Vous êtes sur la page 1sur 85

N 469

SNAT
SESSION ORDINAIRE DE 2013-2014

Enregistr la Prsidence du Snat le 16 avril 2014

RAPPORT DINFORMATION
FAIT

au nom de la commission des lois constitutionnelles, de lgislation, du suffrage


universel, du Rglement et dadministration gnrale (1) sur lopen data et la
protection de la vie prive,

Par MM. Gatan GORCE et Franois PILLET,


Snateurs.

(1) Cette commission est compose de : M. Jean-Pierre Sueur, prsident ; MM. Jean-Pierre Michel, Patrice Glard,
Mme Catherine Tasca, M. Bernard Saugey, Mme Esther Benbassa, MM. Franois Pillet, Yves Dtraigne, Mme liane Assassi,
M. Nicolas Alfonsi, Mlle Sophie Joissains, vice-prsidents ; Mme Nicole Bonnefoy, MM. Christian Cointat, Christophe-Andr
Frassa, Mme Virginie Kls, secrtaires ; MM. Alain Anziani, Philippe Bas, Christophe Bchu, Franois-Nol Buffet, Grard
Collomb, Pierre-Yves Collombat, Jean-Patrick Courtois, Mme Ccile Cukierman, MM. Michel Delebarre, Flix Desplan, Christian
Favier, Ren Garrec, Gatan Gorce, Mme Jacqueline Gourault, MM. Franois Grosdidier, Jean-Jacques Hyest, Philippe Kaltenbach,
Jean-Ren Lecerf, Jean-Yves Leconte, Antoine Lefvre, Mme Hlne Lipietz, MM. Roger Madec, Jean Louis Masson, Michel
Mercier, Jacques Mzard, Thani Mohamed Soilihi, Hugues Portelli, Andr Reichardt, Alain Richard, Simon Sutour, Mme Catherine
Troendl, MM. Ren Vandierendonck, Jean-Pierre Vial, Franois Zocchetto.

-3-

SOMMAIRE
Pages
SYNTHSE ...............................................................................................................................

LISTE DES RECOMMANDATIONS .....................................................................................

AVANT-PROPOS .................................................................................................................... 13
TITRE LIMINAIRE UNE RFLEXION NCESSAIRE ...................................................... 15
A. LOPEN DATA : UN MOUVEMENT OFFENSIF ...............................................................
1. Les origines de lopen data .................................................................................................
a) Un concept venu du monde anglo-saxon ....................................................................
b) Essai de dfinition ........................................................................................................
2. La stratgie franaise douverture et de partage des donnes publiques .................................
a) Les tapes de llaboration de la stratgie franaise dopen data................................
b) Les instruments de lopen data : la mission Etalab, le portail data.gouv.fr et les
licences ..........................................................................................................................
c) Vers une obligation douverture et de partage des donnes publiques pour les
collectivits territoriales ? ............................................................................................
3. Une forte demande de la part de la socit civile et des entreprises ........................................
a) Un enjeu dmocratique de transparence et de bonne administration .......................
b) Un enjeu de valorisation conomique et sociale des donnes ...................................
B. LOPEN DATA ET LA PROTECTION DES DONNES PERSONNELLES : UNE
INTERROGATION LGITIME ...........................................................................................
1. Une ncessit : se garder de certains simplismes ...................................................................
a) Un problme rsolu, avant mme de le poser ? ..........................................................
b) Une interrogation secondaire ou encore prmature ? ..............................................
2. Concilier le dveloppement de lopen data et la protection des donnes personnelles :
une proccupation partage en France et au niveau europen ..............................................

15
15
15
16
17
17
18
21
22
22
23

24
24
24
26
28

I. - UN CADRE RGLEMENTAIRE PROTECTEUR, QUI DEVRAIT EN PRINCIPE


GARANTIR LA PROTECTION DES DONNES PERSONNELLES.................................. 31
A. LE FONDEMENT JURIDIQUE DE LOPEN DATA : LES DROITS DACCS ET DE
RUTILISATION CONSACRS PAR LA LOI DU 17 JUILLET 1978................................
1. La loi du 17 juillet 1978, rceptacle de la transposition de la directive sur la rutilisation
des informations publiques ..................................................................................................
2. Larticulation entre deux rgimes juridiques distincts ..........................................................
a) La publication des documents administratifs .............................................................
b) La rutilisation des informations publiques ...............................................................

31
32
33
33

B. LA TRIPLE GARANTIE APPORTE LA PROTECTION DES DONNES


PERSONNELLES .................................................................................................................
1. Les garanties prvues par la loi du 17 juillet 1978 ................................................................
a) Les garanties prvues dans le cadre du droit daccs ................................................
b) Les garanties prvues dans le cadre du droit rutilisation .....................................
2. Le renvoi aux dispositions de la loi Informatique et liberts .........................................
3. La rpression administrative et pnale ..................................................................................

37
37
37
37
39
41

31

-4-

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

II. - UNE PROTECTION TOUTEFOIS FRAGILISE PAR UNE DOUBLE FAILLE ......... 43
A. PREMIRE FAILLE : LE RISQUE DE R-IDENTIFICATION ...........................................
1. Un risque avr ...................................................................................................................
a) Les techniques danonymisation .................................................................................
b) Des techniques qui ne sont pas infaillibles .................................................................
2. Des risques jusqu prsent limits, mais des consquences susceptibles dtre graves
pour les personnes concernes comme pour ladministration ................................................
B. SECONDE FAILLE : DES ADMINISTRATIONS PARFOIS DMUNIES FACE AU
DFI DE LOUVERTURE DES BASES DE DONNES ......................................................
1. La ncessit, pour les administrations, de sadapter la nouvelle donne de lopen data .......
2. Un dfaut de pilotage et daccompagnement pour garantir la protection des donnes
personnelles .........................................................................................................................
a) Etalab : un rle dimpulsion plus que de direction .....................................................
b) Des administrations qui sorganisent empiriquement, faute
daccompagnement suffisant .......................................................................................

43
44
44
46
49

51
51
52
52
52

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN


LASSORTISSANT DE GARANTIES PLUS SOLIDES POUR LA PROTECTION
DES DONNES PERSONNELLES ......................................................................................... 55
A. ACCLRER LE DPLOIEMENT DUN OPEN DATA RESPECTUEUX DE LA
PROTECTION DES DONNES PERSONNELLES ............................................................ 55
B. METTRE EN UVRE UNE DOCTRINE DE PROTECTION DES DONNES
PERSONNELLES .................................................................................................................
1. Anticiper et valuer .............................................................................................................
2. Adapter la diffusion en fonction du risque ............................................................................
3. Assurer une veille sur la diffusion et les rutilisations des donnes mises en ligne ................
4. Renforcer la protection offerte par la licence de rutilisation .................................................
C. ADAPTER LA GOUVERNANCE DE LOPEN DATA AUX EXIGENCES DE LA
PROTECTION DES DONNES PERSONNELLES ............................................................
1. Organiser lassistance aux acteurs de lopen data ...............................................................
2. Garantir le financement des mesures danonymisation .........................................................
3. Clarifier le droit applicable en matire de rutilisation de donnes publiques contenant
des donnes personnelles ......................................................................................................

60
60
61
63
66

67
67
69
70

CONCLUSION ......................................................................................................................... 73
EXAMEN EN COMMISSION ................................................................................................. 75
LISTE DES PERSONNES ENTENDUES ............................................................................... 81

-5-

SYNTHSE

SYNTHSE
La France sest rsolument engage sur la voie de louverture et du
partage des donnes publiques, plus connue sous le nom dopen data.
Deux ides animent cette politique. Comptables de leur gestion
auprs des citoyens, les administrations leur ouvrent leurs fichiers. Elles leur
donnent ainsi le moyen de mieux les contrler. Par ailleurs, lre du
numrique, o linformation est source de richesse, elles leur offrent
lopportunit dexploiter le formidable gisement que constituent ces
donnes.
En crant une mission dinformation charge dtudier lopen data et
la protection de la vie prive de nos concitoyens, la commission des lois a
souhait poursuivre sa rflexion sur les nouveaux usages numriques et la
faon dont ils peuvent se concilier avec les principes fondamentaux que le
lgislateur a poss ds la fin des annes 1970.
Lopen data soulve cet gard une question spcifique : en principe,
il exclut toute diffusion de donnes caractre personnel, mais bien souvent,
les donnes dtenues par les administrations ont t labores partir
dinformations individuelles, qui peuvent tre retrouves grce aux
importantes capacits de traitement que permet linformatique moderne.
Limpratif de protection de la vie prive est-il en mesure de toujours
prvaloir ? Comment sen assurer ?
lissue de leurs travaux, les rapporteurs de la mission
dinformation, les snateurs Gatan Gorce (Soc. Nivre) et Franois Pillet
(ratt. UMP Cher) jugent aujourdhui ncessaire de faire dune exigence
fondamentale la protection de la vie prive de nos concitoyens une
opportunit pour donner une nouvelle impulsion au dploiement de lopen
data.
Lopen data : en dpit dun cadre rglementaire protecteur
des donnes personnelles, une double faille corriger
Mouvement rcent, lopen data est aujourdhui un des axes
importants de la modernisation de laction publique de nombreux pays
dEurope et des tats-Unis.
Il recouvre deux principes : le premier est la mise en ligne, par les
administrations, des donnes quelles dtiennent ; le second, la libre
rutilisation par les citoyens ou les entreprises des donnes ainsi publies. Il
est inspir par deux objectifs : garantir la transparence de laction publique
en permettant chacun de consulter les donnes relatives laction de
ladministration et les informations sur lesquelles elle fonde ses dcisions ;
offrir tous la possibilit dexploiter ces donnes et den tirer un profit pour
soi ou le bien commun.

-6-

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Cet open data prend aujourdhui la forme, en France, dune ambition


porte par plusieurs gouvernements successifs, dune pratique qui se diffuse
progressivement au sein des administrations, et dune structure charge de
fdrer et dinciter les initiatives, la mission Etalab.
Un cadre juridique en principe protecteur des donnes
personnelles
Lopen data repose, en France, sur les deux lois pionnires de 1978, la
loi Informatique et liberts du 6 janvier et la loi CADA du 17 juillet sur
laccs aux documents administratifs, modifie au cours des annes 2000,
pour traiter spcifiquement, dans le respect des principes antrieurs, de la
question de la rutilisation des informations publies par les
administrations.
Ce cadre juridique apporte une triple garantie la protection des
donnes personnelles. La premire tient linterdiction de principe quune
donne personnelle fasse lobjet dune mise en ligne par ladministration et
dune rutilisation par un tiers. Ce principe connat trois exceptions : le
consentement de lintress cette diffusion, lexistence dune obligation
lgale de publication, ou exception la plus gnrale et la plus commode en
matire dopen datalanonymisation des donnes publies. La seconde
garantie correspond la soumission de toute rutilisation de donnes
personnelles aux exigences de la loi Informatique et liberts . Enfin, la
dernire garantie est celle de la sanction qui pourrait frapper le non-respect
des dispositions prcdentes : engagement de la responsabilit de ltat,
voire condamnation pnale pour diffusion de donnes personnelles par
ngligence.
Les rapporteurs constatent cet gard, qu lexception de rares
accidents, lopen data pratiqu en France na pas, jusqu prsent, pos de
graves problmes pour la protection de la vie prive des citoyens.
Toutefois fragilis par une double faille : un risque de ridentification avr et un dfaut de pilotage
La situation nest toutefois pas satisfaisante et les rapporteurs ont
identifi deux failles, qui fragilisent le dispositif actuel.
En effet, tout repose sur la solidit de lanonymisation par
ladministration des jeux de donnes quelle publie. Or, du fait des capacits
de croisement des informations quautorise linformatique moderne, le
risque dune r-identification des donnes publies existe. Il se trouve mme
aggrav par la profusion de jeux de donnes mis en ligne par
ladministration comme par les personnes prives elles-mmes.

SYNTHSE

-7-

La faon dont ltat et les collectivits territoriales conduisent


louverture de leurs donnes devrait pouvoir dissiper les inquitudes. Il nen
est rien : le sentiment prdomine dun dfaut de pilotage ou
daccompagnement qui laisse parfois les administrations dmunies face
une tche nouvelle quelles ne matrisent pas toujours. Cest ainsi quen 2013,
lidentit et limposition de certains contribuables ont pu tre retrouves
dans une base pourtant anonymise, parce que le procd utilis, qui
consistait agrger toutes les impositions des contribuables habitant la
mme zone gographique de 200 m sur 200 m (technique du carroyage), tait
appliqu des zones trs peu peuples.
Poursuivre le dveloppement de lopen data en lassortissant
de garanties plus solides pour la protection des donnes personnelles
Ces failles ne remettent pas en cause la pertinence de louverture des
donnes publiques, mais la faon dont elle est conduite.
Loin de trouver l des raisons de freiner un mouvement dont lutilit
sociale est acquise, la mission dinformation y a plutt vu lopportunit de
donner un nouvel lan louverture et au partage des donnes publiques, en
dfinissant une doctrine et une mthode qui garantissent la meilleure
protection des donnes personnelles possible. Car, une fois cette protection
assure, aucun obstacle au dploiement de lopen data nest plus lgitime.
Une stratgie : faire de lopen data la rgle
Les rapporteurs recommandent donc de poser le principe dune
obligation de mise en ligne des donnes dtenues par les administrations,
moins que le cot en soit trop important ou que les risques pour la vie prive
ne puissent tre levs par une anonymisation efficace.
Ceci suppose de prvoir une priode transitoire pendant laquelle les
administrations achveront le recensement des jeux de donnes quelles
dtiennent, indiqueront ceux qui ne pourront faire lobjet dune publication
pour une des raisons prcites et laboreront, pour les autres, un calendrier
de mise en ligne.
Mettre en uvre une doctrine de protection des donnes
personnelles
Les administrations doivent sinvestir dans cette voie et mettre en
uvre une doctrine de protection des donnes personnelles, en anticipant et
valuant les risques, en y adaptant les formats de diffusion des donnes et en
exerant une veille vigilante.

-8-

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Il sagit notamment de concevoir, ds lorigine, les bases de donnes


dans la perspective de leur mise en ligne, afin den faciliter lanonymisation,
de raliser, pour chaque base de donnes, une tude dimpact sur le risque
de r-identification ou les difficults danonymisation, de soumettre les jeux
de donnes publis une surveillance rgulire, et, si une fuite se produit, de
dfinir lavance une stratgie de rapatriement des donnes compromises.
Adapter la gouvernance de lopen data la protection des
donnes personnelles
Les administrations doivent tre secondes dans cette tche par
ltat, qui devra veiller leur apporter, par une structure ddie, au sein
dEtalab, une assistance technique, organisationnelle et juridique, en
particulier sagissant de lvaluation des risques de r-identification et de la
mise en uvre des procds danonymisation.
Lanonymisation tant dailleurs la cl dun open data respectueux
des donnes personnelles, il est absolument ncessaire den garantir le
financement. Il peut cet gard paratre plus raisonnable de prvoir le
paiement dune redevance par les rutilisateurs que de renoncer, en raison
dun problme de financement des mesures danonymisation, publier un
jeu de donnes. Dautres voies de financement peuvent aussi tre explores,
notamment celles du financement coopratif.

*
*

Trouver dans la protection des donnes personnelles le levier pour


porter plus haut lexigence de transparence de laction publique : le pari est
audacieux, mais il est conforme lambition que notre pays a dmontre
depuis les lois pionnires de 1978.

LISTE DES RECOMMANDATIONS

-9-

LISTE DES RECOMMANDATIONS


Acclrer le dploiement dun open data respectueux de la protection
des donnes personnelles
Recommandation n 1
Poser le principe que ladministration est tenue de mettre en ligne
progressivement, en les anonymisant si ncessaire, toutes les bases de
donnes quelle dtient et qui seraient susceptibles dtre communiques
un citoyen sil en fait la demande ou qui font lobjet dune diffusion publique
sur un autre support
Ladministration ne pourrait sy opposer quen raison des cots
draisonnables de gestion que cette mise en ligne imposerait (notamment les
cots danonymisation ventuelle), ou du risque avr, quen dpit des
prcautions prises, des informations personnelles puissent tre r-identifies
Recommandation n 2
Afin de permettre aux administrations de satisfaire lobligation
prcdente, mettre en place une phase transitoire, pendant laquelle elles :
- opreraient une recension complte des jeux de donnes quelles
dtiennent et dcideraient de leur mise en ligne ;
- publieraient un calendrier pluriannuel des mises dispositions
programmes
Recommandation n 3
Imposer aux administrations dindiquer, pour chaque jeu de
donnes, en marge du registre publi sur leur site internet les numrant, sil
fera ou non lobjet dune mise en ligne et, dans ce dernier cas, la raison pour
laquelle elles sy opposent
Recommandation n 4
Le cas chant, examiner lopportunit dtendre les cas, dfinis par
la loi, dans lesquels, compte tenu de lintrt gnral qui sy attache, des jeux
de donnes incluant des donnes personnelles peuvent, par exception, tre
diffuss en ligne et ouverts aux rutilisations

- 10 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Mettre en uvre une doctrine de protection des donnes personnelles en


matire dopen data
* Anticiper et valuer
Recommandation n 5
Prvoir, ds la conception de la base, dans la perspective de sa
possible ouverture :
- les modalits de son anonymisation ventuelle ;
- le cas chant, le marquage des jeux de donnes afin dtre en
mesure de suivre les rutilisations ventuelles et dnoncer les msusages
Recommandation n 6
Procder, pralablement tout examen de lopportunit douvrir une
base de donnes, ainsi, le cas chant, qu intervalles rguliers, une
analyse du risque de r-identification et des consquences possibles dune
telle r-identification
* Adapter la diffusion en fonction du risque
Recommandation n 7
En cas de risque avr sur les donnes personnelles, impossible
liminer par des procds danonymisation, refuser louverture des donnes
ou, si le bnfice social attendu de cette ouverture est jug trop important,
procder une ouverture restreinte de cette base
Recommandation n 8
Concevoir cette fin un continuum de solutions daccs aux donnes,
allant de lopen data, jusquaux modes daccs les plus slectifs
* Assurer une veille sur la diffusion et les rutilisations des donnes
mises en ligne
Recommandation n 9
Assurer une veille sur la diffusion et les rutilisations des donnes
publiques, en facilitant notamment les procdures par lesquelles un
rutilisateur peut alerter ladministration comptente

LISTE DES RECOMMANDATIONS

- 11 -

Recommandation n 10
Assurer aussi cette veille sur les donnes publies par des tiers sur
les sites publics
Recommandation n 11
Prvoir que ladministration dfinisse une stratgie de rapatriement
ou de suppression des jeux de donnes compromis, afin de remdier
rapidement la diffusion accidentelle dinformations personnelles
* Renforcer la protection offerte par la licence de rutilisation
Recommandation n 12
Exclure expressment les donnes personnelles du champ
dapplication de la licence ouverte utilise par les administrations pour la
rutilisation des donnes publiques
Recommandation n 13
Interdire expressment dans le contrat de licence toute rutilisation
abusive qui aboutirait lever lanonymisation des donnes
Recommandation n 14
Intgrer au contrat de licence, une clause de suspension lgitime du
droit de rutilisation, ainsi que de suppression ou de rapatriement des jeux
donnes compromis lorsquun risque de r-identification est apparu
Adapter la gouvernance de lopen data aux exigences de la protection
des donnes personnelles
* Renforcer lassistance aux acteurs de lopen data
Recommandation n 15
Mettre en place, auprs de la mission Etalab, une structure ddie la
protection des donnes caractre personnel et charge dassister les
administrations :
- dans llaboration de ltude dimpact pralable la mise
disposition des donnes ;
- dans lanonymisation ventuelle de la base ;
- dans la mise en place dun mode daccs restreint

- 12 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Recommandation n 16
Confier, cette mme structure, un rle de veille sur les rutilisations
abusives au regard de la protection des donnes personnelles, en la
chargeant de recueillir les alertes ventuelles, den informer la CNIL, et de
coordonner, le cas chant, le retrait ou la reconfiguration de la base de
donne litigieuse
Recommandation n 17
Rassembler et diffuser les bonnes pratiques et les recommandations
en matire de protection des donnes personnelles dans lopen data
Recommandation n 18
Investir les CIL et les PRADA dattribution de coordination et de
veille en matire de protection des donnes caractre personnel dans le
cadre de lopen data
* Garantir le financement des mesures danonymisation
Recommandation n 19
Garantir le financement par ltat des mesures danonymisation des
donnes personnelles contenues dans des jeux de donnes publiques
Ne pas renoncer par principe au prlvement dune redevance en
prsence de cots danonymisation levs
Encourager le financement coopratif de lanonymisation
* Clarifier le droit applicable
Recommandation n 20
Prciser que, lorsque des donnes personnelles sont mises en ligne en
vertu de la loi, cette publication doit se limiter la stricte mesure ncessaire
au respect de lobjet vis par cette loi

AVANT-PROPOS

- 13 -

AVANT-PROPOS

Mesdames, Messieurs,
Notre pays sest rsolument engag sur la voie de louverture et du
partage des donnes publiques, plus connue sous le nom dopen data.
Deux ides animent cette politique. Comptables de leur gestion
auprs des citoyens, les administrations leur ouvrent leurs fichiers. Elles leur
donnent ainsi le moyen de mieux les contrler. Par ailleurs, lre du
numrique, o linformation est source de richesse, elles leur offrent
lopportunit dexploiter le formidable gisement que constituent ces
donnes.
En crant une mission dinformation charge dtudier lopen data et
la protection de la vie prive de nos concitoyens, votre commission des lois a
souhait poursuivre une rflexion dj engage par la prcdente mission
dinformation confie M. Yves Dtraigne et Mme Anne-Marie Escoffier
consacre La vie prive lheure des mmoires numriques 1 . Cette rflexion
porte sur les nouveaux usages numriques et la faon dont ils peuvent se
concilier avec les principes fondamentaux que le lgislateur a poss ds la fin
des annes 1970.
Lopen data soulve cet gard une question spcifique : en principe,
il exclut toute diffusion de donnes caractre personnel, mais bien souvent,
les donnes dtenues par les administrations ont t labores partir
dinformations individuelles, qui peuvent tre retrouves grce aux
importantes capacits de traitement que permet linformatique moderne.
Limpratif de protection de la vie prive est-il en mesure de toujours
prvaloir ? Comment sen assurer ?

