la data, ou encore une participation citoyenne s’appuyant sur un accès transparent aux données publiques.
Une piste à explorer est sans doute le recours aux nouveaux principes introduits par le RGPD, notamment celui de “privacy by design”. Ce principe incite les collectivités à prendre en compte la notion de vie privée dès l’origine de la création de données, au regard des obligations futures auxquelles elles devront se soumettre lors de la diffusion des données publiques.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!