La vie prive lheure des mmoires numriques. Pour une confiance renforce entre
citoyens et socit de linformation, rapport dinformation n 441, (2008-2009), de M. Yves
Dtraigne et Mme Anne-Marie Escoffier, fait au nom de la commission des lois (disponible
ladresse suivante : http://www.senat.fr/notice-rapport/2008/r08-441-notice.html).
1

- 14 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Telles sont les interrogations qui ont guid vos deux rapporteurs,
MM. Gatan Gorce et Franois Pillet, retenant langle exclusif de la
protection des donnes personnelles, et renvoyant les questions plus
gnrales la mission commune dinformation, prside par notre collgue
Jean-Jacques Hyest et rapporte par notre collgue Corinne Bouchoux,
consacre laccs aux documents administratifs et aux donnes publiques1.
Aprs avoir recueilli, au cours de plus dune trentaine dauditions,
les avis et analyses dexperts et de reprsentants de lensemble des acteurs
de lopen data administration, associations de citoyens, entreprises, autorit
de rgulation , vos rapporteurs jugent aujourdhui ncessaire douvrir la
voie un dploiement raisonn de lopen data, protecteur de la vie prive de
nos concitoyens et conforme aux ambitions de transparence et dintrt
gnral qui laniment.

Cf. le site ddi cette mission commune dinformation ladresse suivante :


http://www.senat.fr/commission/missions/acces_aux_documents_administratifs_et_aux_donnees_pu
bliques/index.html.
1

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE

- 15 -

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE


A. LOPEN DATA : UN MOUVEMENT OFFENSIF

Depuis quelques annes maintenant, lopen data fait lobjet dun


engouement tel que lon a tendance ne plus mme sinterroger sur ce que
recouvre cette expression anglo-saxonne, au risque de quiproquos.
Aussi est-il apparu ncessaire vos rapporteurs de commencer par
tenter de mieux cerner ce concept en remontant dabord son cours jusqu
ses origines (1), avant de sattacher dcrire sa traduction en France (2). Les
nombreuses auditions quils ont menes leur ont enfin permis de mesurer les
attentes que porte ce mouvement dans notre socit (3).
1. Les origines de lopen data
Ainsi que lexpression mme dopen data le laisse supposer, le
mouvement de lopen data puise ses racines dans le monde anglo-saxon (a). Il
a cependant largement essaim depuis lors, se chargeant de sens successifs,
ce qui rend ncessaire une clarification du concept (b).
a) Un concept venu du monde anglo-saxon
Le concept dopen data est n dans le milieu de la recherche
scientifique publique. Lexpression open data elle-mme apparat pour la
premire fois, en 1995, dans une publication du National Research Council
amricain relative louverture des donnes gophysiques et
environnementales1. Selon ses auteurs, deux arguments plaident pour
louverture et le partage du rsultat de leurs travaux : la nature
transfrontire des phnomnes observs et des enjeux, ainsi que la crainte
dune privatisation des connaissances. En cela, lopen data rejoint la thorie
conomique des biens communs, ces biens non appropriables de manire
exclusive qui appartiennent donc tous.
La transposition de ce concept aux donnes issues non plus de la
recherche mais de la gestion par les administrations sopre dans les annes
2000 sous limpulsion de la thorie librale anglo-saxonne, qui tablit un
continuum entre le politique et lconomique. Ainsi, deux types de bnfices
sont attendus de lopen data :
- dans le champ politique, lopen data rejoint lexigence de
transparence et de responsabilit, il est donc conu dans une optique de
revitalisation de la dmocratie via la participation citoyenne ; lopen data est
ainsi un instrument de lopen government mis en avant par le Prsident
Obama ds le premier jour de son mandat en 2009 ;
Cit dans louvrage de Simon Chignard, Open data Comprendre louverture des donnes
publiques, FYP ditions, France, 2012. Les dveloppements de cette partie sappuient sur cet
ouvrage ainsi que sur laudition par vos rapporteurs de son auteur.
1

- 16 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

- dans le champ conomique, lopen data est envisag comme facteur


dinnovation, de cration de nouveaux services, y compris publics, de
contribution la croissance, damlioration de la vie quotidienne.
Bien que lexemple amricain soit souvent mis en avant, lEurope
nest pas reste lcart de ce mouvement. La mise en ligne, en janvier 2010,
du site data.gov.uk par le gouvernement britannique de David Cameron, qui
mettait ainsi ses pas dans ceux de son prdcesseur Gordon Brown, a suivi
de peu celle du site amricain data.gov. LUnion europenne elle-mme stait
dores et dj empare de cette problmatique des donnes des
administrations avec ladoption ds le 17 novembre 2003 de la directive
2003/98/CE du Parlement europen et du Conseil concernant la rutilisation
des informations du secteur public. Il convient toutefois de noter que cette
directive renvoie essentiellement la seconde dimension conomique de
lopen data. En outre, la directive nvoque pas proprement parler lopen
data, mais la rutilisation des donnes.
b) Essai de dfinition
La principale difficult avec le concept dopen data est en effet sa
polysmie, qui explique les hsitations sur sa traduction en franais. la fois
mouvement luvre dans les politiques actuelles et injonction adresse aux
acteurs publics pour davantage de transparence et de responsabilit,
lexpression renvoie galement de manire plus statique aux caractristiques
propres aux donnes ainsi libres .
En sinspirant de la liste des huit principes des donnes du
gouvernement ouvert numrs par une trentaine de penseurs du web
en septembre 20071, on peut caractriser les donnes publiques car issues des
administrations et ouvertes au partage, par un ensemble de critres
techniques, juridiques et conomiques :
- la mise disposition dans un format technique le plus ouvert
possible, qui facilite la rutilisation et nimpose pas lutilisation dun logiciel
propritaire ;
- lutilisation de licences juridiques ouvertes, qui ne restreignent pas
ou peu les utilisations possibles des donnes ;
- la limitation des redevances susceptibles de constituer des freins
conomiques pour les personnes rutilisant ces donnes.
Lopen data ne se rsume donc pas la simple publication des
donnes des administrations publiques, il ncessite la mise en place doutils
techniques et juridiques adquats par une politique volontariste.

Cf. Eight Principles of Open Governement Data , 8 dcembre 2007, disponible ladresse
suivante : www.opengovdata.org
1

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE

- 17 -

2. La stratgie franaise douverture et de partage des donnes


publiques
lissue dune gestation de plusieurs annes, la stratgie franaise
douverture et de partage des donnes publiques ou open data a pris
dfinitivement corps avec le lancement du portail data.gouv.fr. Initialement
pense dans un objectif essentiellement conomique, cette stratgie a peu
peu t galement intgre la modernisation de ltat et lamlioration
des relations entre les usagers et les administrations.
a) Les tapes de llaboration de la stratgie franaise dopen data
Ds les annes 1970, la France a institu un droit daccs aux
documents administratifs rig par le Conseil dtat en 2002 en libert
publique1. Elle a peu peu diffus les donnes dtenues par ses
administrations, notamment en identifiant les donnes publiques essentielles
[devant] tre accessibles tous gratuitement sur internet , pour reprendre la
formule de M. Lionel Jospin, alors Premier ministre, dans son discours
dHourtin, le 25 aot 1997. Cependant, la valeur de ses donnes et lintrt
de leur rutilisation ne se sont rellement rvls ladministration quavec
ladoption de la directive europenne de 2003 et la parution en 2006 du
rapport de MM. Maurice Lvy et Jean-Pierre Jouyet sur lconomie de
limmatriel2. Cette prise de conscience est lorigine de la cration dun
service comptence nationale dnomm Agence du patrimoine
immatriel de ltat (APIE), par un arrt du 23 avril 2007.
Les dbuts de la dfinition dune stratgie tatique dopen data datent
ainsi de la prsentation, le 20 octobre 2008, du plan France Numrique
2012 par M. ric Besson, secrtaire dtat charg de la prospective, de
lvaluation des politiques publiques et du dveloppement de lconomie
numrique. Ce plan promouvait la diffusion des contenus publics et
patrimoniaux et entendait favoriser la rutilisation des informations publiques
par les agents conomiques , lobjectif tant de dvelopper de nouveaux produits
et services, contribuant ainsi la croissance de lconomie numrique 3. Laction
n 39 de ce plan consistait ainsi en la cration dun portail unique daccs aux
donnes publiques, conu comme rponse aux attentes exprimes par
diffrents acteurs en faveur de laccs aux informations publiques. Ce portail
unique donnant accs aux sites ministriels et aux informations qui y sont
proposes devait saccompagner de ladoption de systmes de recherche
standardiss et de la dfinition de mtadonnes et de rfrentiels communs.
Ltude de pr-configuration de ce portail tait confie lAPIE. Celle-ci se
voyait galement charge de la rdaction de licences types de rutilisation
des donnes publiques par laction n 41 dudit plan.
CE, 29 avril 2002, U., n 228830.
Lconomie de limmatriel, la croissance de demain, rapport remis par MM. Maurice Lvy et
Jean-Pierre Jouyet au ministre de lconomie, des finances et de lindustrie, novembre 2006.
3 Cf. secrtariat dtat la prospective, lvaluation des politiques publiques et au dveloppement
de lconomie numrique, France numrique 2012 - Plan de dveloppement de lconomique
numrique, La Documentation franaise, octobre 2008.
1
2

- 18 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Dcides par le conseil de modernisation des politiques publiques le


30 juin 2010, la cration et la mise en ligne du portail unique data.gouv.fr
furent annonces lissue du conseil des ministres du 24 novembre 2010. La
mise en uvre concrte prit la forme du dcret du 21 fvrier 2011 portant
cration de la mission Etalab, place auprs du Secrtariat gnral du
gouvernement, puis dune circulaire du Premier ministre, alors M. Franois
Fillon, en date du 26 mai 2011. Cette dernire rappelait en ces termes le
double objectif assign la stratgie douverture des donnes publiques :
- encourager linnovation par toute la communaut des dveloppeurs et
des entrepreneurs pour soutenir le dveloppement de lconomie numrique ;
- contribuer renforcer la transparence de laction de ltat, mettre en
valeur le travail des administrations et clairer le dbat public .
Pour ce faire, le Premier ministre insistait sur limportance de
permettre la rutilisation des informations publiques la plus facile et la plus large
possible .1
Le site data.gouv.fr a t lanc le 5 dcembre 2011.
La dmarche douverture et de partage des donnes publiques a t
confirme par le nouveau Gouvernement en octobre 2012 loccasion de
lintgration de la mission Etalab au sein du nouveau Secrtariat gnral
pour la modernisation de laction publique (SGMAP), cr par un dcret en
date du 30 octobre 2012. Lopen data, dsormais peru comme vecteur de
renouvellement dmocratique, dinnovation pour lconomie et la socit, et levier de
transformation pour les administrations , est ce titre rig en lun des axes de
la nouvelle modernisation de laction publique 2. lissue du sminaire
gouvernemental sur le numrique du 28 fvrier 2013, la politique
douverture des donnes publiques est dcline en une srie de mesures,
anticipant ladoption par le G 8 dune charte sur louverture des donnes
publiques lors du sommet des 17 et 18 juin 2013.
b) Les instruments de lopen data : la mission Etalab, le portail
data.gouv.fr et les licences
Lopen data traduit le passage de lobligation de communication de
documents administratifs sur demande des usagers la mise disposition de
tous de certaines donnes des administrations dune logique de demande
une logique doffre. Du fait du changement de modle quil implique, lopen
data a rendu indispensable la mise en place de nouveaux instruments.

Circulaire du 26 mai 2011 relative la cration du portail unique des informations publiques de
ltat data.gouv.fr par la mission Etalab et lapplication des dispositions rgissant le droit de
rutilisation des informations publiques.
2 Cf. le communiqu de presse du Premier ministre en date du 31 octobre 2012.
1

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE

- 19 -

(1) Une mission animant un rseau de correspondants

Parce que lopen data reprsente une rvolution au sein de


ladministration, il a t ncessaire de mettre en place une structure ddie
afin de prparer et accompagner cette stratgie : la mission Etalab.
Le dcret du 21 fvrier 2011 a confi Etalab deux missions.
En premier lieu, Etalab a pris la suite de lAPIE pour la cration du
portail unique interministriel data.gouv.fr. Elle en est le dveloppeur ainsi
que lhbergeur.
En second lieu, larticle 3 du dcret a charg Etalab dune mission de
coordination de laction des administrations de ltat et dappui ses
tablissements publics administratifs.
Dans ce cadre, la mission Etalab a tout dabord pilot la rdaction de
la Licence ouverte (voir infra). Elle sest ensuite vu confier lorganisation
de dbats thmatiques dont lobjectif est didentifier les jeux de donnes les
plus pertinents au regard des bnfices attendus. Ces dbats associent donc
la socit civile et les diffrentes parties prenantes. En 2013, six dbats ont
t organiss, relatifs louverture des donnes de sant, dducation, de
dpenses publiques, du logement, de lenvironnement et des transports.
Lassistance aux administrations prend enfin la forme de la parution de
diffrents documents, parmi lesquels le Vade-mecum sur louverture et le
partage des donnes publiques, adress par voie de circulaire du Premier
ministre en septembre 20131 et destin faciliter lappropriation concrte de
la politique dopen data par chaque administration.
Par ailleurs, la mission Etalab est charge de stimuler la recherche et
linnovation. Elle a ainsi instaur depuis 2012 le programme
DataConnexions et organise dans ce cadre, intervalles rguliers, des
concours rcompensant les meilleures rutilisations de donnes publiques.
Le programme Datalift , galement mis en place par la mission, est
davantage orient vers la recherche afin dencourager lusage des donnes
publiques pour la recherche ainsi que la recherche en sciences des donnes.
Structure lgre compose de sept personnes, la mission Etalab
sappuie sur un rseau de coordinateurs et correspondants dans chaque
administration. En effet, chaque ministre est responsable de la mise en
uvre de la stratgie dopen data pour ses propres donnes et a dsign un
interlocuteur unique pour Etalab. La coordination de la stratgie densemble
est donc assure par un comit de pilotage runissant les coordinateurs open
data nomms auprs de chaque secrtaire gnral de chaque ministre.

Circulaire n 5677/SG du 17 septembre 2013 et vade-mecum disponible ladresse suivante :


http://www.modernisation.gouv.fr/laction-publique-se-transforme/en-ouvrant-les-donneespubliques/lopen-data-son-vade-mecum.
1

- 20 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

(2) Un portail unique

En application de la feuille de route fixe ds le plan France


numrique 2012 , a t cr un portail unique interministriel destin
rassembler et mettre disposition librement lensemble des informations publiques
de ltat, de ses tablissements publics administratifs et, si elles le souhaitent, des
collectivits territoriales et des personnes de droit public ou de droit priv charges
dune mission de service public .1
Cette plateforme a t dnomme data.gouv.fr. Elle a t lance dans
une premire version le 5 dcembre 2011. Une nouvelle version a t mise en
ligne le 18 dcembre 2013 loccasion du comit interministriel pour la
modernisation de laction publique (CIMAP). Dsormais, le portail est ouvert
aux forces vives de la socit : la nouvelle version du site accueille aussi
bien les donnes publiques issues des autorits administratives que les
donnes produites par la socit civile (citoyens, associations,), les
innovateurs, les chercheurs, les journalistes, etc . Lobjectif du portail nest donc
plus la simple mise disposition des donnes publiques, mais la
coproduction de donnes dintrt public .
(3) Un jeu de licences

Conformment laction n 41 du plan France numrique 2012 ,


des licences ont t labores par la mission Etalab et lAPIE, avec lassistance
du Conseil dorientation de ldition publique et de linformation
administrative (COEPIA) et des administrations concernes, afin de favoriser
la rutilisation libre et gratuite des donnes publiques, notamment celles
mises en ligne sur le site data.gouv.fr.
Lensemble des donnes mises disposition sur le portail le sont
sous le rgime de la Licence ouverte . Cette licence permet au rutilisateur
de :
- reproduire, copier, publier et transmettre linformation ;
- la diffuser et redistribuer ;
- ladapter, la modifier, procder des extractions, la transformer ;
- lexploiter titre commercial ;
sous rserve de la mention de sa paternit : source et date de mise jour.
Des licences spcifiques permettent de subordonner la rutilisation
de certaines donnes des conditions particulires. Ces licences, labores
par les administrations avec lassistance de lAPIE qui a mis leur
disposition des modles, sont valides par la mission Etalab qui les publie sur
le site data.gouv.fr. De telles licences peuvent notamment tre utilises dans le
cas o la rutilisation des donnes serait soumise redevance. Cependant, il
Cf. article 2 du dcret n 2011-194 du 21 fvrier 2011 portant cration dune mission Etalab
charge de la cration dun portail unique interministriel des donnes publiques.
1

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE

- 21 -

convient de noter que le comit interministriel pour la modernisation de


laction publique (CIMAP) du 18 dcembre 2013 a raffirm le principe de la
gratuit de la mise disposition et du partage des donnes publiques. Il a
dcid ce titre de ne plus autoriser la cration de nouvelle redevance et de
supprimer plusieurs redevances existantes. Il a en outre prcis sa doctrine
en matire dexceptions au principe de gratuit en disposant qu aucune
redevance ne saurait tre exige sur les donnes rsultant des missions de service
public des administrations gnrales et que les oprateurs dont la mission mme
est de produire des donnes doivent rechercher des modles conomiques leur
permettant de faire face un paysage conomique en profonde reconstitution 1.
c) Vers une obligation douverture et de partage des donnes publiques
pour les collectivits territoriales ?
Comme on a pu le voir, le mouvement de lopen data a t initi au
niveau national sous limpulsion de circulaires des Premiers ministres
successifs, sans quil ait t besoin de recourir la loi. Au niveau local, il est
revenu chaque collectivit de suivre, voire de devancer, ltat dans la mise
en place de stratgies dopen data la ville de Rennes faisant figure de
prcurseur en la matire si bien quaujourdhui une cinquantaine de
collectivits, tous les chelons, sest aujourdhui dote de portails open data.
Il semble cependant quune tape doive tre franchie avec lintroduction
dans le droit dune obligation pour les collectivits territoriales de diffusion
et de mise disposition des donnes.
Larticle 29 du projet de loi de dveloppement des solidarits
territoriales et de la dmocratie locale (n 497, 2012-2013), dpos le 10 avril
2013 sur le Bureau du Snat, tend en effet rendre obligatoire pour les
collectivits territoriales de 3 500 habitants et plus, ainsi que pour les
tablissements publics de coopration intercommunale fiscalit propre
auxquels elles appartiennent, la mise disposition des informations
publiques se rapportant leur territoire et dont ils disposent au format
lectronique, par une mise en ligne sur internet. Ltude dimpact qui
accompagne le projet de loi prcise que seraient concernes par cette
obligation les donnes conomiques, sociales, dmographiques et territoriales ,
et notamment viss les rapports accompagnant les documents budgtaires (budget
primitif, compte administratif) ou servant de base aux dbats sur les orientations
budgtaires .
Selon ltude dimpact, lobjectif poursuivi par cette disposition est
multiple : il serait dabord dmocratique pour permettre une plus grande
diffusion de linformation publique concernant le fonctionnement des collectivits
territoriales au profit des citoyens et renforcer la confiance place par le public
dans les lus locaux , mais galement de bonne administration en
simplifi[ant] laccs des administrs linformation et en amlior[ant] le
Cf. le relev de dcisions du comit interministriel pour la modernisation de laction publique du
18 dcembre 2013.
1

- 22 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

fonctionnement des administrations qui sont les premires utilisatrices des donnes
publiques , enfin conomique en visant faciliter le dveloppement
conomique et notamment la cration de services innovants et contribuer au
rayonnement et lattractivit conomique des collectivits territoriales . On
retrouve ici les trois bnfices attendus de lopen data.
3. Une forte demande de la part de la socit civile et des
entreprises
Les auditions conduites par vos rapporteurs ont dmontr que la
mise en uvre par ltat et les collectivits territoriales de stratgies dopen
data rpond effectivement une demande exprime par la socit civile et les
entreprises, quelle soit davantage oriente vers un objectif politique (a) ou
conomique (b).
a) Un enjeu dmocratique de transparence et de bonne administration
Certaines associations telles Regards citoyens mettent en avant
quen dmocratie, les prises de dcisions publiques sont transparentes . Mettre
disposition les donnes publiques mais galement autoriser leur libre
rutilisation permettrait au citoyen dexercer un meilleur contrle de laction
de leurs reprsentants mais aussi de ladministration, en adquation avec
larticle 15 de la Dclaration des droits de lhomme et du citoyen qui
proclame : la Socit a le droit de demander compte tout Agent public de son
administration. Dans la ligne des lois de transparence adoptes dans les
annes 1970, lopen data contribuerait rendre ladministration moins opaque
et plus accessible.
En outre, les promoteurs de lopen data voient en celui-ci un moyen
damliorer linformation des citoyens et, partant, leur participation aux
processus dcisionnels. La rutilisation des donnes publiques par les
usagers du service public peut en effet aller de leur simple enrichissement au
dveloppement de nouveaux services. Cette dernire modalit de
participation des citoyens serait dailleurs, davantage que la transparence, le
principal objectif poursuivi par les collectivits territoriales, selon M. Simon
Chignard.
Ainsi, les donnes mises disposition les plus utilises et les plus
prometteuses en termes dapplications innovantes lheure actuelle seraient
les donnes de mobilit ou encore les donnes vnementielles en temps rel,
comme la indiqu lassociation Open Data France qui regroupe les
collectivits territoriales engages dans une dmarche douverture des
donnes publiques. Si les donnes budgtaires font lobjet dune forte
demande, les associations font tat de la difficult de les exploiter du fait
dun dfaut de normalisation des documents budgtaires qui empcheraient
les comparaisons entre diffrentes collectivits.

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE

- 23 -

Enfin, lopen data permettrait de mieux valuer lefficacit des


politiques publiques pour proposer des mesures damlioration, ainsi que la
expliqu la Fondation iFRAP.
b) Un enjeu de valorisation conomique et sociale des donnes
Bien que les modles mettent en vidence un bnfice
socio-conomique diffr et valu de manire incertaine de lopen data pour
un cot immdiat pour ladministration1, les acteurs conomiques reus par
vos rapporteurs soulignent le gisement potentiel de valeur li la mise
disposition des donnes publiques.
Ainsi, pour la Fdration franaise des socits dassurances (FFSA),
le principal bnfice attendre de lopen data est une meilleure connaissance
des risques assurables, quil sagisse de la matire assurable les biens
assurer ou des caractristiques des risques assurs. Davantage encore que
des donnes personnelles anonymises et agrges, ce sont donc les donnes
mtorologiques, gographiques ou gologiques qui permettent damliorer
la gestion des risques et la prvention : plus linformation sur lexposition au
risque dun individu, dune entreprise ou dune collectivit est grande et fine, plus
la gestion de ce risque est simple et moins les consquences sont graves et
coteuses .
Lconomie des donnes nest cependant pas que potentielle, elle a
suscit la cration de plusieurs start-up . Cest ce quont confirm vos
rapporteurs MM. Franois Bancilhon et Jean-Marc Lazard, prsidents
directeurs gnraux de deux entreprises. Lune, Data Publica travaille
produire des jeux de donnes partir de sources diverses, dont les donnes
publiques mises disposition via lopen data. Lautre, OpenDataSoft, assiste
des collectivits publiques pour automatiser le traitement de donnes en vue
de leur ouverture et mise disposition ; elle met galement son expertise au
service dentreprises dsireuses dinnover.
En dehors du secteur marchand, M. Mathieu Escot, reprsentant de
lUFC-Que Choisir, a fait valoir que lopen data prsente lavantage, pour sa
propre activit, de faciliter laccs linformation pour assurer une meilleure
dfense des consommateurs. Il a soulign en outre que si la mise
disposition gratuite de donnes publiques peut permettre la cration de
nouveaux services marchands, elle favorise galement le dveloppement de
services non-marchands, encourag par labsence de barrire tarifaire pour
laccs aux donnes.
La principale vertu de lopen data serait donc la garantie dun gal
accs de chacun, particulier ou entreprise, aux mmes donnes.

Cf. Ouverture des donnes publiques Les exceptions au principe de gratuit sont-elles
toutes lgitimes ?, rapport remis au Premier ministre par M. Mohammed Adnne Trojette, juillet
2013.
1

- 24 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

B. LOPEN DATA ET LA PROTECTION DES DONNES PERSONNELLES :


UNE INTERROGATION LGITIME

La cration par votre commission de la prsente mission


dinformation ainsi que la question pose ont suscit des rserves, voire des
craintes, parmi les dfenseurs de lopen data. Ceux-ci sen sont ouverts vos
rapporteurs lors de leurs auditions : linsistance sur la protection des
donnes personnelles naurait-elle pas cach une opposition au principemme de lopen data ?
Sans doute, lenthousiasme lgitime qua suscit lengagement du
Gouvernement en faveur de louverture des donnes publiques, a-t-il nourri
une mfiance a priori contre tout ce qui pouvait sembler freiner ou
contrecarrer ce mouvement.
Toutefois, un tel procs dintention tait bien entendu sans
fondement : lobjet de la mission dinformation est justement de promouvoir
un open data respectueux de la protection des donnes personnelles, et
dinciter son dploiement. Dailleurs, vos rapporteurs constatent, lissue
de leurs travaux, que les arguments parfois employs pour dnoncer lintrt
dune telle interrogation, sont peu pertinents, quoiqunoncs de bonne
foi (1). La question dont sest saisie votre commission par le biais de cette
mission dinformation est pleinement lgitime, ce quillustre lattention dont
elle fait lobjet en France, comme ailleurs en Europe (2).
1. Une ncessit : se garder de certains simplismes
Ceux qui contestent la pertinence de la question pose par la mission
dinformation ont dvelopp deux arguments lappui de cette apprciation.
Ceux-ci paraissent toutefois rducteurs et nemportent pas la conviction.
a) Un problme rsolu, avant mme de le poser ?
Pour certains, la question de la mise en danger de donnes
personnelles par lopen data ne se pose tout simplement pas.
Les reprsentants de Regards citoyens ont ainsi fait valoir que lopen
data ne concerne que les donnes publiques, lesquelles excluent, par
dfinition, les donnes personnelles ou portent seulement sur des
informations personnelles que la loi fait obligation de publier. Nulle atteinte
ne peut ds lors tre porte en principe la vie prive par louverture des
donnes publiques si celle-ci est accomplie correctement. Par ailleurs, la ridentification par un tiers de donnes personnelles anonymises, diffuses
dans une base de donnes publiques, signalerait moins un problme propre
de lopen data, quune infraction, par ce tiers, de la lgislation relative aux
donnes personnelles.

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE

- 25 -

Le directeur de la mission Etalab, M. Henri Verdier a partag ce


raisonnement, considrant que par essence, lopen data devrait exclure toute
diffusion de donnes personnelles.
Lexamen des bases de donnes aujourdhui mises en ligne sur les
sites internet des grandes administrations corrobore largement cette
impression : la trs grande majorit des bases portent sur des statistiques ou
des donnes agrges, qui ne prsentent pas de lien avec des informations
personnelles : chiffres de lINSEE ou dEurostat, information gographique,
renseignements dordre gnral sur les procdures, lorganisation ou le
budget des administrations etc.
Pour autant, comme lont observ les reprsentantes de lassociation
pour le dveloppement de linformatique juridique, Mmes lise Debis et
Nathalie Metallinos, largument ne saurait convaincre, pour au moins deux
raisons.
Tout dabord, la loi prvoit parfois expressment que des
informations personnelles soient publies. Il en va ainsi, par exemple, des
dlibrations et autres actes des collectivits territoriales, mme si elles
contiennent des informations nominatives1. Sassurer que cette diffusion
saccomplit dans des conditions satisfaisantes pour le respect de la vie prive
des intresss est pertinent.
Surtout, le fait quun document publi contienne des donnes
personnelles ou identifiantes qui ne devraient pas tre diffuses peut avoir
chapp ladministration qui la mis en ligne, que le procd
danonymisation auquel elle a recouru ait t dficient, ou que le caractre
personnel de ces donnes ne lui soit pas apparu.
Le cas de la publication des aides reues par les agriculteurs dans le
cadre de la politique agricole commune en fournit une illustration. Dautres
exemples seront dvelopps dans les dveloppements qui suivent2.
Deux rglements europens font obligation3 aux tats membres de
publier annuellement la liste des bnficiaires des aides europennes verses
aux agriculteurs par le fonds europen agricole de garantie (FEAGA) et le
fonds europen agricole pour le dveloppement rural (FEADER).
Art. L. 2121-26, L. 3121-17n L. 4132-16, L. 5211-46, L. 5421-5, L. 5621-9 et L. 5721-9 du code
gnral des collectivits territoriales. Les documents nominatifs correspondent notamment des
arrts individuels relatifs aux agents. Si les informations personnelles doivent en principe tre
occultes (CE, 10 mars 2010, Commune de Ste, n 308314), la CADA rappelle que cette
occultation concerne seulement les apprciations portes sur lagent public (avis 20101311 du
25 mars 2010).
2 Cf. infra, II. A.
3 Art. 42, point 8 ter, et 44 bis du rglement (CE) n 1290/2005 du Conseil, du 21 juin 2005, relatif
au financement de la politique agricole commune, tel que modifi par le rglement (CE)
n 1437/2007 du Conseil, du 26 novembre, ainsi que, dautre part, le rglement (CE) n 259/2008 de
la Commission, du 18 mars 2008, portant modalits dapplication du rglement n 1290/2005 en ce
qui concerne la publication des informations relatives aux bnficiaires de fonds en provenance du
Fonds europen agricole de garantie (FEAGA) et du Fonds europen agricole pour le dveloppement
rural (FEADER).
1

- 26 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Saisie dune question prjudicielle sur la conformit de cette


obligation avec les articles 7 et 8 de la charte des droits fondamentaux, qui
protgent la vie prive, la Cour de justice de lUnion europenne a toutefois
estim que latteinte porte aux personnes physiques excdait ce qui tait
acceptable au nom de limpratif de transparence1. En revanche, elle a
considr que tel ntait pas le cas pour les personnes morales, compte tenu
la fois des obligations dclaratives qui taient les leurs et de la contrainte que
reprsenterait, pour les administrations, la charge de trier, parmi ces
socits, celles dont le nom permettrait ou pas de dterminer lidentit de
leurs socitaires.
Conformment cette dcision, les donnes aujourdhui publies sur
le site data.gouv.fr ne mentionnent plus que les subventions verses des
personnes morales. Pourtant, vos rapporteurs ont pu constater que le fichier
publi incluait la fois la localisation et le montant des subventions verses
non pas une personne morale, mais une indivision successorale
nommment dsigne, qui rassemble les diffrents hritiers personnes
physiques ou bien plusieurs particuliers, propritaires dun terrain en
indivision. La rfrence une telle indivision, ainsi qu son adresse, est
susceptible de permettre lidentification des personnes concernes. La
conformit dune telle mention avec la rgle pose par la Cour de justice de
lUnion europenne pourrait tre discute.
Ainsi, mme sil est acquis quen thorie, lopen data ne doit pas
porter atteinte la vie prive des administrs, cette assertion ne se vrifie pas
toujours en pratique. Toute la question est justement de sassurer quaucune
donne personnelle ne pourra tre accidentellement diffuse loccasion de
la mise en uvre de lopen data, ni faire lobjet dune r-identification facilite
par un tiers. Quelle procdure mettre en place pour viter ce type de
dfaillance et quelles garanties apporter aux citoyens pour les protger de
tels dommages ?
b) Une interrogation secondaire ou encore prmature ?
Sans nier la lgitimit de la question pose, dautres intervenants se
sont interrogs sur sa priorit.
M. Franois Bancilhon, et M. Jean-Marc Lazard, tous les deux
prsidents directeurs gnraux de deux entreprises, respectivement Data
Publica et OpenDataSoft, spcialises dans le traitement des bases de donnes
publiques, ont estim que le problme de la divulgation de donnes
personnelles par les administrations tait secondaire, voire inexistant dans
leur pratique professionnelle. Le premier sest en outre inquit du risque
que reprsenterait, pour une conomie des donnes encore mergente, une
rglementation a priori de louverture des donnes publiques, privilgiant
plutt la voie dune sanction a posteriori des usages illgaux.
CJUE, 9 novembre 2010, Volker und Markus Schecke GbR et Hartmut Eifert c./ Land
Hessen, (req. n C-92/09 et C-93/09).
1

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE

- 27 -

plusieurs reprises au cours des auditions les intervenants ont jug


que les risques lis au big data , cest--dire la collecte, au traitement et
la diffusion massifs des donnes personnelles par les entreprises prives
taient bien suprieurs ceux suscits par lopen data.
Les reprsentants du conseil national du numrique ont ainsi fait
valoir que se focaliser sur la question de la protection des droits
fondamentaux dtournait du problme cl de la rgulation internationale des
changes de donnes et de lactivit conomique qui en dcoule.
Constatant que louverture des donnes publiques navait caus
aucun scandale majeur jusqu prsent au sein des grandes administrations,
M. Charles Npote, chef de projet au sein de la fondation internet nouvelle
gnration (FING), a quant lui estim que linterrogation sur sa
compatibilit avec la protection des donnes personnelles tait peut-tre
prmature et quil convenait dadopter pour lheure une dmarche plus
pragmatique et poursuivre le chantier engag sans le freiner a priori.
Vos rapporteurs partagent le souci de pragmatisme revendiqu par
ces diffrents intervenants. Ils reconnaissent aussi que les questions que
posent les nouveaux usages des donnes personnelles dpassent trs
largement la problmatique de lopen data.
Toutefois, ils observent que, sans quil soit besoin de classer par
ordre de priorit les multiples interrogations que suscitent les
bouleversements de lconomie numrique, chacune est lgitime si la
rflexion quelle engage permet dassurer une meilleure conciliation entre le
bnfice social qui en est retir et la protection des liberts individuelles.
En outre, ils constatent ce que la consultation publique organise
par la CNIL sur lopen data permet de confirmer (cf. encadr) que les
administrations sont rgulirement confrontes des interrogations sur
louverture de jeux de donnes contenant des donnes personnelles.
Les rsultats de la consultation publique organise par la CNIL,
du 7 janvier au 7 fvrier 2014, sur le thme de lopen data
Cette consultation tait ouverte aux diffrents acteurs de louverture des donnes
publiques : services producteurs, diffuseurs, rutilisateurs ou correspondants Informatique
et liberts .
391 personnes ont rpondu au questionnaire, ce qui constitue un total important, mme sil
nest pas forcment reprsentatif de lensemble des acteurs concerns.
Sur la question de la protection des donnes personnelles, la consultation livre plusieurs
enseignements :
- 55% des rpondants responsables open data et gestionnaires de donnes publiques se
sont dj demands si certains jeux de donnes dont louverture tait envisage, pouvaient
contenir des donnes personnelles (44% des rutilisateurs rpondants se sont galement
pos cette question) ;
- 50% des gestionnaires de donnes publiques rpondants ont indiqu avoir dj fait part de
leur opposition louverture de certaines informations dtenues ou produites par leur
organisme au motif dun risque didentification des personnes concernes par les donnes.
Source : CNIL

- 28 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Surtout, lexamen de cette question est aujourdhui plus que jamais


opportune. En effet, lopen data procde dun double mouvement, pour le
pass et pour lavenir.
Il sagit, en effet, dune part douvrir maintenant des bases de
donnes constitues prcdemment selon des modalits qui nanticipaient
pas leur divulgation future. Sattacher la mthode qui doit tre suivie pour
viter toute atteinte accidentelle la vie prive nest pas illgitime.
Il sagit, dautre part de concevoir, pour le futur, les nouvelles bases
de donnes dune manire telle que leur mise disposition du public soit
facilite. Anticiper les difficults susceptibles de se poser favoriserait le
dveloppement de lopen data.
De telles considrations sont dailleurs largement partages, en
France comme en Europe.
2. Concilier le dveloppement de lopen data et la protection des
donnes personnelles : une proccupation partage en France et
au niveau europen
Comme on la vu prcdemment, ltat et les administrations
publiques rflchissent depuis longtemps louverture des donnes quils
dtiennent. Or, conformment aux prescriptions du cadre lgislatif et
rglementaire franais et europen1, le souci de la protection des donnes
personnelles est au cur de cette rflexion.
Plusieurs lments en tmoignent.
Si le vade-mecum publi par Etalab sur louverture et le partage des
donnes publiques, et diffus auprs de lensemble des ministres en vertu
dune circulaire du Premier ministre2, est assez peu disert sur le sujet3, il
peut sappuyer sur un travail antrieur, beaucoup plus approfondi, le
mmento sur la protection des informations caractre personnel dans le cadre
de louverture et du partage des donnes publiques 4, publi prcdemment par
le conseil dorientation de ldition publique et de linformation
administrative (COEPIA), qui constituait, jusqu la cration dEtalab, lune
des instances de prfiguration de la mise en place de lopen data franais.
Le rapport dactivit de la commission daccs aux documents
administratifs (CADA) pour 2011, a pour sa part consacr de longs
dveloppements la notion de donnes caractre personnel, et notamment
la question de la mise en ligne et des rutilisations des donnes publiques.
Cf., sur ce point, infra, I.
Circulaire du Premier ministre n 5677/SG en date du 17 septembre 2013, sur louverture et le
partage des donnes publiques.
3 http://www.modernisation.gouv.fr/sites/default/files/fichiers-attaches/vademecum-ouverture.pdf.
4 http://www.gouvernement.fr/sites/default/files/fichiers_joints/coepia_memento_donnees_personnell
es.pdf.
1
2

TITRE LIMINAIRE UNE RFLEXION NCESSAIRE

- 29 -

Rcemment encore, afin de rpondre la forte demande dun accs


plus important aux donnes dtenues par les administrations de sant, la
ministre des affaires sociales et de la sant a confi le soin MM. PierreLouis Bras et Andr Loth de conduire une rflexion sur une plus large
ouverture de ces donnes, sous la condition dune scurit suffisante pour
les donnes personnelles. Les conclusions du rapport remis lissue de ces
travaux1 nourrissent aujourdhui le projet que prfigure le groupe de travail
sur lopen data en sant, mis en place le 21 novembre dernier.
Manifestant toute limportance que revtait le sujet, la commission
nationale de linformatique et des liberts (CNIL) a souhait dresser un tat
des lieux des pratiques et des questions poses par lopen data et la protection
des donnes personnelles, afin dy apporter des rponses concrtes et
oprationnelles. Elle a organis cette fin, le 9 juillet 2013, un premier
sminaire sur ce thme2 et lanc, en janvier 2014 une vaste consultation en
ligne.
Dautres initiatives de la socit civile illustrent lattention porte
ces questions3.
La France ne se distingue pas, de ce point de vue, des autres pays
europens qui se sont engags sur la voie de louverture des donnes. Ainsi,
au Royaume-Uni, pays qui fait figure de prcurseur en la matire,
lInformation Commissionners Office (ICO), qui rassemble les comptences de
la CNIL et de la CADA, a publi ds 2012, un guide des bonnes pratiques
destine promouvoir des procds efficaces danonymisation afin de
concilier la protection des donnes personnelles et louverture des donnes
publiques.
La mme rflexion est en cours en Europe, notamment au sein du
groupe dit de larticle 29 , qui runit les CNIL europennes et devrait
prochainement publier une opinion sur les techniques danonymisation en
faveur de lopen data, aprs avoir adopt, le 5 juin 2013, une premire
opinion, sur lopen data et la rutilisation des informations publiques4.

http://www.drees.sante.gouv.fr/IMG/pdf/rapport-donnees-de-sante-2013.pdf.
Sminaire Open data, quels enjeux pour la protection des donnes personnelles du
9 juillet 2013 dont un compte-rendu peut tre consult ladresse suivante :
http://www.cnil.fr/fileadmin/documents/approfondir/dossier/OpenData/CR_Workshop_Open_Data_
9_juillet_2013.pdf.
3 Colloque interdisciplinaire du 12 novembre 2013 lopen data et les donnes personnelles, organis
par luniversit Panthon-Assas Paris II, le CNRS et le CERSA.
4 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2013/wp207_en.pdf.
1
2

- 30 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Tant au vu des travaux conduits en France et en Europe que du


principe mme de la question pose, la lgitimit de linterrogation suivie
par la mission dinformation de votre commission apparat ainsi hors de
doute. Contrairement ce que craignent ceux qui sen dfient, y rpondre de
manire satisfaisante pourrait dailleurs tre le meilleur moyen de garantir la
promotion rapide et efficace de lopen data, au bnfice de tous.

I. - UN CADRE RGLEMENTAIRE PROTECTEUR, QUI DEVRAIT EN PRINCIPE GARANTIR

- 31 -

LA PROTECTION DES DONNES PERSONNELLES

I. - UN CADRE RGLEMENTAIRE PROTECTEUR,


QUI DEVRAIT EN PRINCIPE GARANTIR LA PROTECTION
DES DONNES PERSONNELLES
Bien que la stratgie dopen data ne repose strictement parler sur
aucun texte lgislatif, tous les textes rglementaires et circulaires renvoient
la loi du 17 juillet 1978, dite loi CADA 1 (A).
Cependant, il apparat lexamen que dautres lgislations viennent
sarticuler avec la loi CADA pour dfinir le cadre juridique dans lequel
intervient lopen data, de manire assurer le plein respect de la protection
des donnes caractre personnel : la loi du 6 janvier 1978, dite loi
Informatique et liberts 2, les dispositions du code du patrimoine organisant
le rgime daccs aux archives publiques ainsi que celles du code pnal
relatives aux atteintes aux droits de la personne rsultant des fichiers ou des
traitements informatiques (B).
A. LE FONDEMENT JURIDIQUE DE LOPEN DATA : LES DROITS DACCS
ET DE RUTILISATION CONSACRS PAR LA LOI DU 17 JUILLET 1978

Conue en 1978 pour crer un droit daccs individuel aux


documents administratifs, la loi CADA a t profondment remanie en
2005 afin dintgrer le droit rutilisation cr par une directive europenne
de 2003 (1). Grce cette rvision, la loi CADA peut aujourdhui servir de
fondement juridique lopen data dans chacun de ses deux volets de mise
disposition et de rutilisation des informations publiques (2).
1. La loi du 17 juillet 1978, rceptacle de la transposition de la
directive sur la rutilisation des informations publiques
Ignor jusqualors de la lgislation franaise, le droit la
rutilisation des informations publiques y a t introduit loccasion de la
transposition, par ordonnance, de la directive 2003/98/CE du Parlement
europen et du Conseil du 17 novembre 2003 concernant la rutilisation des
informations du secteur public.

Loi n 78-753 du 17 juillet 1978 portant diverses mesures damlioration des relations entre
ladministration et le public et diverses dispositions dordre administratif, social et fiscal
2 Loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts
1

- 32 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

linitiative de la commission des lois du Snat, le lgislateur a


choisi de transposer cette directive en modifiant et compltant la loi
n 78-753 du 17 juillet 1978 prcite1. Comme lindiquait le rapport de notre
collgue Bernard Saugey, lintroduction dans le droit franais de ce principe
de rutilisation ncessitait en effet lajustement de certaines dispositions
contenues dans la loi CADA . Ainsi de son article 10 dans sa rdaction
antrieure, qui disposait que le droit communication exclu[ai]t, pour ses
bnficiaires ou pour les tiers, la possibilit de reproduire, de diffuser ou dutiliser
des fins commerciales les documents communiqus , ce qui ne le rendait pas
compatible avec le principe de rutilisation des documents, y compris des
fins commerciales, tabli par la directive. Le rapport notait galement que la
transposition de la directive posait le problme de la rutilisation des fichiers
contenant des donnes caractre personnel dans la mesure o la loi
CADA permettait laccs des informations nominatives. Il proposait
alors que la comptence qui pourrait tre confie la CADA pour connatre des
contentieux relatifs la rutilisation des documents [prenne] en compte les rgles de
protection tablies par la lgislation relative linformatique, aux fichiers et aux
liberts (loi du 6 janvier 1978) 2.
Lordonnance n 2005-650 du 6 juin 2005 relative la libert daccs
aux documents administratifs et la rutilisation des informations publiques
a procd des ajustements de la loi CADA . Comme lindiquait le
rapport au Prsident de la Rpublique relatif lordonnance, publi au
Journal officiel du 7 juin 2005, celle-ci a cr un chapitre consacr la
rutilisation des informations publiques sans remettre en cause lconomie
gnrale du rgime daccs aux documents administratifs. Ainsi, deux
rgimes distincts demeurent juxtaposs : celui de laccs et celui de la
rutilisation. Un pouvoir de sanction est confi la Commission daccs aux
documents administratifs (CADA) par larticle 18 de la loi pour garantir en
particulier le respect du principe de sparation de ces deux rgimes.
2. Larticulation entre deux rgimes juridiques distincts
Or, dun point de vue juridique, lopen data sanalyse en deux tapes
trouvant leur fondement dans chacun de ces rgimes : la mise disposition
par les administrations, en vertu du rgime daccs aux documents
administratifs du chapitre Ier, dune information publique dabord (a), son
ventuelle rutilisation par les internautes conformment au chapitre II
ensuite (b).

Cf. larticle 1er de la loi n 2004-1343 du 9 dcembre 2004 de simplification du droit.


Rapport de M. Bernard SAUGEY, fait au nom de la commission des lois, sur le projet de loi
habilitant le Gouvernement simplifier le droit (n 5, 2004-2005) http://www.senat.fr/rap/l04005/l04-005.html#toc130.
1
2

I. - UN CADRE RGLEMENTAIRE PROTECTEUR, QUI DEVRAIT EN PRINCIPE GARANTIR

- 33 -

LA PROTECTION DES DONNES PERSONNELLES

a) La publication des documents administratifs


Lors de son adoption en 1978, et bien que visant pour lessentiel
instaurer un droit daccs individuel aux documents administratifs,
larticle 9 de la loi CADA prvoyait la publication rgulire des
directives, instructions, circulaires, notes et rponses ministrielles qui
comportent une interprtation du droit positif ou une description des procdures
administratives , ainsi que la signalisation des documents administratifs afin
de rendre ce nouveau droit effectif.
Lordonnance de 2005 a dplac cette disposition larticle 7 de la loi
et introduit la facult pour les administrations de publier galement les
autres documents administratifs quelles produisent ou reoivent.
Larticle 7 de la loi CADA distingue ainsi clairement deux
catgories de documents : ceux dont la publication est imprative et ceux
dont la publication est facultative. Dans les deux cas, le respect de la
confidentialit des donnes caractre personnel simpose.
La mise disposition de donnes dont la publication nest pas
prvue par une disposition lgale ou rglementaire dans le cadre de lopen
data repose sur cette facult.
Article 7 de la loi du 17 juillet 1978, dite loi CADA
Font lobjet dune publication les directives, les instructions, les circulaires, ainsi que les
notes et rponses ministrielles qui comportent une interprtation du droit positif ou une
description des procdures administratives.
Les administrations mentionnes larticle 1er peuvent en outre rendre publics les
autres documents administratifs quelles produisent ou reoivent1.
Toutefois, sauf dispositions lgislatives contraires, les documents administratifs qui
comportent des mentions entrant dans le champ dapplication de larticle 6 ou, sans
prjudice de larticle 13, des donnes caractre personnel ne peuvent tre rendus publics
quaprs avoir fait lobjet dun traitement afin docculter ces mentions ou de rendre
impossible lidentification des personnes qui y sont nommes.
Un dcret en Conseil dtat pris aprs avis de la commission mentionne au chapitre III
prcise les modalits dapplication du premier alina du prsent article.

b) La rutilisation des informations publiques


La principale novation de lordonnance de 2005 sous linfluence du
droit europen demeure toutefois linversion de la rgle dinterdiction de
rutilisation des fins commerciales qui valait jusqualors.

Ces administrations sont : ltat, les collectivits territoriales et les autres personnes de droit
public ou les personnes de droit priv charges dune mission de service public.
1

- 34 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Larticle 10 de la loi CADA pose en effet le principe selon lequel


les informations publiques, cest--dire les informations figurant dans des
documents produits ou reus par les administrations, peuvent tre utilises
par toute personne dautres fins que celles de la mission de service public
pour laquelle elle avait t produite ou reue. Ce mme article 10, ainsi que
le suivant, viennent toutefois immdiatement temprer ce principe.
Il rsulte ainsi de la combinaison des articles 10 et 11 que sont
exclues du champ de la rutilisation telle que prvue par le chapitre II de la
loi CADA certaines informations publiques raison soit de leur nature,
soit de leur auteur, soit enfin dun droit entrant en concurrence avec le droit
rutilisation.
Le premier motif conduit carter les informations considres
comme ntant pas des informations publiques car figurant dans des
documents dont la communication ne constitue pas un droit en application
du rgime daccs aux documents administratifs, moins quils ne fassent
lobjet dune diffusion publique.
Cette exception renvoie en premier lieu aux documents
prparatoires puisque larticle 2 de la loi CADA prcise : le droit
communication ne sapplique qu des documents achevs. Il ne concerne pas les
documents prparatoires une dcision administrative tant quelle est en cours
dlaboration .
Cette exception fait, en second lieu, rfrence larticle 6 de cette
mme loi qui numre, dune part, les documents qui ne sont pas
communicables en raison soit de leur nature, soit de latteinte que cette
communication porterait par exemple un secret, et dautre part, les
documents qui ne sont communicables qu lintress, ces derniers visant en
particulier les documents administratifs dont la communication porterait
atteinte la protection de la vie prive. Dans son avis Maire de Chelles du
31 juillet 2008, la CADA a prcis ce point en indiquant que nentrent dans le
champ de la rutilisation que les documents communicables tous1.

1 CADA, avis n 20082716 du 31 juillet 2008, Maire de Chelles. La CADA note dabord que la
directive 2003/98/CE du 17 novembre 2003 prcite, dont la loi CADA assure la transposition,
exclut de son champ dapplication non seulement les documents qui, conformment aux rgles
daccs en vigueur dans les tats membres, ne sont pas accessibles , mais galement les
cas, dans lesquels, conformment aux rgles daccs, les citoyens ou les entreprises
doivent dmontrer un intrt particulier pour obtenir laccs aux documents . Elle en dduit
donc que les rgles prvues au chapitre II du titre Ier de [la] loi ne sappliquent quaux
informations dont la communication constitue un droit pour toute personne, en application
dune disposition lgislative, et non celles qui ne sont accessibles qu certaines personnes
raison de leur qualit ou de leur intrt .

I. - UN CADRE RGLEMENTAIRE PROTECTEUR, QUI DEVRAIT EN PRINCIPE GARANTIR

- 35 -

LA PROTECTION DES DONNES PERSONNELLES

Article 6 de la loi du 17 juillet 1978, dite loi CADA


I. - Ne sont pas communicables :
1 Les avis du Conseil dtat et des juridictions administratives, les documents de la Cour
des comptes mentionns larticle L. 141-10 du code des juridictions financires et les
documents des chambres rgionales des comptes mentionns larticle L. 241-6 du mme
code, les documents labors ou dtenus par lAutorit de la concurrence dans le cadre de
lexercice de ses pouvoirs denqute, dinstruction et de dcision, les documents labors ou
dtenus par la Haute Autorit pour la transparence de la vie publique dans le cadre des
missions prvues larticle 20 de la loi n 2013-907 du 11 octobre 2013 relative la
transparence de la vie publique, les documents pralables llaboration du rapport
daccrditation des tablissements de sant prvu larticle L. 6113-6 du code de la sant
publique, les documents pralables laccrditation des personnels de sant prvue
larticle L. 1414-3-3 du code de la sant publique, les rapports daudit des tablissements de
sant mentionns larticle 40 de la loi n 2000-1257 du 23 dcembre 2000 de financement
de la scurit sociale pour 2001 et les documents raliss en excution dun contrat de
prestation de services excut pour le compte dune ou de plusieurs personnes dtermines ;
2 Les autres documents administratifs dont la consultation ou la communication
porterait atteinte :
a) Au secret des dlibrations du Gouvernement et des autorits responsables relevant du
pouvoir excutif ;
b) Au secret de la dfense nationale ;
c) A la conduite de la politique extrieure de la France ;
d) A la sret de ltat, la scurit publique ou la scurit des personnes ;
e) A la monnaie et au crdit public ;
f) Au droulement des procdures engages devant les juridictions ou doprations
prliminaires de telles procdures, sauf autorisation donne par lautorit comptente ;
g) A la recherche, par les services comptents, des infractions fiscales et douanires ;
h) Ou, sous rserve de larticle L. 124-4 du code de lenvironnement, aux autres secrets
protgs par la loi ;
II. - Ne sont communicables qu lintress les documents administratifs :
- dont la communication porterait atteinte la protection de la vie prive, au
secret mdical et au secret en matire commerciale et industrielle ;
- portant une apprciation ou un jugement de valeur sur une personne physique,
nommment dsigne ou facilement identifiable ;
- faisant apparatre le comportement dune personne, ds lors que la divulgation de ce
comportement pourrait lui porter prjudice.
Les informations caractre mdical sont communiques lintress, selon son choix,
directement ou par lintermdiaire dun mdecin quil dsigne cet effet, dans le respect des
dispositions de larticle L. 1111-7 du code de la sant publique.
III. - Lorsque la demande porte sur un document comportant des mentions qui ne sont pas
communicables en application du prsent article mais quil est possible docculter ou de
disjoindre, le document est communiqu au demandeur aprs occultation ou disjonction de
ces mentions.
Les documents administratifs non communicables au sens du prsent chapitre deviennent
consultables au terme des dlais et dans les conditions fixs par les articles L. 213-1 et
L. 213-2 du code du patrimoine. Avant lexpiration de ces dlais et par drogation aux
dispositions du prsent article, la consultation de ces documents peut tre autorise dans les
conditions prvues par larticle L. 213-3 du mme code.

- 36 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Sont ensuite exclues du champ du droit rutilisation tel quautoris


par la loi CADA les informations produites ou reues par deux types
dadministrations : celles intervenant dans le cadre dune mission de service
public caractre industriel ou commercial, ainsi que les tablissements
culturels : organismes denseignement et de recherche coles, universits et
instituts de recherche et tablissements, organismes ou services culturels
muses, bibliothques, orchestres, opras, ballets et thtres. Cette
exclusion conduit ne pas appliquer ces administrations et organismes le
rgime de rutilisation de la loi CADA , mais ninterdit pas la rutilisation
de lensemble des informations produites ou reues par ceux-ci moins
quils ne sy opposent ou lencadrent, sous le contrle du juge1.
Enfin, ne peuvent non plus faire lobjet dune rutilisation les
informations sur lesquelles des tiers dtiennent des droits de proprit
intellectuelle.
Articles 10 et 11 de la loi du 17 juillet 1978, dite loi CADA
Art. 10. Les informations figurant dans des documents produits ou reus par les
administrations mentionnes larticle 1er, quel que soit le support, peuvent tre
utilises par toute personne qui le souhaite dautres fins que celles de la mission
de service public pour les besoins de laquelle les documents ont t produits ou
reus. Les limites et conditions de cette rutilisation sont rgies par le prsent chapitre,
mme si ces informations ont t obtenues dans le cadre de lexercice du droit daccs aux
documents administratifs rgi par le chapitre Ier.
Ne sont pas considres comme des informations publiques, pour lapplication du
prsent chapitre, les informations contenues dans des documents :
a) Dont la communication ne constitue pas un droit en application du chapitre Ier
ou dautres dispositions lgislatives, sauf si ces informations font lobjet dune
diffusion publique ;
b) Ou produits ou reus par les administrations mentionnes larticle 1er dans lexercice
dune mission de service public caractre industriel ou commercial ;
c) Ou sur lesquels des tiers dtiennent des droits de proprit intellectuelle.
Lchange dinformations publiques entre les autorits mentionnes larticle 1er, aux
fins de lexercice de leur mission de service public, ne constitue pas une rutilisation au
sens du prsent chapitre.
Art. 11. Par drogation au prsent chapitre, les conditions dans lesquelles les
informations peuvent tre rutilises sont fixes, le cas chant, par les administrations
mentionnes aux a et b du prsent article lorsquelles figurent dans des documents produits
ou reus par :
a) Des tablissements et institutions denseignement et de recherche ;
b) Des tablissements, organismes ou services culturels.

Cf. conseil de la CADA, n 20062674 du 29 juin 2006, Prsident du conseil gnral de lIsre
et CAA Lyon, 3 me chambre, 4 juillet 2012, Dpartement du Cantal.
1

I. - UN CADRE RGLEMENTAIRE PROTECTEUR, QUI DEVRAIT EN PRINCIPE GARANTIR

- 37 -

LA PROTECTION DES DONNES PERSONNELLES

B. LA TRIPLE GARANTIE APPORTE LA PROTECTION DES DONNES


PERSONNELLES

Comme on a pu le constater, la protection de la vie prive est lune


des proccupations de la loi CADA et ce, depuis son origine1. Pourtant,
loccasion de la modification de la loi par ordonnance en 2005, il a t jug
ncessaire de mieux prendre en compte les enjeux de protection des donnes
caractre personnel en tant que tels, comme la directive de 2003 y incitait le
lgislateur, que ce soit par lintroduction dans la loi de garanties spcifiques
(1) ou par renvoi aux dispositions de la loi Informatique et liberts (2). Par
ailleurs, la protection des donnes caractre personnel est galement
assure par les dispositions du code pnal relatives aux atteintes aux droits
de la personne rsultant des fichiers ou des traitements informatiques (3).
1. Les garanties prvues par la loi du 17 juillet 1978
Lors de la transposition de la directive 2003/98/CE du 17 novembre
2003 prcite, plusieurs dispositions ont t insres dans la loi du 17 juillet
1978 afin de garantir la protection des donnes caractre personnel, aussi
bien au stade de la diffusion des informations publiques (a) qu celui de
leur rutilisation (b).
a) Les garanties prvues dans le cadre du droit daccs
Le troisime alina de larticle 7 de la loi CADA prvoit
explicitement le cas o des documents administratifs contiendraient des
donnes caractre personnel. Dans cette hypothse, il subordonne la
publication du document un traitement pralable afin docculter ces
mentions [entrant dans le champ dapplication de larticle 6] ou de rendre impossible
lidentification des personnes qui y sont nommes .
b) Les garanties prvues dans le cadre du droit rutilisation
Larticle 13 de la loi CADA est ddi la rutilisation
dinformations publiques comportant des donnes caractre personnel2. Il
cre en son premier alina un embryon de rgime particulier , ainsi que le
dsignait le rapport au Prsident de la Rpublique relatif lordonnance
n 2005-650 du 6 juin 2005 prcite, publi au Journal officiel du 7 juin 2005.
Ce rgime spcifique a t conu afin de couvrir les cas de rutilisations qui,
ntant constitutives ni dun traitement automatis ni dun traitement
portant sur les donnes caractre personnel contenues ou appeles
figurer dans des fichiers, chapperait au rgime prvu par la loi
Informatique et liberts .
1 Larticle 6 dans sa version initiale excluait ainsi du droit daccs les documents dont la consultation ou
la communication porterait atteinte au secret de la vie prive .
2 La notion de donnes caractre personnel renvoie la dfinition de larticle 2 de la loi Informatique
et liberts : Constitue une donne caractre personnel toute information relative une
personne physique identifie ou qui peut tre identifie, directement ou indirectement, par
rfrence un numro d'identification ou un ou plusieurs lments qui lui sont propres.

- 38 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Article 13 de la loi du 17 juillet 1978, dite loi CADA


Les informations publiques comportant des donnes caractre personnel peuvent faire
lobjet dune rutilisation soit lorsque la personne intresse y a consenti, soit si lautorit
dtentrice est en mesure de les rendre anonymes ou, dfaut danonymisation, si une
disposition lgislative ou rglementaire le permet.
La rutilisation dinformations publiques comportant des donnes caractre personnel
est subordonne au respect des dispositions de la loi n 78-17 du 6 janvier 1978 relative
linformatique, aux fichiers et aux liberts.

Ce rgime soumet la rutilisation de telles informations trois


conditions alternatives.
Le recueil du consentement de la personne concerne
Le fait quune information publique contenant des donnes
caractre personnel ait t diffuse en application de larticle 7 de la loi
CADA , et notamment de son premier alina, ou dune disposition lgale
nemporte pas le consentement des personnes concernes pour la
rutilisation de leurs donnes. Il est donc ncessaire de sassurer de ce
consentement avant toute rutilisation, notamment des fins commerciales.
Telle est linterprtation de la CADA dans son avis du 19 avril 2012, Directeur
de la CNAMTS1, dans lequel elle a estim que les dispositions du code de la
sant publique prvoyant lobligation dinscription au tableau de lordre des
mdecins et laffichage des tarifs des honoraires pratiqus ne pouvaient tre
regardes comme permettant la rutilisation, moins de recueillir
pralablement laccord des mdecins concerns.
Lanonymisation par lautorit dtentrice
Cette anonymisation est la charge de lautorit dtentrice. Cest
pourquoi larticle 15 de la loi CADA prvoit la possibilit pour les
administrations de percevoir des redevances pour ltablissement desquelles
ladministration qui a produit ou reu les documents contenant des informations
publiques susceptibles dtre rutilises tient compte des cots de mise disposition
des informations, notamment, le cas chant, du cot dun traitement permettant de
les rendre anonymes .
Larticle 40 du dcret dapplication de la loi2 prvoit cependant que
si lopration danonymisation reprsente un effort disproportionn,
ladministration peut refuser dy procder, donc de communiquer le
document en cause : lorsque la rutilisation nest possible quaprs
anonymisation des donnes caractre personnel, lautorit dtentrice y procde
sous rserve que cette opration nentrane pas des efforts disproportionns .

CADA, avis n 20121581 du 19 avril 2012, Directeur de la CNAMTS.


Dcret n 2005-1755 du 30 dcembre 2005 relatif la libert daccs aux documents administratifs
et la rutilisation des informations publiques, pris pour lapplication de la loi n 78-753 du
17 juillet 1978.
1
2

I. - UN CADRE RGLEMENTAIRE PROTECTEUR, QUI DEVRAIT EN PRINCIPE GARANTIR

- 39 -

LA PROTECTION DES DONNES PERSONNELLES

Lautorisation par une disposition lgislative ou rglementaire


spcifique
Ce dernier cas dautorisation ouvre potentiellement trs largement le
champ de la rutilisation dinformations publiques comportant des donnes
caractre personnel puisquil appartient non seulement au lgislateur mais
galement au pouvoir rglementaire de prvoir des exceptions au principe
de non rutilisation de ces informations. Il convient dobserver que larticle 7
de la loi Informatique et liberts autorise quant lui un traitement de
donnes caractre personnel ds lors quil vise satisfaire le respect dune
obligation lgale.
Article 7 de la loi du 6 janvier 1978, dite loi Informatique et liberts
Un traitement de donnes caractre personnel doit avoir reu le consentement de la
personne concerne ou satisfaire lune des conditions suivantes :
1 Le respect dune obligation lgale incombant au responsable du traitement ;
2 La sauvegarde de la vie de la personne concerne ;
3 Lexcution dune mission de service public dont est investi le responsable ou le
destinataire du traitement ;
4 Lexcution, soit dun contrat auquel la personne concerne est partie, soit de mesures
prcontractuelles prises la demande de celle-ci ;
5 La ralisation de lintrt lgitime poursuivi par le responsable du traitement ou par le
destinataire, sous rserve de ne pas mconnatre lintrt ou les droits et liberts
fondamentaux de la personne concerne.

Ce rgime spcifique de larticle 13 de la loi CADA a t jug par


Mme Nathalie Mallet-Poujol, lors de son audition par vos rapporteurs,
encore plus protecteur que celui garanti par la loi Informatique et liberts .
2. Le renvoi aux dispositions de la loi Informatique et liberts
En sus de ce rgime spcifique, le second alina de larticle 13 de la
loi CADA opre un renvoi vers la loi Informatique et liberts .
En effet, conformment larticle 2 de cette mme loi, ds lors
quune rutilisation consiste en un traitement automatis de donnes
caractre personnel ou en un traitement non automatis de donnes
caractre personnel contenues ou appeles figurer dans des fichiers, elle
entre dans le champ dapplication de la loi Informatique et liberts , moins
quelle ne soit mise en uvre que pour lexercice dactivits exclusivement
personnelles .
Outre les conditions de licit prvues aux articles 6 10 de la loi
Informatique et liberts , en particulier lobligation de traitement loyal des
donnes et de recueil du consentement, la loi fait obligation tout

- 40 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

responsable de traitement de respecter des formalits pralables1, en


particulier lobligation de dclaration auprs de la Commission nationale de
linformatique et des liberts (CNIL). Il appartient donc au rutilisateur de
procder, le cas chant, ces formalits.
La loi Informatique et liberts impose par ailleurs aux responsables
de traitement certaines obligations2. Parmi celles-ci figure le respect des
droits dopposition, dinformation et de rectification reconnus aux personnes
physiques par les articles 38, 39 et 40. Tout rutilisateur doit donc mettre en
capacit les personnes concernes dexercer leurs droits.
titre incident, il convient dobserver que si la CADA distingue la
diffusion de la rutilisation, considrant que la simple mise en ligne intgrale
de documents, sans aucun commentaire ni ajout, en accs libre et gratuit ne
permettant pas leur modification, ne constitue par une rutilisation au sens des
dispositions du chapitre II de la loi CADA 3, cette mise en ligne constitue
en revanche un traitement de donnes caractre personnel, tombant sous le
coup de la loi Informatique et liberts .
Enfin, la jurisprudence a permis de clarifier le rgime applicable aux
archives publiques.
Les articles L. 213-2 et L. 213-3 du code du patrimoine organisent le
rgime de communicabilit des archives publiques en appliquant des dlais
diffrencis selon la nature de ces archives. Ils ne prcisent cependant
nullement le rgime de rutilisation des informations publiques figurant
dans ces archives.
dfaut dinterdiction ou dencadrement de la rutilisation des
informations publiques contenues dans les archives publiques, la cour
administrative dappel de Lyon a jug que les informations publiques
communicables de plein droit, figurant dans les documents dtenus par les services
darchives publics, qui constituent des services culturels au sens des dispositions de
larticle 11 de la loi du 17 juillet 1978, relvent de la libert de rutilisation
consacre de faon gnrale par cette loi, dans sa rdaction issue de lordonnance du
29 avril 2009 4. La cour administrative dappel a toutefois estim quil
appartenait lautorit comptente, saisie dune demande de rutilisation de ces
documents, de sassurer que cette rutilisation satisfai[sai]t aux exigences
quimposent les dispositions de larticle 13 de cette loi qui, sagissant dinformations
publiques comportant des donnes caractre personnel, renvoient aux dispositions
de la loi n 78-17 du 6 janvier 1978 .
Cf. chapitre IV de la loi Informatique et liberts .
Cf. chapitre V de la loi Informatique et liberts .
3 Cf. avis n 20082716 du 31 juillet 2008 Maire de Chelles. La CADA a en revanche prcis que
le fait dinsrer [d]es documents accompagns de commentaires ou sur un site invitant
des tiers mettre de tels commentaires, ou encore de subordonner leur accs au paiement
dune somme ou la publication de simples extraits constituent des formes de rutilisation
au sens de larticle 10 de la loi .
4 CAA Lyon, 3 me chambre, 4 juillet 2012, Dpartement du Cantal
1
2

I. - UN CADRE RGLEMENTAIRE PROTECTEUR, QUI DEVRAIT EN PRINCIPE GARANTIR

- 41 -

LA PROTECTION DES DONNES PERSONNELLES

Ainsi, bien que le chapitre II de la loi CADA ne sapplique pas


aux informations publiques dtenues par les services dpartementaux
darchives, il leur est fait obligation de sassurer du respect des dispositions
de son article 13 ds lors que des donnes personnelles sont en jeu, donc de
sassurer du respect par le rutilisateur des dispositions de la loi
Informatique et liberts .
3. La rpression administrative et pnale
La CADA nest dote daucun moyen pour assurer le respect de
larticle 13 de la loi CADA , larticle 18 de cette mme loi ne lui confiant un
pouvoir de sanction quen cas de rutilisation dinformations publiques en
mconnaissance des dispositions de larticle 12 relatif lintgrit des
donnes, ou des conditions de rutilisation prvues par une licence ou en
violation de lobligation dobtention dune licence.
La CNIL, en revanche, ds lors quelle est comptente, dispose dun
pouvoir de sanction en cas de rutilisation contraire une disposition de la
loi Informatique et liberts , conformment au chapitre VII de cette dernire.
Les dcisions prononant une sanction peuvent faire lobjet dun recours de
pleine juridiction devant le Conseil dtat, en vertu du dernier alina de
larticle 46 de cette mme loi.
La loi Informatique et liberts renvoie enfin, pour les sanctions
pnales, aux dispositions des articles 226-16 226-24 du code pnal, relatifs
aux atteintes aux droits de la personne rsultant des fichiers ou des
traitements informatiques. Dans le cadre de lopen data, le rutilisateur qui
naurait pas pris les prcautions ncessaires serait en particulier passible de
la peine de trois ans demprisonnement et de 100 000 euros damende prvue
au deuxime alina de larticle 226-22 en cas de divulgation, commise par
imprudence ou ngligence, de donnes caractre personnel ayant pour
effet de porter atteinte la considration de lintress ou lintimit de sa
vie prive. Les personnes morales encourent, quant elles, outre une
amende gale au quintuple de celle prvue pour les personnes physiques,
certaines peines prvues larticle 131-9 du code pnal, en application de
larticle 226-24 du mme code.
Article 226-22 du code pnal
Le fait, par toute personne qui a recueilli, loccasion de leur enregistrement, de leur
classement, de leur transmission ou dune autre forme de traitement, des donnes
caractre personnel dont la divulgation aurait pour effet de porter atteinte la considration
de lintress ou lintimit de sa vie prive, de porter, sans autorisation de lintress, ces
donnes la connaissance dun tiers qui na pas qualit pour les recevoir est puni de cinq
ans demprisonnement et de 300 000 euros damende.
La divulgation prvue lalina prcdent est punie de trois ans demprisonnement et de
100 000 euros damende lorsquelle a t commise par imprudence ou ngligence.
Dans les cas prvus aux deux alinas prcdents, la poursuite ne peut tre exerce que sur
plainte de la victime, de son reprsentant lgal ou de ses ayants droit.

II. - UNE PROTECTION TOUTEFOIS FRAGILISE

- 43 -

PAR UNE DOUBLE FAILLE

II. - UNE PROTECTION TOUTEFOIS FRAGILISE


PAR UNE DOUBLE FAILLE
Notre droit parvient une conciliation quilibre entre les exigences
qui fondent lopen data et la protection des donnes personnelles, donnant
cette dernire la priorit moins que linnocuit de la diffusion
dinformations prives soit garantie, parce que la base a t anonymise, que
lintress a donn son consentement ou que la loi exige cette diffusion.
Cependant, lefficacit de cette rglementation dpend de la faon
dont les administrations la mettent en uvre. Or, des auditions et des
travaux quils ont conduits, vos rapporteurs tirent le constat que cette mise
en uvre est susceptible de prsenter deux failles.
La premire a trait la qualit du procd danonymisation mis en
uvre : tous ne prsentent pas la mme efficience et, selon la nature des
donnes en cause, le risque de r-identification nest pas nul, ce qui pourrait
aboutir la diffusion indirecte et accidentelle dinformations
personnelles (A).
La seconde faille concerne le pilotage et laccompagnement des
administrations dans le dploiement de lopen data. Ceux-ci napparaissent
pas toujours suffisants, laissant ces administrations dmunies face des
exigences de protection des donnes personnelles quelles matrisent mal (B).
A. PREMIRE FAILLE : LE RISQUE DE R-IDENTIFICATION

Des trois possibilits de mise en ligne de documents administratifs


contenant des donnes personnelles1, lanonymisation de la base de donnes
est certainement le procd le plus commode.
En effet, son champ dapplication est gnral : contrairement aux
donnes personnelles diffuses sur la base dune exigence lgale spciale, il
peut concerner toutes les bases de donnes administratives librement
communicables. En outre, il permet de se dispenser du recueil pralable du
consentement des intresss, ce qui reprsenterait, pour la plupart des bases
de donnes envisageables, initialement conues pour un tout autre objectif,
une contrainte insurmontable.
Pour autant, il nest pas infaillible : imparfaitement mis en uvre, il
est susceptible de permettre la r-identification des donnes, au dtriment
des administrs concerns.

Consentement de lintress la diffusion de ses donnes, anonymisation ou exigence lgale de


diffusion.
1

- 44 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

1. Un risque avr
a) Les techniques danonymisation
Lanonymisation peut tre dfinie comme lopration de suppression
de lensemble des informations permettant didentifier directement ou
indirectement un individu, contenues dans un document ou une base de
donnes.
Selon les informations fournies par la CNIL vos rapporteurs, trois
mthodes peuvent tre employes pour parvenir ce rsultat : la
substitution parfois appele aussi pseudonymisation , la suppression ou le
masquage , et, enfin, lagrgation.
La substitution ou la pseudonymisation
Cette mthode consiste remplacer lidentifiant initial dune
personne par un autre identifiant arbitraire, un pseudonyme1.
Pour garantir la traabilit et la mise jour des informations dans la
base et viter dassocier un individu les donnes relatives un autre, faute
de disposer dun identifiant prenne, il est ncessaire que, pour chaque
personne, ce pseudonyme soit unique.
cette fin, il peut tre tabli de trois manires diffrentes.
Une table de correspondance secrte peut tre gnre, qui associe
une fois pour toutes, lensemble des identifiants avec les pseudonymes qui
leur ont t attribus. Le niveau de scurit de cette technique
danonymisation est faible. Lopration est en effet rversible, puisquon
peut retrouver lidentifiant partir du pseudonyme et que celui qui dtient
la table lit livre ouvert dans la base donne : lanonymisation nest garantie
quautant que cette table reste secrte.
La seconde faon de procder la pseudonymisation est dutiliser
un algorithme de chiffrement : lensemble des identifiants initiaux sont
transforms en des pseudonymes uniques. Lopration est, l encore,
rversible, puisque lon peut retrouver lidentifiant partir du pseudonyme,
pour peu que lon sache quel algorithme de chiffrement a t utilis.
La dernire faon de procder la substitution dun pseudonyme
lidentifiant initial est de recourir une fonction dite de hachage , qui
prsente la particularit, par rapport aux algorithmes de chiffrement
standards, de ne pas tre rversible : il nest pas possible de retrouver
lidentifiant initial partir du seul pseudonyme, mme si lon connat la
fonction de hachage utilise.

Ce pseudonyme peut parfois tre un nom de code, le risque tant alors quil y ait une
correspondance implicite entre lidentifiant initial et ce nom de code. Le plus souvent, il sagit dune
suite arbitraire de caractres alphanumriques.
1

II. - UNE PROTECTION TOUTEFOIS FRAGILISE

- 45 -

PAR UNE DOUBLE FAILLE

Toutefois, en dpit de cette irrversibilit de principe, cette


technique peut tre mise en chec en reconstituant, par ritration, une table
de correspondance. Cette mthode pour casser lanonymisation suppose
dimportants moyens informatiques : elle consiste appliquer la fonction de
hachage lensemble des identifiants possibles (par exemple, lensemble des
noms et prnoms des individus susceptibles dappartenir la base de
donnes). Ainsi, on retrouve, pour chacun, le pseudonyme unique qui lui est
attribu par la fonction de hachage initialement utilises.
Il est possible de renforcer la scurit de lanonymisation en ajoutant
pralablement aux identifiants initiaux une cl secrte arbitraire : par
exemple au nom Jean Dupont , on associe la cl azerty , pour donner un
second identifiant Jean Dupontazerty , quon soumet alors la fonction de
hachage. Celui qui souhaitera reconstituer la table de correspondance devra
donc non plus seulement tester lensemble des noms et prnoms possibles, ce
qui est relativement facile, mais aussi lensemble des modifications que ces
identifiants sont susceptibles de connatre partir de cls inconnues.
La scurit du dispositif repose cependant encore une fois sur la
confidentialit des outils utiliss : la cl secrte dune part, la fonction de
hachage utilise dautre part.
Il est encore possible de durcir lanonymisation, en procdant un
double hachage avec cl secrte, qui consiste raliser une premire fois
lopration, et soumettre le pseudonyme obtenu une seconde fonction de
hachage avec cl secrte. Pour assurer une pleine confidentialit, les cls
peuvent tre renouveles rgulirement. Toutefois, dans ce cas, il nest plus
possible de suivre dans le temps lvolution des donnes relatives un
individu, puisquil ny aura plus de moyen de mettre en relation son
pseudonyme un moment donn, avec un second pseudonyme gnr plus
tard.
La suppression, le masquage ou lajout de bruit
Lopration consiste dgrader linformation initiale, en supprimant
certaines donnes, ou, au contraire, en ajoutant des informations qui noient
la donne initiale identifiante.
Ainsi, dans le premier cas, plutt que de retenir la date de naissance
complte, seule sera conserve lanne de naissance.
Dans le second, les informations seront dformes selon un procd
qui nen altrera pas lusage premier. Ainsi, une base de donne rassemblant
les salaires des employs dune socit, par classe dge, destine tudier le
salaire moyen, sera publie en ajoutant et en retranchant 1000 euros dans
une proportion identique aux salaires dune mme classe. Le calcul du
salaire moyen nen sera pas affect, puisque les additions et les soustractions
se compenseront. Dans le mme temps, aucun des salaires publis ne
correspond celui dun des employs. Linconvnient dune telle mthode
est de fausser, ds lorigine, les donnes, ce qui les rend moins pertinentes
pour une utilisation autre que celle dorigine.

- 46 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Lagrgation
Cette dernire mthode consiste rassembler plusieurs donnes de
mme type, afin de produire une donne agrge qui conserve linformation
dont on a besoin, mais rend impossible lidentification de la part
dinformation agrge qui correspond un individu donn.
Par exemple, plutt que de retenir les deux informations selon
lesquelles M. Dupont sest prsent au guichet de telle administration 10h
et M. Durand 11h, on retiendrait linformation agrge selon laquelle deux
personnes se sont prsentes dans la matine au guichet concern, ce qui
permet de connatre, avec une certaine prcision, le taux de frquentation de
cette administration, sans poser de problme didentification des administrs
en cause.
Ce procd est dusage courant en matire statistique. Plus le niveau
dagrgation est lev, moins il y a de risques de r-identification, mais, dans
le mme temps, moins linformation est prcise. Lautorit en charge de la
base de donnes doit donc trouver un quilibre satisfaisant entre la
robustesse de lanonymisation garantie par le niveau dagrgation et la
prcision des donnes quelle autorise. Dune manire gnrale, la CNIL
recommande de ne pas faire figurer de statistiques conues partir dune
agrgation infrieure dix lments.
b) Des techniques qui ne sont pas infaillibles
Comme la indiqu le reprsentant de linstitut national de la
recherche en informatique et en automatique (INRIA), M. Claude Kirchner,
lors de son audition, aucune technique danonymisation nest en thorie
infaillible.
Ainsi, la scurit offerte par les procds de pseudonymisation
dpend, comme on la vu prcdemment, de la confidentialit des outils de
codage utiliss (algorithme, cl secrte, table de correspondance). Il peut
toutefois tre facilement remdi ce dfaut, en levant le niveau de
confidentialit de ces instruments.
En ralit, la principale faille de lensemble de ces procds
danonymisation tient aux donnes mmes auxquelles ils sont appliqus.
Les liens tablis entre elles, qui constituent la raison dtre des bases
informatiques qui les rassemblent sont parfois aussi identifiants que chacune
de ces donnes prise isolment.
Prenons lexemple dune base de donnes rassemblant le nom, la
date de naissance, le lieu de naissance et le niveau dimposition. Elle pourrait
tre anonymise en ne retenant que linitiale du nom et lanne de naissance
(anonymisation par suppression ou masquage). Cependant si lon croise ces
informations dgrades avec le lieu de naissance, il est possible de
r-identifier certains individus, en particulier, ceux ns dans des communes

II. - UNE PROTECTION TOUTEFOIS FRAGILISE

- 47 -

PAR UNE DOUBLE FAILLE

comptant suffisamment peu de naissances par anne, pour que linitiale du


nom de famille permette didentifier lintress coup sr et de connatre,
par ricochet, le montant de son imposition1.
Une illustration dune telle r-identification est fournie par lerreur
commise par le fournisseur daccs internet amricain, AOL, en 2006
(cf. encadr).
Une premire faille de confidentialit dans une dmarche dopen data : lexemple dAOL
En 2006, lentreprise amricaine AOL, fournisseur daccs internet, a publi en ligne une
vaste base de donnes qui rassemblait 20 millions de recherches effectues sur son site par
650 000 utilisateurs. Lobjectif de loprateur tait la fois de montrer ltendue des services
quil proposait, et de proposer lattention du public et de la recherche, une ressource
particulirement riche.
La base avait t anonymise selon un procd de pseudonymisation : chaque identifiant
(nom dutilisateur sous AOL, adresse IP) avait t remplac par un nombre choisi
alatoirement. Ainsi les chercheurs conservaient la possibilit dattribuer une mme
personne lensemble des recherches quelle avait effectues, sans que son identit leur soit
connue.
Loprateur a cependant nglig que lhistorique de recherche dun individu (cest--dire
lensemble des recherches internet quil a effectues pendant une priode donne) est trs
identifiant : ainsi certains internautes vrifient-ils intervalle rgulier ce qui est publi sur
leur compte, en effectuant une recherche sur leur nom. De la mme manire, beaucoup de
recherches portent sur des services offerts proximit, ce qui permet, par recoupement,
dapprocher ladresse possible de lintress. Les choix de recherche fournissent aussi des
informations sur lge, la profession, les gots ou prfrences dune personne : tous
lments indirectement identifiants.
Le rsultat de cette opration est que certains internautes furent rellement identifis2.

Dune manire gnrale, il suffit de peu de donnes et des donnes


anodines en apparence pour que lempreinte laisse par celles-ci permette
didentifier une personne parmi dautres, ce qui permet de la retrouver dans
la base en dpit de son anonymisation et donc davoir accs, ensuite, tous
son dossier. Ainsi le rapport de Pierre-Louis Bras et Andr Loth sur la
gouvernance et lutilisation des donnes de sant, rappelle que 89 % des
patients ayant connu un sjour lhpital en 2008 sont identifiables si lon
connat les informations suivantes, relativement aise retrouver : lhpital
1 titre dexemple, une tude amricaine a montr que 97 % des lecteurs de la ville de Cambridge
dans le Massachusetts pouvaient tre identifis par le seul croisement de leur date de naissance et
des neuf chiffres du code postal correspondant leur adresse (Latanya Sweeney (1997), Weaving
technology and policy together to maintain confidentiality , Journal of Law, Medicine and
Ethics, 25, p. 98-110, cit par Kieron OHara (2011), Transparent Government, not Transparent
Citizens : A Report on Privacy and Transparency for the Cabinet Office, disponible ladresse
suivante :
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/61279/transparencyand-privacy-review-annex-a.pdf).
2 Kieron OHara (2011), Transparent Government, not Transparent Citizens: A Report on
Privacy and Transparency for the Cabinet Office, prc., p. 39.

- 48 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

daccueil, le code postal du domicile, le mois et lanne de naissance, le sexe,


le mois de sortie et la dure du sjour1. Ce chiffre atteint 100 % pour les
patients hospitaliss deux fois la mme anne2. La robustesse des oprations
danonymisation auxquelles sont soumis le systme national dinformation
inter-rgimes de lassurance maladie (SNIIRAM) et le programme de
mdicalisation des systmes dinformation (PMSI), qui rassemblent les
donnes de sant de nos concitoyens, ny change rien : la richesse des
informations contenues dans ces bases rend le risque de r-identification trs
important, ce qui justifie les mesures de restriction daccs aujourdhui mises
en uvre.
La r-identification par croisement dinformations qui subsistent
dans la base, aprs anonymisation, se trouve dailleurs grandement facilite
par le recours dautres jeux de donnes publis, qui peuvent rendre
identifiant des liens entre plusieurs donnes qui jusqualors ne paraissaient
pas permettre de caractriser une personne. Ce procd a permis la ridentification de nombre des clients de lentreprise amricaine de diffusion
de DVD en ligne, Netflix, partir de la base de donnes pourtant
anonymise quelle avait diffuse en ligne (cf. encadr ci-dessous).
Une seconde faille de confidentialit dans une dmarche dopen data :
lexemple de Netflix
Lentreprise amricaine Netflix offre un service de location en ligne de DVD et permet
ensuite ses utilisateurs de noter ou de recommander les films quils ont visionns. Ces
apprciations lui donnent la possibilit de mieux cerner les gots de ses clients et de leurs
proposer, ce faisant, des films susceptibles de leur plaire.
Souhaitant affiner ses programmes danalyse des prfrences de ses utilisateurs, lentreprise
a publi en ligne, les recommandations de 500 000 dentre eux, afin que des programmeurs
indpendants dveloppent des applications plus performantes que le logiciel utilis par
lentreprise pour proposer ses clients des films conformes leurs gots. Un prix dun
million de dollars tait en jeu.
Lentreprise avait pris le soin danonymiser les donnes directement identifiantes et de
modifier lgrement les autres. Deux informaticiens, Arvind Narayanan et Vitaly
Shmatikov, sont toutefois parvenus percer cette anonymisation et r-identifier plusieurs
profils dutilisateurs.

Ainsi, il suffirait, pour retrouver dans la base le dossier dune personnalit, de savoir quelles
dates elle a t hospitalise et o (les autres informations domicile, ge et sexe, tant trs facile
connatre), pour identifier le pseudonyme qui lui a t attribu et avoir potentiellement accs
lensemble de ses informations mdicales.
2 Pierre-Louis Bras, Andr Loth, Rapport sur la gouvernance et lutilisation des donnes de
sant, remis la ministre des affaires sociales et de la sant, septembre 2013, p. 27. Le rapport est
consultable ladresse suivante : http://www.drees.sante.gouv.fr/rapport-sur-la-gouvernance-et-lutilisation-des-donnees-de,11202.html.
1

II. - UNE PROTECTION TOUTEFOIS FRAGILISE

- 49 -

PAR UNE DOUBLE FAILLE

En effet, ils se sont aperus que la seule information donne par le croisement entre
lapprciation porte sur trois films, et la date laquelle ils ont t lous, tait suffisante
pour retrouver lauteur de ces apprciations, sil avait fait tat dapprciations identiques
aux mmes dates, sur un autre site ou dans un forum de discussion dans lequel il
apparaissait sous sa vritable identit. Lidentification pouvait mme tre accomplie avec
moins dinformations si le film en question tait relativement rare1.

Mme la technique dite de lagrgation ne garantit pas contre cette


r-identification, si le degr dagrgation choisi est mal calibr.
Comme M. Michel Isnard la indiqu vos rapporteurs, lINSEE,
dont le travail est pourtant souvent exemplaire du point de vue de la
protection des donnes personnelles, a t, au dbut de lanne 2013,
lorigine dune fuite sur limposition de certains contribuables. En effet,
recourant la technique du carroyage , linstitut a divis la France en
carrs de 200 mtres de ct, en associant ces carreaux limposition
moyenne des habitants concerns. Ces donnes furent publies sur internet,
dans le cadre dune dmarche dopen data. Il sest cependant avr que
certains carrs, situs dans des territoires peu peupls, ne comptaient quun
seul foyer fiscal, dont il tait ais, ensuite, de retrouver ladresse et donc
lidentit. Linstitut a depuis revu sa mthodologie2.
2. Des risques jusqu prsent limits, mais des consquences
susceptibles dtre graves pour les personnes concernes comme
pour ladministration
Dans un contexte de diffusion exponentielle de donnes de tous
ordres, publiques ou prives, sur tous les objets possibles, ce quon dsigne
parfois du terme de big data , les techniques de recoupement
dinformations constituent un moyen trs efficace pour percer lanonymat
des bases de donnes.
Ce risque de r-identification nest pas nul. Vos rapporteurs
constatent cependant, qu ce jour, les dispositifs danonymisation utiliss
ont t suffisamment robustes pour viter toute diffusion accidentelle de
donnes personnelles. En dehors des quelques cas prcits, les personnes
entendues au cours des auditions nont pas fait tat dautres exemples de ridentification avre de donnes publies.

Arvind Narayanan et Vitaly Shmatikov (2008), Robust de-anonymisation of large sparse


datasets , Proceedings of the 2008 IEEE Symposium on Security and Privacy, p. 11-125, cit
par Kieron OHara, prc., p. 40-42.
2 Cf. http://www.insee.fr/fr/themes/detail.asp?reg_id=0&ref_id=donnees-carroyees&page=donneesdetaillees/donnees-carroyees/donnees_carroyees_diffusion.htm.
1

- 50 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Force est de reconnatre, toutefois, que limmense majorit des jeux


de donnes mis en ligne porte sur des informations impersonnelles, pour
lesquelles le risque de r-identification ne se pose pas. Nous sommes
cependant au commencement de lopen data : le mouvement doit prendre de
lampleur et le nombre de bases anonymises devrait progresser
sensiblement, augmentant dautant les situations dans lesquelles une fuite
dinformation personnelle pourrait survenir.
En outre, la probabilit dune telle fuite doit tre croise avec sa
gravit, pour dcider sil convient ou non, comme le pensent vos
rapporteurs, de mettre en uvre de manire plus systmatique les moyens
de la prvenir.
Or, la gravit de latteinte porte aux intresss dpend de deux
lments : dune part de la nature des informations en cause, dautre part de
la porte de la diffusion accidentelle.
Incontestablement certaines donnes sont plus sensibles que
dautres, comme celles relatives ltat de sant, la vie familiale, aux
affaires judiciaires ou au patrimoine. Les fichiers concerns (tat civil, base
de donnes de sant, fichier fiscal, casier judiciaire ou base de dcisions de
justice) font dailleurs lobjet de prcautions particulires.
La gravit de latteinte porte la vie prive des victimes est aussi
fonction de ltendue de la fuite, qui dpend elle-mme du mode de
publication retenue par ladministration : dans son principe, lopen data
commande une publication qui autorise le tlchargement de la base de
donnes et son appropriation par tous ceux qui le souhaitent. Or, moins de
ne stre jamais dessaisie des donnes et den avoir toujours gard le
contrle, ladministration ne sera pas en mesure de contenir la fuite et de
rapatrier les bases compromises : la fuite sera irrmdiable.
la gravit des consquences dune r-identification pour les
victimes rpond celle des consquences pour ladministration elle-mme.
En principe, la r-identification procdant dun recoupement
dinformations, et donc, dun traitement de la base de donnes, la
responsabilit de latteinte ainsi porte la vie prive dun administr
devrait incomber celui qui y a procd volontairement.
Toutefois, on ne peut exclure, comme la relev M. le professeur
Gilles Gugliemi lors de son audition par vos rapporteurs, que la
responsabilit de ladministration soit engage raison des ngligences
graves quelle aurait commises et qui auraient favoris la diffusion
dinformations personnelles, comme elle peut ltre chaque fois quelle
divulgue elle-mme une information couverte par le secret administratif ou
non communicable parce quelle porte atteinte la vie prive dun
administr ou dun fonctionnaire1.
Sur ce point cf. en particulier, Maryse Deguergue, Promesses, renseignements, retards , in
Rpertoire de la responsabilit de la puissance publique, Dalloz.
1

II. - UNE PROTECTION TOUTEFOIS FRAGILISE

- 51 -

PAR UNE DOUBLE FAILLE

B. SECONDE FAILLE : DES ADMINISTRATIONS PARFOIS DMUNIES


FACE AU DFI DE LOUVERTURE DES BASES DE DONNES

Mme si, travers Etalab et le secrtariat gnral la modernisation


de laction publique (SGMAP), les gouvernements rcents ont donn une
forte impulsion en faveur de louverture des donnes publiques, la conduite
decette politique dopen data relve de chaque administration, pour ce qui
concerne ces propres donnes.
Or, faute dun pilotage ou dun accompagnement suffisant,
beaucoup se trouvent dmunies face au dfi que cela reprsente pour elles,
sagissant de la protection des donnes personnelles des administrs.
1. La ncessit, pour les administrations, de sadapter la
nouvelle donne de lopen data
Pour les administrations, louverture de bases de donnes tablies
partir dinformations personnelles reprsente un double changement.
Il sagit dabord dun changement dusage, comme la soulign le
prsident du conseil dorientation de ldition publique et de linformation
administrative (COEPIA), M. Michel Pinault, lors de son audition. Une base
de donnes conue lorigine pour une fin strictement gestionnaire doit tre
adapte ou reconvertie, afin de pouvoir la publier en ligne. Or, la faon dont
cette base a t conue lorigine est susceptible de rendre cette reconversion
particulirement difficile.
Ce premier changement se double dun changement dapproche.
Jusqu prsent, sauf exception1, la faon dont ladministration prservait le
secret sur les informations personnelles contenues dans ses bases de donnes
tait den contrler la diffusion. Cette diffusion, dans le respect de la vie
prive des administrs, devenant la rgle avec lopen data, ladministration
doit sefforcer de garantir la correcte anonymisation de la base de donnes,
ce qui suppose dune part de dvelopper une comptence technique
diffrente, et, dautre part, de mobiliser des moyens humains ou financiers
supplmentaires.
Lassistance quelles peuvent recevoir pour faire face ce double
changement est donc cruciale. Or, vos rapporteurs ne peuvent que dresser le
constat, cet gard, dun dfaut de pilotage et daccompagnement.

Certaines bases de donnes particulirement sensibles, comme le SNIIRAM, sont anonymises ds


lorigine, indpendamment de toute possibilit de diffusion. Ainsi le numro de scurit sociale de
bnficiaires est systmatiquement cod.
1

- 52 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

2. Un dfaut de pilotage et daccompagnement pour garantir la


protection des donnes personnelles
Sattachant uniquement la question de la protection de la vie
prive, la mission dinformation na envisag le pilotage mis en place par le
Gouvernement en matire dopen data, que sous cet angle. Or, force est de
constater quen dpit de quelques initiatives bienvenues, celui-ci fait dfaut
et laisse certaines administrations plus dmunies que dautres face
lampleur de la tche qui leur incombe.
a) Etalab : un rle dimpulsion plus que de direction
Structure lgre, comptant, comme on la vu, peine une dizaine de
collaborateurs, Etalab joue un rle dimpulsion, comme son directeur,
M. Henri Verdier, la prcis vos rapporteurs lors de son audition : elle
laisse les ministres libres de dcider de la stratgie douverture des donnes
quils souhaitent mettre en place.
Etalab change avec les administrations, en particulier grce un
rseau de correspondants appartenant aux secrtariats gnraux des
principaux ministres, mais elle ne parat pas en mesure de leur assurer une
assistance technique, notamment en matire danonymisation, au-del de
quelques recommandations gnrales.
Il nentre pas non plus dans ses attributions de surveiller les jeux de
donnes mis en ligne et de contrler quils ne prsentent pas de risque vis-vis de la vie prive. Dailleurs Etalab ne procde pas un contrle a priori des
jeux de donnes qui lui sont transmis pour publication sur son site internet
data.gouv.fr, limitant sa fonction celle dun hbergeur plutt quun diteur
de contenus.
Ni instance de contrle, ni instance de pilotage, Etalab se cantonne
donc un rle danimation, laissant aux administrations la charge de
conduire elles-mmes louverture de leurs donnes.
b) Des administrations qui
daccompagnement suffisant

sorganisent

empiriquement,

faute

Quelques initiatives ont t lances pour aider les administrations


sassurer que les donnes quelles envisageaient de publier ne posaient pas
de problme vis--vis de la protection de la vie prive des administrs. Elles
demeurent cependant isoles ou limites.
Ponctuellement, la commission nationale de linformatique et des
liberts a publi des recommandations relatives lanonymisation de
certains fichiers. Ainsi, ds le dbut des annes 2000, elle sest penche sur la
question de lanonymisation des dcisions de justice, qui taient publies
sans que le nom des parties soit occult, lexception des dcisions rendues
en matire pnale ou familiale. La recommandation adopte le 23 novembre

II. - UNE PROTECTION TOUTEFOIS FRAGILISE

- 53 -

PAR UNE DOUBLE FAILLE

2001, qui dtaille les lments anonymiser, et prconise de bloquer


lindexation par les moteurs de recherche, fait aujourdhui encore rfrence
auprs des juridictions, des entreprises ou des sites publics qui ditent les
dcisions de justice.
Plus rcemment, le COEPIA a, comme on la vu prcdemment,
rdig un mmento spcialement ddi cette question en juillet 2013. Ce
document qui nest tonnamment pas mentionn sur le site dEtalab
sattache clarifier le droit applicable en la matire et les obligations qui
incombent aux administrations, renvoyant notamment deux guides
pratiques dits par la CNIL les questions plus techniques relatives
lanonymisation. Il sagit l dun outil pertinent qui gagnerait faire lobjet
dune diffusion plus systmatique, notamment auprs des administrations
locales.
linitiative de plusieurs collectivits territoriales, qui staient
engags dans un projet dopen data, une association, Open Data France, a t
cre pour favoriser les changes dexprience et la diffusion des bonnes
pratiques. Lors de leur audition, les reprsentantes de cette association,
Mmes Erwane Monthubert et Sandrine Mathon, ont toutefois indiqu que si
un groupe de travail sur les enjeux relatifs aux donnes personnelles avait
t constitu en son sein, cette rflexion ne faisait que commencer, ces
donnes ne constituant selon elles quune minorit des donnes dtenues par
les collectivits territoriales.
Utiles aux administrations, de telles initiatives demeurent cependant
circonscrites et ne lvent pas toutes les difficults que ces administrations
peuvent rencontrer.
Vos rapporteurs constatent cet gard un manque de cohrence
dans les approches des diffrents ministres ou collectivits territoriales.
Certains paraissent mieux arms que dautres pour faire face aux
enjeux de lanonymisation. Ainsi, comme la soulign M. Michel Isnard, chef
de lunit affaires juridiques et contentieuses de linstitut national de la
statistique et des tudes conomiques (INSEE), les ministres dots dun
service statistique sont plus familiers des techniques employes par lINSEE
pour garantir le respect du secret statistique et permettre la diffusion de
vastes jeux de donnes.
De la mme manire, certaines administrations, comme celles des
finances ou des affaires sociales, habitues protger le secret fiscal ou le
secret mdical, ont une attention plus vigilante la protection des donnes
personnelles, ainsi quune comptence particulire en la matire.

- 54 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Les lacunes du rseau des correspondants informatiques et liberts


ou des personnes responsables de laccs aux documents
administratifs (PRADA)2, constituent une autre source dingalit entre les
administrations, puisque les premiers comme les seconds pourraient
utilement les accompagner dans leurs dmarches dopen data.
(CIL)1

Un exemple prsent la fois par M. Simon Chignard et les


reprsentantes dOpen Data France, Mmes Erwane Monthubert et Sandrine
Mathon, illustre bien le dfaut daccompagnement auquel sont confrontes
les collectivits et les administrations, et lincertitude qui sensuit pour la
protection des donnes personnelles.
De nombreuses communes publient sur leur site internet la liste, par
anne, des prnoms des enfants ns sur leur territoire. Cette liste est trs
incomplte, puisque ny figurent, par prcaution, que les prnoms attribus
plus de cinq fois dans lanne. Toutes les communes respectent cette mme
rgle, estimant quil sagit dune prescription de lINSEE. Or, il nen est rien,
mme si linstitut conseille en cas de risque didentification de ne diffuser
que les donnes qui prsentent un nombre suffisant doccurrences.
La rgle suivie parat donc arbitraire. En outre, sa lgitimit, en
lespce, pourrait tre discute, puisque lidentification prcise des intresss
supposerait quon possde dj linformation sur leur nom complet, leur
anne et leur commune de naissance, ce qui reviendrait disposer de plus
dinformations quon ne pourrait en apprendre par cette liste.

Au cours de son audition, M. Paul-Olivier Gibert, prsident de lassociation franaise des


correspondants la protection des donnes caractre personnel (AFCDP) a regrett le retard des
administrations franaises en matire de dsignation de CIL.
2 Le rapport dactivit de la CADA pour 2012 recense 1 598 PRADA en 2013. Sil se flicite de
compter un correspondant dans tous les grands ministres et les agglomrations les plus
importantes, il juge en revanche la situation insatisfaisante dans les moyennes agglomrations.
1

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN LASSORTISSANT DE

- 55 -

GARANTIES PLUS SOLIDES POUR LA PROTECTION DES DONNES PERSONNELLES

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA,


EN LASSORTISSANT DE GARANTIES PLUS SOLIDES POUR
LA PROTECTION DES DONNES PERSONNELLES
Des travaux et des auditions quils ont conduits, vos rapporteurs
retiennent le constat dune situation paradoxale.
Le cadre juridique de lopen data est relativement protecteur. Les
premires donnes diffuses ce stade ne paraissent pas, de rares
exceptions, prsenter de danger pour la vie prive de nos concitoyens.
Pourtant, dans le mme temps, le risque dune r-identification des
donnes publies existe et se trouve aggrav par la profusion de jeux de
donnes mis en ligne par ladministration comme par les personnes prives
elles-mmes. La faon dont ltat et les collectivits territoriales conduisent
louverture de leurs donnes devrait pouvoir dissiper les inquitudes. Il nen
est rien : le sentiment prdomine dun dfaut de pilotage ou
daccompagnement qui laisse parfois les administrations dmunies face
une tche nouvelle quelles ne matrisent pas toujours.
Ces failles ne remettent pas en cause la pertinence de louverture des
donnes publiques, mais la faon dont elle est conduite. Vos rapporteurs
sont convaincus que les rponses qui y seront apportes devraient permettre
de franchir une nouvelle tape dans le dploiement de lopen data (A), ce qui
suppose de concevoir, en la matire, une doctrine de protection des donnes
personnelles (B), ainsi quune nouvelle gouvernance (C).
A. ACCLRER LE DPLOIEMENT DUN OPEN DATA RESPECTUEUX DE
LA PROTECTION DES DONNES PERSONNELLES

plusieurs reprises au cours des auditions, des personnes


entendues ont exprim leur crainte que la rflexion engage par la mission
dinformation ne soit quun prtexte pour freiner le mouvement douverture
des donnes publiques.
Vos rapporteurs y voient au contraire une opportunit de pousser
plus loin ce mouvement.
En effet, ils observent, en premier lieu, que si le droit franais
connat, comme on la vu prcdemment, trois concepts qui sapprochent de
lopen data, la communication des documents administratifs, la diffusion
publique et la rutilisation, il ne prvoit pas, proprement parler,
dobligation pour les administrations de mettre en ligne une base de
donnes.

- 56 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Une seule obligation pse sur ltat et les collectivits territoriales :


remettre celui qui le demande le document quil souhaite, sil appartient
ceux qui peuvent lui tre communiqus. Cette obligation saccompagne
dune autorisation faite tout un chacun de rutiliser, sous quelques
exceptions, les informations publiques correspondant aux documents
communicables ou celles qui ont fait lobjet dune diffusion publique.
Dans ce cadre, les informations personnelles apparaissent comme
une limite, qui interdit, sauf consentement de lintress, fondement lgal ou
anonymisation, la communication ou la rutilisation.
Vos rapporteurs constatent, en second lieu, que plusieurs des
personnes quils ont entendues, ont dfendu lintrt qui sattacherait la
mise en ligne plus systmatique par ladministration des documents ou des
jeux de donnes qui lui sont demands.
M. Serge Dal, prsident de la CADA, a ainsi soulign que cette mise
en ligne rglait par dfinition la question de la communication individuelle
du document en cause.
Les reprsentants des associations de rutilisateurs des donnes
publiques, comme ceux des entreprises prives ont partag cette analyse,
saluant lavance que constitue la cration dEtalab, mais appelant
poursuivre encore ce mouvement.
M. Jean-Baptiste Soufron, secrtaire gnral du conseil national du
numrique a jug souhaitable de consacrer une obligation, pour les
administrations, de mettre en ligne lensemble de leurs jeux de donnes,
proposant quelles puissent saisir la CADA pour tre autorises ne pas le
faire pour certains fichiers.
Sans retenir cette dernire option, qui prsenterait linconvnient de
submerger la CADA de demandes de drogations nombreuses, et priverait
les autorits administratives de la responsabilit qui est la leur dassurer la
protection des donnes personnelles contenues dans leurs fichiers, vos
rapporteurs saccordent sur lintrt dimposer une obligation de mise en
ligne sous condition, respectueuse de la vie prive des administrs.
Ils proposent donc de poser le principe que ladministration est
tenue de mettre en ligne progressivement toutes les jeux de donnes quelle
dtient en les anonymisant si ncessaire , qui seraient soit dj publis sur
un autre support, soit susceptibles dtre communiqus tout citoyen sil en
fait la demande.
Le champ des informations ainsi publiables serait donc identique
celui couvert par la lgislation CADA. Il exclurait donc les informations
personnelles, qui devraient tre occultes, ou certaines informations
couvertes par le secret, mais inclurait lensemble des documents qui font
lobjet dune diffusion publique, ou ceux dont la communication est prvue
par la loi.

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN LASSORTISSANT DE

- 57 -

GARANTIES PLUS SOLIDES POUR LA PROTECTION DES DONNES PERSONNELLES

Le rgime de rutilisation de ces donnes ne serait pas modifi par


rapport au droit actuel.
Lavantage dune telle obligation serait de contraindre les
administrations envisager lanonymisation, des fins de publications,
des bases de donnes quelles dtiennent.
Cependant, afin de tenir compte des contraintes lgitimes de gestion
que connaissent les administrations ainsi que des risques avrs de ridentification des informations publies, trois tempraments seraient
apports cette obligation.
Le premier serait le temps laiss ladministration pour procder
progressivement cette mise en ligne (cf. recommandation n 2).
Le second serait la possibilit qui lui serait reconnue de sopposer
la mise en ligne en raison de son cot draisonnable ou des graves difficults
de gestion quelle serait susceptible doccasionner. Il pourrait sagir dune
impossibilit de garantir la mise jour en temps rel des informations
publies, ou du cot disproportionn de son anonymisation, compte tenu de
la modicit du bnfice social attendu.
Enfin, dernier temprament, ce pouvoir dopposition pourrait aussi
tre mis en uvre si, en dpit des mesures danonymisation, un risque de ridentification trop important persiste.

Recommandation n 1
Poser le principe que ladministration est tenue de mettre en ligne
progressivement, en les anonymisant si ncessaire, toutes les bases de
donnes quelle dtient et qui seraient susceptibles dtre communiques
un citoyen sil en fait la demande ou qui font lobjet dune diffusion
publique sur un autre support
Ladministration ne pourrait sy opposer quen raison des cots
draisonnables de gestion que cette mise en ligne imposerait (notamment
les cots danonymisation ventuelle), ou du risque avr, quen dpit des
prcautions prises, des informations personnelles puissent tre ridentifies

La mise en uvre de cette obligation exigera du temps, puisquil


faudra, le cas chant, reconfigurer ou adapter certaines bases de donnes
les nouvelles pourront, elles, tre conues, ds lorigine, dans cette
perspective dune diffusion en ligne. Vos rapporteurs jugent par consquent
ncessaire de poser le principe dune phase transitoire pendant laquelle les
administrations se conformeront progressivement cette nouvelle
obligation.

- 58 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Pour tre utile, cette phase transitoire doit tre organise : chaque
service doit procder, de manire plus systmatique quaujourdhui, la
recension des bases de donnes quil dtient. La mise en ligne des jeux de
donnes susceptibles de ltre doit tre programme, en tenant notamment
compte du temps ncessaire leur anonymisation ventuelle.
Ce chantier conduit par les administrations doit tre plac sous la
vigilance des citoyens : sauf exception, lies par exemple des impratifs de
scurit publique, la liste de lensemble des bases de donnes labores ou
dtenues par chaque service doit tre publie sur le site du ministre, de
ltablissement public ou de la collectivit en cause. Pour chaque base,
mention devrait tre porte de la date prvisible laquelle elle sera mise en
ligne, ou, si cette mise en ligne est refuse, de la raison de ce choix. Ainsi les
citoyens pourront plus facilement contester devant la CADA ou le juge
administratif la dcision de ladministration.
Vos rapporteurs relvent cet gard, que dores et dj, larticle 17
de la loi CADA fait obligation aux administrations de tenir la
disposition des usagers un rpertoire des principaux documents dans
lesquelles figurent les informations publiques susceptibles de faire lobjet
dune rutilisation.
Force est toutefois de constater, que peu dadministration respectent
cette rgle et tiennent jour une telle liste sur leur site internet. Etalab a en
principe lanc un vaste mouvement de recension. Il est absolument
ncessaire de le faire aboutir.

Recommandations nos 2 et 3
Afin de permettre aux administrations de satisfaire lobligation
prcdente, mettre en place une phase transitoire, pendant laquelle elles :
- opreraient une recension complte des jeux de donnes quelles
dtiennent et dcideraient de leur mise en ligne ;
- publieraient un calendrier pluriannuel des mises dispositions
programmes
Imposer aux administrations dindiquer, pour chaque jeu de
donnes, en marge du registre publi sur leur site internet les numrant,
sil fera ou non lobjet dune mise en ligne et, dans ce dernier cas, la raison
pour laquelle elles sy opposent

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN LASSORTISSANT DE

- 59 -

GARANTIES PLUS SOLIDES POUR LA PROTECTION DES DONNES PERSONNELLES

Enfin, cette nouvelle impulsion en faveur dun open data respectueux


de la vie prive doit aussi conduire, selon vos rapporteurs, sinterroger sur
lopportunit dtendre prudemment les cas prvus par la loi dans lesquels
la diffusion et la rutilisation de bases de donnes contenant des
informations personnelles peuvent tre autorises, compte tenu de lintrt
gnral qui sattache une telle diffusion.
En effet, dans certains cas, lexigence de transparence, ou la relative
innocuit dune rutilisation de donnes qui font dj lobjet dune
publication, pourraient justifier une exception linterdiction de principe de
diffusion, avec libre rutilisation, de donnes personnelles.
Chaque situation appelle un examen particulier, et vos rapporteurs
se sont abstenus de trancher. Mais plusieurs cas qui leur ont t soumis au
cours des auditions leur semblent mriter lattention.
Il en va ainsi de linterdiction de rutilisation qui frappe le fichier
recensant, pour chaque mdecin, les avantages quil a reu dun laboratoire
pharmaceutique.
Ce fichier a t instaur par un dcret du 21 mai 20131,
conformment larticle 2 de la loi du 29 dcembre 2011 relative au
renforcement de la scurit sanitaire du mdicament et des produits de
sant. Il devrait permettre un internaute se connectant sur le site de
lassurance maladie, dinterroger la base de donnes pour savoir quels
avantages tel professionnel de sant a reu de telle entreprise. En revanche,
les donnes, considres comme personnelles, ne seraient pas rutilisables.
De la mme manire, la CADA sest oppose la rutilisation des
tarifs dclars par les mdecins, qui sont pourtant disponibles et consultables
eux aussi sur le site de lassurance maladie2.
Dans un cas comme dans lautre, de solides arguments tayent le
refus de rutilisation : risque dopposition la collecte des renseignements
de la part des intresss, mise en jeu de leur vie prive. Il est toutefois
ncessaire, sur ces sujets, comme sur dautres, que les administrations
prennent le temps de reconsidrer leur poids par rapport lexigence dune
plus grande transparence.

Recommandation n 4
Le cas chant, examiner lopportunit dtendre les cas, dfinis
par la loi, dans lesquels, compte tenu de lintrt gnral qui sy attache,
des jeux de donnes incluant des donnes personnelles peuvent, par
exception, tre diffuss en ligne et ouverts aux rutilisations
Dcret n 2013-414 du 21 mai 2013 relatif la transparence des avantages accords par les
entreprises produisant ou commercialisant des produits finalit sanitaire et cosmtique destins
lhomme.
2 Avis CADA, n 20121581 du 19 avril 2012, Directeur de la CNAMTS.
1

- 60 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

B. METTRE EN UVRE UNE DOCTRINE DE PROTECTION DES DONNES


PERSONNELLES

Pour vos rapporteurs, cette nouvelle impulsion donne lopen data


est consubstantielle dune meilleure prise en compte des dangers qui
menacent les donnes prives. Pour prvenir ceux-ci et remdier aux
faiblesses de la situation actuelle, une vritable doctrine de protection des
donnes personnelles doit tre mise en uvre.
Cette doctrine se dcline en quatre points.
1. Anticiper et valuer
Les experts entendus par vos rapporteurs saccordent sur un point :
la protection la plus efficiente est celle conue ds lorigine. Les bases de
donnes cres par ladministration devraient ds leur origine garantir le
respect de la vie prive, ce que lon dsigne parfois par lexpression anglaise
de privacy by design . Les bases de lassurance maladie, dj voques
(SNIIRAM et PMSI) ont t penses sur ce modle.
La dmarche
prcaution : il ne faut
lorsquelle est utilise
donnes personnelles,
partie.

dopen data impose cependant dadapter cette


plus seulement assurer la confidentialit de la base
par ladministration, il faut aussi garantir celle des
si cette base devait tre mise en ligne en tout ou

Dun point de vue pratique, il convient donc dune part, danticiper


ses modalits danonymisation ventuelle et concevoir la structure de la base
pour faciliter cette anonymisation, et, dautre part, de veiller ce que les jeux
de donnes publis puissent tre tracs, comme la recommand la
reprsentante de lassociation pour la diffusion de linformatique juridique,
Mme Nathalie Metallinos, afin de suivre les msusages qui pourraient en
tre faits.

Recommandation n 5
Prvoir, ds la conception de la base, dans la perspective de sa
possible ouverture :
- les modalits de son anonymisation ventuelle ;
- le cas chant, le marquage des jeux de donnes afin dtre en
mesure de suivre les rutilisations ventuelles et dnoncer les msusages

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN LASSORTISSANT DE

- 61 -

GARANTIES PLUS SOLIDES POUR LA PROTECTION DES DONNES PERSONNELLES

De telles prcautions ne sont pas une assurance contre toute menace


sur les donnes personnelles. Conformment lexception apporte au
principe de lopen data, il est ncessaire dvaluer le risque sur les donnes
personnelles, en cas de mise en ligne, pour dcider de sy opposer ou non.
Il sagit dune dmarche habituelle, promue notamment par la CNIL
dans ses guides pratiques1. Elle est au cur de la stratgie mise en uvre par
lInformation Commissioners Office (ICO) quivalent britannique de la CNIL
et de la CADA runies2.
Elle consiste sinterroger pralablement louverture de la base sur
les risques de r-identification ou de fuites de donnes personnelles, ainsi
que sur leurs consquences, et dterminer sil est souhaitable ou non de
procder cette ouverture. Cette analyse est effectue par ladministration
concerne, qui peut la reconduire intervalles rguliers, pour tenir
notamment compte des nouvelles possibilits de r-identification.

Recommandation n 6
Procder, pralablement tout examen de lopportunit douvrir
une base de donnes, ainsi, le cas chant, qu intervalles rguliers, une
analyse du risque de r-identification et des consquences possibles dune
telle r-identification

2. Adapter la diffusion en fonction du risque


Lanalyse du risque doit aboutir une dcision. Cependant, il faut
viter denfermer celle-ci dans un schma binaire de refus complet ou
dacceptation totale.
En effet, le bnfice pour la socit dune ouverture du jeu de
donnes peut ne pas tre ngligeable. cet gard, vos rapporteurs
considrent que, mme sil ne sagit plus proprement parler dopen data,
puisquun contrle sexerce alors sur le rutilisateur et la finalit de sa
rutilisation, des procdures daccs restreint certaines donnes sensibles
participent du mme mouvement, puisquelles permettent den tirer un
bnfice social.

Cf. CNIL, Guide : Grer les risques sur les liberts et la vie prive, disponible ladresse
suivante :
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNILguide_Securite_avance_Methode.pdf.
2 Sur cette stratgie, cf. le guide pratique de lICO, Anonymisation : managing data protection risk
code of pratice, disponible ladresse suivante :
http://ico.org.uk/~/media/documents/library/Data_Protection/Practical_application/anonymisationcodev2.pdf.
1

- 62 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

La France dispose dores et dj, avec laccs aux donnes


statistiques, contrl par le conseil national de linformation statistique et
son comit du secret statistique ou laccs aux donnes de sant de plusieurs
modles solides daccs restreint, qui ont fait leurs preuves (cf. encadr)1. Ces
modles voluent actuellement dans le sens dune ouverture plus grande,
mais toujours matrise.
De telles solutions peuvent utilement inspirer le lgislateur ou les
administrations, pour dfinir un continuum de modalits daccs aux
informations dtenues par les administrations, afin dadapter la diffusion au
risque pesant sur les donnes personnelles.

Recommandations n 7 et 8
En cas de risque avr sur les donnes personnelles, impossible
liminer par des procds danonymisation, refuser louverture des
donnes ou, si le bnfice social attendu de cette ouverture est jug trop
important, procder une ouverture restreinte de cette base
Concevoir cette fin un continuum de solutions daccs aux
donnes, allant de lopen data, jusquaux modes daccs les plus slectifs

Deux exemples daccs restreint des donnes sensibles


Laccs aux donnes de sant enregistres dans le SNIIRAM (systme dinformation interrgime de lassurance maladie)
La rglementation en vigueur distingue deux types daccs cette base de donnes, lun
permanent, lautre ponctuel.
Laccs permanent est rgi principalement par un arrt du ministre charg de la scurit
sociale, pris aprs avis motiv de la CNIL, qui dsigne les organismes ou administration
bnficiaire dun tel accs.
Ltendue de cet accs varie en fonction de la nature de lentit concerne. Ainsi, seuls les
organismes gestionnaires de lassurance maladie (rgimes de base dassurance maladie,
caisse nationale de solidarit pour lautonomie) et les agences publiques exerant une
mission de veille dans le domaine de la sant (institut de veille sanitaire, haute autorit de
sant, agence nationale de la scurit du mdicament et des produits de sant, mdecins des
agences rgionales de sant) ont accs la totalit des donnes.
Ont accs aux donnes agrges de la base, ainsi qu un chantillon des bnficiaires, les
services des ministres comptents et ceux des agences rgionales de sant, certaines
agences de sant (agence de la biomdecine, agence technique de linformation sur
lhospitalisation, institut des donnes de sant), des centres de recherches (CNRS, institut
national du cancer, institut national de la sant et de la recherche mdicale), ainsi que des
fdrations professionnelles ou de patients (fdrations hospitalires, union des professions
de sant, collectif interassociatif sur la sant).
Dautres modles existent, comme celui de laccs aux informations fiscales, rcemment tendu par
la modification apporte par la loi n 2013-660 du 22 juillet 2013 relative lenseignement
suprieur et la recherche larticle L. 135 D du livre des procdures fiscales, ou celui de laccs au
fichier national des immatriculations de vhicules (art. L. 330-1 L. 330-5 du code de la route).
1

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN LASSORTISSANT DE

- 63 -

GARANTIES PLUS SOLIDES POUR LA PROTECTION DES DONNES PERSONNELLES

Enfin, ont seulement accs aux donnes agrges, les fdrations professionnelles
rgionales, ou les associations membres des collectifs associatifs prcdemment voqus1
Les accs ponctuels correspondent laccs, limit dans le temps, une sous-base du
SNIIRAM, ou lobtention dune extraction des donnes, des fins de recherche
principalement. Seules les demandes but non lucratif sont recevables.
Selon le cas, lautorisation daccs doit tre valide par linstitut des donnes de sant (accs
temporaire aux donnes agrges ou lchantillon des bnficiaires) ou par cet institut et
la CNIL (extraction de donnes du SNIIRAM). Les demandes sont instruites selon une
procdure complexe qui peut aussi faire intervenir, outre ces deux institutions, le comit
consultatif sur le traitement de linformation en matire de recherche dans le domaine de la
sant ou le conseil national de linformation statistique.
Laccs aux donnes des enqutes de lINSEE
Les fondements de la protection des donnes des enqutes statistiques conduites par
lINSEE ont t poss ds les annes 50, par la loi n 51-711 du 7 juin 1951 sur lobligation,
la coordination et le secret en matire de statistiques, qui a cr, en contrepoint de
lobligation de rpondre aux enqutes statistiques, la garantie du secret sur les informations
ainsi communiques.
Cette loi a institu un comit du secret statistique, plac auprs du conseil national de
linformation statistique, et charg de se prononcer sur toute demande daccs aux donnes
individuelles collectes dans le cadre denqutes de lINSEE, formule par une quipe de
recherche.
Afin de faciliter laccs ces donnes, en conservant le mme degr de protection des
donnes personnelles, lINSEE a mis en place un dispositif technique, le centre daccs
scuris distant aux donnes (CASD), qui permet au service producteur des donnes de
surveiller les oprations effectues sur les donnes, dviter certains croisements ou
extractions de donnes, tout en apportant au chercheur lensemble des lments dont il a
besoin.
Les quipes de recherche ont aussi la possibilit daccder des donnes anonymises, soit
publies directement sur le site de lINSEE sous forme de statistiques agrges, soit
extraites la demande et anonymises, sous condition de licence dusage, interdisant
notamment la rediffusion destination de tiers.

3. Assurer une veille sur la diffusion et les rutilisations des


donnes mises en ligne
Comme on la vu prcdemment, les risques pour la vie prive de
nos concitoyens procdent soit dune r-identification des donnes
personnelles la faveur de certaines rutilisations, soit dun manque de
vigilance des administrations qui, sans le savoir, auraient publi ds lorigine
des informations prives.
La doctrine de protection des donnes personnelles de
ladministration, dans le cadre de lopen data, ne serait donc pas complte, si
elle nincluait pas une veille sur la diffusion et les rutilisations des jeux de
donnes publis.
Pour une liste complte cf. Pierre-Louis Bras, Andr Loth, Rapport sur la gouvernance et
lutilisation des donnes de sant, prc., p. 31-34.
1

- 64 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Certes, ce contrle choit aussi la CNIL, qui peut sanctionner les


rutilisateurs qui cherchent lever lanonymisation des jeux de donnes.
Toutefois, il sera souvent plus expdient que ladministration, avertie de la
fuite, sefforce dy parer.
Vos rapporteurs se sont interrogs sur la faon dont cette veille
devrait sexercer et elle leur a paru pouvoir emprunter deux canaux : le
premier est celui de lalerte citoyenne. Si le site data.gouv.fr permet dj aux
rutilisateurs davertir par mail lhbergeur des donnes de ce quelles
paraissent prsenter un dfaut, tous les sites des administrations, loin de l,
ne prvoient pas une formule aussi commode, pourtant trs habituelle sur
internet. Le procd pourrait donc tre tendu.
Par ailleurs, il conviendrait de tirer parti de ce que les
administrations sont elles-mmes consommatrices des jeux de donnes
quelles diffusent, via, par exemple leur intranet, ce qui leur offre loccasion,
dans leurs tches habituelles de gestion de dceler les ventuels dfauts des
informations publies. Ceci renforce leur capacit de veille.
Cette obligation de veille devrait tre tendue aux jeux de donnes
publis par dautres contributeurs que les administrations, et hbergs sur
un site public, comme celui de data.gouv.fr, qui met en avant cette dmarche
collaborative.
En effet, si la loi pour la confiance dans lconomie numrique1 a mis
en place un rgime de responsabilit limit pour lhbergeur de contenus
dits par un tiers, ce dernier rgime ne concerne que la responsabilit civile
de lhbergeur. Or, les personnes publiques relvent en principe dun rgime
de responsabilit administrative. Il nest donc pas certain que la limitation de
responsabilit prvue par cette loi sapplique elle, dautant plus que
lactivit dhbergeur exerce par la puissance publique dans le cadre de
lopen data pourrait tout fait tre conue comme une activit dintrt
gnral, dans la mesure o il sagit, par ce biais, denrichir le bien commun
des donnes mises disposition. Cette incertitude sur le rgime juridique
applicable ladministration a t confirm vos rapporteurs par les
services de la CNIL. Elle pourrait tre lourde de consquence, puisquun
particulier, victime de la diffusion de donnes personnelles sur un site
public, pourrait ainsi tre autoris poursuivre ladministration responsable
de cette mise en ligne.
Il apparat donc sage dtendre le devoir de surveillance des
administrations aux donnes publies par des tiers sur leur propre site, qui
peuvent parfois dailleurs tre des donnes publiques retraites par leurs
soins.

Article 6 de la loi n 2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique.

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN LASSORTISSANT DE

- 65 -

GARANTIES PLUS SOLIDES POUR LA PROTECTION DES DONNES PERSONNELLES

Recommandations n 9 et 10
Assurer une veille sur la diffusion et les rutilisations des donnes
publiques, en facilitant notamment les procdures par lesquelles un
rutilisateur peut alerter ladministration comptente
Assurer aussi cette veille sur les donnes publies par des tiers sur
les sites publics

En cas de r-identification ou de diffusion accidentelle de donnes


personnelles, ladministration doit y porter remde.
Ceci suppose bien entendu de mettre fin la mise en ligne des
informations compromises. Dautres solutions sont envisageables :
reconfigurer la base de donnes, pour prvoir un degr dagrgation
suprieur ou supprimer la donne lorigine du problme.
Le rapatriement des jeux de donnes compromis se heurte au fait
quune donne ouverte est une donne qui circule et est reprise par dautres.
Toutefois, dans les cas les plus graves, il peut tre du devoir de
ladministration de tenter malgr tout de rapatrier ces donnes ou den
limiter la circulation. Le marquage des jeux de donnes trouve ici son utilit,
comme larchivage, par ladministration, des coordonnes des rutilisateurs
si ceux-ci ont accd au service par un compte ddi ou une adresse mail.
Ladministration peut aussi demander le drfrencement sur les moteurs de
recherches des jeux de donnes compromis, hbergs sur dautres sites que
le sien, ou proposer aux rutilisateurs de leur adresser une nouvelle base non
dfectueuse.
Vos rapporteurs stonnent que cette question importante ne soit pas
traite par le mmento prcit du COEPIA, consacr la protection des
donnes personnelles dans le cadre de lopen data. Ils jugent ainsi ncessaire
que ladministration se penche sur la stratgie de rapatriement ou de
suppression des jeux de donnes compromis quelle pourrait mettre en
uvre, afin de ragir rapidement et efficacement en une telle occurrence.

Recommandation n 11
Prvoir que ladministration dfinisse une stratgie de
rapatriement ou de suppression des jeux de donnes compromis, afin de
remdier rapidement la diffusion accidentelle dinformations
personnelles

- 66 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

4. Renforcer la protection offerte par la licence de rutilisation


Le recours aux licences en matire dopen data vise garantir la libre
rutilisation des donnes dun rutilisateur lautre, ou, dans certains cas
spcifiques, encadrer les conditions de cette rutilisation (redevance,
limitation des droits etc.).
Il semble vos rapporteurs que cet instrument pourrait aussi tre
mobilis pour renforcer la protection des donnes personnelles.
Vos rapporteurs se sont cet gard tonns que la licence ouverte
publie par Etalab, nexclue pas expressment les donnes personnelles de
son champ. Lexpression donnes personnelles nest dailleurs mentionne
qu loccasion de la citation de larticle 10 de la loi CADA , dans un
propos explicatif la fin du contrat de licence.
Mme si cette absence est de peu deffet, puisque les dispositions
lgales simposent en tout tat de cause et quelles excluent la rutilisation de
donnes personnelles, en dehors du cadre fix par la loi Informatique et
liberts , elle tmoigne assurment dun manque de pdagogie. Cette lacune
est dautant plus surprenante que la licence ouverte britannique1, rappelle
expressment que les donnes personnelles sont exclues de son champ
dapplication.
De la mme manire vos rapporteurs jugent pertinent de prciser, au
titre des prohibitions dusage, linterdiction de soumettre le jeu de donnes
utilis un traitement destin permettre la r-identification de personnes
physiques.
Enfin, il leur semble ncessaire dintgrer aux contrats de licence une
clause prvoyant que le service producteur peut suspendre le droit de
rutilisation, supprimer ou demander le rapatriement du jeu de donnes, sil
savre quil prsente un risque pour le respect de la vie prive. Lintrt
dune telle mention serait dviter tout recours contre ladministration, sans
faute lourde, pour le prjudice ventuellement caus au rutilisateur raison
de la suppression de ce jeu dinformations.

Recommandations n 12, 13 et 14
Exclure expressment les donnes personnelles du champ
dapplication de la licence ouverte utilise par les administrations pour la
rutilisation des donnes publiques
Interdire expressment dans le contrat de licence toute
rutilisation abusive qui aboutirait lever lanonymisation des donnes
Intgrer au contrat de licence, une clause de suspension lgitime
du droit de rutilisation, ainsi que de suppression ou de rapatriement des
jeux de donnes compromis lorsquun risque de r-identification est
apparu

Open Government Licence, disponible ladresse suivante :


http://www.nationalarchives.gov.uk/doc/open-government-licence/version/2/.
1

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN LASSORTISSANT DE

- 67 -

GARANTIES PLUS SOLIDES POUR LA PROTECTION DES DONNES PERSONNELLES

C. ADAPTER LA GOUVERNANCE DE LOPEN DATA AUX EXIGENCES DE


LA PROTECTION DES DONNES PERSONNELLES

Les auditions conduites par vos rapporteurs ont mis en vidence le


manque dassistance apporte aux diffrentes administrations nationales et
locales pour assurer de manire satisfaisante la protection des donnes
caractre personnel dans la mise en uvre de lopen data. Un besoin
dinformations et de conseils pratiques sest exprim en matire de
protection des donnes personnelles, auquel seule une gouvernance
structure serait mme de rpondre.
1. Organiser lassistance aux acteurs de lopen data
Vos rapporteurs ont acquis la conviction que la gouvernance
dcentralise, structure en rseau, de la stratgie dopen data telle quelle a
t conduite jusqu prsent tait la plus adapte un mouvement de cette
nature. Il nest en effet pas souhaitable de confier la politique dopen data
un organisme unique qui se substituerait aux producteurs et se chargerait
seul de la mise en ligne des donnes de lensemble des administrations et
tablissements publics de ltat et des collectivits territoriales. Cela
risquerait de dresponsabiliser les producteurs alors mme quil est
indispensable que chacun intgre la logique dopen data non seulement dans
son action, mais galement dans son travail quotidien de recueil et de
traitement des donnes.
En revanche, il apparat indispensable dinstaurer un rfrent
unique mme de rpondre aux diffrentes interrogations et besoins
techniques des producteurs de donnes portant spcifiquement sur la
problmatique de la protection des donnes caractre personnel dans lopen
data. Cest pourquoi vos rapporteurs prconisent que soit institue auprs de
la mission Etalab une structure spcifiquement ddie cette problmatique.

Recommandations n 15 et 16
Mettre en place, auprs de la mission Etalab, une structure ddie
la protection des donnes personnelles et charge dassister les
administrations :
- dans llaboration de ltude dimpact pralable la mise
disposition des donnes ;
- dans lanonymisation ventuelle de la base ;
- dans la mise en place dun mode daccs restreint
Confier cette mme structure un rle de veille sur les
rutilisations abusives au regard de la protection des donnes
personnelles, en la chargeant de recueillir les alertes ventuelles, den
informer la CNIL, et de coordonner, le cas chant, le retrait ou la
reconfiguration de la base de donnes litigieuse

- 68 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Par ailleurs, vos rapporteurs ont pris connaissance avec intrt de la


plateforme britannique UK Anonymisation Network (UKANON). Mise en place
lan pass, cette plateforme, accessible sur internet, a pour objectif de
recenser les bonnes pratiques en matire danonymisation et doffrir conseils
et renseignements toute personne souhaitant traiter et diffuser des donnes
personnelles aprs anonymisation. Finance par lInformation Commissioners
Office (ICO), cette initiative est coordonne par un consortium runissant
lUniversit de Manchester, lUniversit de Southampton, lOpen Data
Institute (ODI) et lOffice for National Statistics, homologue de lINSEE.
Comme nombre de personnes entendues lors des auditions le
faisaient remarquer vos rapporteurs, la France dispose actuellement de
diffrents organismes dont lexprience en matire danonymisation des
donnes personnelles pourrait tre non seulement mutualise, mais
galement mise disposition de tous afin de scuriser la diffusion de
donnes publiques issues de donnes personnelles. Une initiative similaire
UKANON pourrait tre conduite sous lgide de la CNIL et avec le concours
de la CADA et de la mission Etalab, des oprateurs publics spcialiss
comme lINSEE, ainsi que de laboratoires de recherche tels ceux de lINRIA.
Cela permettrait de faire se rencontrer les approches juridique et technique
afin de mettre disposition des usagers tant des recommandations dusage
que des solutions techniques.

Recommandation n 17
Rassembler et diffuser les bonnes pratiques et les
recommandations en matire de protection des donnes personnelles dans
lopen data

Les correspondants Informatique et liberts (CIL) prsents au sein


des administrations et tablissements publics et les quelques 1 600 PRADA
peuvent par ailleurs constituer des relais efficaces pour faire pntrer au sein
des administrations les problmatiques de protection des donnes caractre
personnel. Ils prsentent en effet lavantage dassurer un contrle de
proximit des traitements de donnes.
Confier de nouvelles missions aux CIL dans le cadre de lopen data
conduit cependant poser de nouveau la question du renforcement de leur
statut. cet gard, vos rapporteurs souhaitent rappeler les travaux sur ce
sujet du groupe de travail de votre commission1 qui a dbouch sur
ladoption par le Snat, le 23 mars 2010, de la proposition de loi de nos
La vie prive lheure des mmoires numriques. Pour une confiance renforce entre
citoyens et socit de linformation, rapport dinformation n 441, (2008-2009), de M. Yves
Dtraigne et Mme Anne-Marie Escoffier, fait au nom de la commission des lois (disponible
ladresse suivante : http://www.senat.fr/notice-rapport/2008/r08-441-notice.html).
1

III. - POURSUIVRE LE DVELOPPEMENT DE LOPEN DATA, EN LASSORTISSANT DE

- 69 -

GARANTIES PLUS SOLIDES POUR LA PROTECTION DES DONNES PERSONNELLES

collgues Anne-Marie Escoffier et Yves Dtraigne. Cette proposition contient


en particulier des dispositions visant rendre obligatoire la dsignation dun
CIL dans toutes les structures dans lesquelles plus de cent personnes mettent
en uvre des traitements de donnes personnelles ou y ont directement
accs, ainsi que dans les structures recourant des traitements de donnes
soumis au rgime dautorisation pralable. Elle tend galement prciser le
rle du CIL ainsi que ses liens troits avec la CNIL. Cette proposition de loi
est toujours en instance devant lAssemble nationale.

Recommandation n 18
Investir les CIL et les PRADA dattribution de coordination et de
veille en matire de protection des donnes personnelles dans le cadre de
lopen data

2. Garantir le financement des mesures danonymisation


Vos rapporteurs ont pris acte de la dcision du Gouvernement de
raffirmer le principe de gratuit de la rutilisation des donnes publiques,
prise la suite de la remise au Premier ministre du rapport de M. Mohamed
Adnne Trojette sur la lgitimit des exceptions au principe de gratuit dans
le cadre de lopen data1. Ainsi, lors du comit interministriel pour la
modernisation de laction publique du 18 dcembre 2013, le Gouvernement
a-t-il dcid de ne plus autoriser la cration de nouvelle redevance et de
supprimer certaines des redevances existantes.
Vos rapporteurs considrent cependant queu gard limportance
de lenjeu de la protection de la vie prive, il est impratif que ltat assure
lanonymisation de certains jeux de donnes plutt que de renoncer leur
ouverture. Ds lors, ils demandent au Gouvernement de sengager sur le
financement prenne par le budget de ltat des mesures danonymisation
indispensables la mise en ligne de ces jeux de donnes.
Toutefois, conscients du cot de lanonymisation de certains jeux de
donnes dans un contexte de restriction budgtaire, vos rapporteurs
estiment quau regard des bnfices attendus de lopen data par certains
acteurs conomiques, il ne serait pas de bonne gestion de renoncer par
principe au prlvement de redevances visant spcifiquement le financement
de lanonymisation.

Cf. Ouverture des donnes publiques Les exceptions au principe de gratuit sont-elles
toutes lgitimes ?, rapport remis au Premier ministre par M. Mohammed Adnne Trojette, juillet
2013.

- 70 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Par ailleurs, vos rapporteurs invitent le Gouvernement


exprimenter de nouvelles modalits de financement. Ils proposent ainsi
dencourager la contribution volontaire des diffrents acteurs intresss
louverture de certains jeux de donnes quils estimeraient fort potentiel et
qui pourtant ne seraient pas mis disposition, soit que les administrations
nen aient pas prvu la diffusion dans le cadre de leur programme
pluriannuel, soit que ces acteurs souhaitent que cette diffusion soit acclre
par rapport au programme arrt, soit enfin, que les administrations aient
refus de diffuser certains jeux de donnes du fait de leffort disproportionn
que reprsentait leur anonymisation, en application de larticle 40 du dcret
dapplication de la loi CADA .
cet gard, une premire solution pourrait tre de recourir au
financement coopratif. Vos rapporteurs ont not avec intrt les annonces
faites le 14 fvrier dernier par Mme Fleur Pellerin, alors ministre dlgue
charge des petites et moyennes entreprises, de linnovation et de lconomie
numrique, concernant le renouvellement du cadre juridique relatif au
financement participatif ou crowdfunding , qui met en relation, via des
plates-formes internet, des porteurs de projets en qute dargent avec des
particuliers dsireux de donner, dinvestir ou de prter. Une autre voie serait
de recourir une forme de mcnat.

Recommandation n 19
Garantir le financement par ltat des mesures danonymisation
des donnes personnelles contenues dans des jeux de donnes publiques
Ne pas renoncer par principe au prlvement dune redevance en
prsence de cots danonymisation levs
Encourager le financement coopratif de lanonymisation

3. Clarifier le droit applicable en matire de rutilisation de


donnes publiques contenant des donnes personnelles
Un consensus sest dgag au cours des auditions conduites par vos
rapporteurs pour dnoncer le manque de clart du cadre juridique dans
lequel sinscrit lopen data. Si certains prconisent une simple clarification des
concepts utiliss et une harmonisation des jurisprudences entre CADA et
CNIL, dautres vont plus loin et, soulignant le paradoxe dune lgislation la
fois trs protectrice et inadapte car conue une poque o les
dveloppements actuels ntaient pas envisags, souhaitent une remise plat
de ce cadre juridique pour instaurer un vritable droit la rutilisation.

- 71 -

Vos rapporteurs estiment quant eux que la transposition, attendue


avant la date-limite du 18 juillet 2015, de la directive 2013/37/UE du
Parlement europen et du Conseil du 26 juin 2013 modifiant la directive
2003/98/CE concernant la rutilisation des informations du secteur public,
pourrait tre loccasion de remdier certaines lacunes du cadre juridique
actuel. Il leur a cependant sembl que cette question excdait le champ de la
mission qui leur a t confie par votre commission et relevait davantage de
la mission commune dinformation consacre laccs aux documents
administratifs et aux donnes publiques.
Nanmoins, ils ont souhait faire tat dune difficult qui leur est
apparue sagissant de la rutilisation dinformations publiques contenant des
donnes caractre personnel ayant fait lobjet dune publicit lgale. La
conciliation de lobligation de publication et de celle doccultation, pose au
troisime alina de larticle 7 de la loi CADA , est en effet dlicate, comme
lillustre le conseil CADA n 20121488 du 7 juin 2012, Prsident du conseil
rgional de Bourgogne, propos de lobligation de publication des
dlibrations du conseil rgional. Loccultation des donnes caractre
personnel, rendue ncessaire par les dispositions de la loi Informatique et
liberts en cas de mise en ligne sur internet, risquait de vider de son sens la
publication de linformation publique en cause. Aussi la CADA a-t-elle
prconis de sen tenir une publication sur supports traditionnels1,
linstar de la pratique du Journal officiel sagissant des mesures de
naturalisation par exemple.
Cette position de la CADA pourrait tre reprise dans une disposition
lgislative.

Recommandation n 20
Prciser que, lorsque des donnes personnelles sont mises en ligne
en vertu de la loi, cette publication doit se limiter la stricte mesure
ncessaire au respect de lobjet vis par cette loi

1 Au regard des instruments servant de support la publication, la commission estime


quen prescrivant la publication, la loi autorise ncessairement le recours aux supports
traditionnels que constituent laffichage aux lieux habituels et les recueils des actes
administratifs. La commission considre en revanche que lobligation lgale de publication
nautorise le recours la mise en ligne de lacte sur un site internet que pour autant que
sont en outre satisfaites les dispositions de la loi n 78-17 du 6 janvier 1978 relative
linformatique, aux fichiers et aux liberts. Ces dernires, en faisant ventuellement obstacle
la mise en ligne de mentions ncessaires une publication suffisante, peuvent imposer le
recours aux supports traditionnels.

CONCLUSION

- 73 -

CONCLUSION
Louverture et le partage des donnes publiques reprsentent, pour
les administrations, un dfi de taille, et pour les citoyens ou les entreprises,
une opportunit considrable. Rien ne serait pire, cependant, que de
manquer lun ou lautre, faute de stre assur que cette ouverture respecte
bien lintrt de chacun.
Notre pays sest honor placer lexigence de protection de la vie
prive au cur de la rvolution numrique. Les fondements solides de notre
droit devraient, en principe, garantir que lopen data se droule sans heurt,
car les lois de 1978 excluent que les administrations puissent diffuser autre
chose que des informations publiques.
Les premiers dveloppements de lopen data franais peuvent
sembler rassurants, de ce point de vue : de rares exceptions prs, les
donnes mises en ligne paraissent se conformer aux exigences juridiques.
Toutefois, ce cadre protecteur est fragilis par deux failles : un risque
avr de r-identification et un dfaut de gouvernance qui laisse souvent les
administrations dmunies face des problmatiques quelles ne matrisent
pas toutes avec la mme aisance.
Loin de vouloir freiner un mouvement dont lutilit sociale est
acquise, votre mission dinformation a plutt vu lopportunit de donner un
nouvel lan louverture et au partage des donnes publiques, la condition
que soient mises en uvre une doctrine et une mthode qui garantissent la
meilleure protection des donnes personnelles possible. Car, une fois cette
protection assure, aucun obstacle au dploiement de lopen data nest plus
lgitime.
La mission dinformation de votre commission recommande donc de
poser le principe dune obligation de mise en ligne des donnes dtenues par
les administrations, moins que le cot en soit trop important ou que les
risques pour la vie prive ne puissent tre levs par une anonymisation
efficace.
Les administrations de ltat et des collectivits territoriales doivent
sinvestir dans cette voie et mettre en uvre une doctrine de protection des
donnes personnelles, en anticipant et valuant les risques, en y adaptant les
formats de diffusion des donnes et en exerant une veille vigilante.
Elles doivent tre secondes dans cette tche par ltat, qui devra
veiller leur apporter, par une structure ddie, une assistance technique,
organisationnelle et juridique, et garantir le financement des chantiers
quengage lopen data, notamment en matire danonymisation.
Trouver dans la protection des donnes personnelles le levier pour
porter plus haut lexigence de transparence de laction publique : le pari est
audacieux, mais il est conforme lambition que notre pays a dmontre
depuis les lois pionnires de 1978.

EXAMEN EN COMMISSION

- 75 -

EXAMEN EN COMMISSION
M. Jean-Pierre Sueur, prsident. prsent, MM. Gorce et Pillet
nous prsentent le rapport dinformation quils ont ralis sur lopen data et la
protection de la vie prive.
M. Gatan Gorce, rapporteur. Langlicisme open data dsigne la
mise disposition dun maximum de donnes dtenues par les
administrations dans des conditions techniques, juridiques et financires
favorables leur rutilisation par des tiers. Techniques : en les rendant
accessibles dans des formats non propritaires. Juridiques : en limitant les
obstacles leur rutilisation. Financires : en ne soumettant pas leur
rutilisation au paiement dune redevance. Tels sont les principes retenus
par la plupart des gouvernements. Cette nouvelle notion est intressante,
mais pose un certain nombre de problmes.
Dabord, lobjectif de lopen data est encore incertain. Pourquoi
diffuser largement des donnes servant au bon fonctionnement des services
publics ? Dans les annes 1990, la demande de libration des donnes
manait essentiellement duniversitaires soucieux de ne pas rserver le
produit de leurs recherches leurs seuls commanditaires ; daucuns y ont
ensuite vu, aux tats-Unis, une source de richesse ; depuis quelques annes,
lopen data est dfendu au nom de principes politiques et dmocratiques, et
justifi par larticle 15 de la Dclaration des droits de lhomme et du citoyen
de 1789.
Les textes existants, comme la circulaire Fillon ou le dcret de
fvrier 2011 instituant Etalab reposent sur ces principes de transparence et de
contrle, ainsi que sur une exigence renouvele de modernisation de laction
publique. Tous ces fondements, relativement confus, gagneraient tre
prioriss. Au nom du dbat public, le portail tabli par Etalab accueille ainsi
des donnes prives, sans que cela soit clairement mentionn ni quait t
pralablement dfinie la responsabilit de lhbergeur
Cette politique souffre ensuite dune certaine complexit juridique.
La principale base juridique laccs largi aux donnes publiques est
fournie par la loi du 17 juillet 1978 relative laccs aux documents
administratifs. Or nous sommes passs dune logique de la demande une
logique de loffre. La loi distingue dsormais les documents que
ladministration a lobligation de communiquer, de ceux quelle a la facult
de mettre disposition des usagers. En 2005, le droit de rutilisation de ces
donnes a t prcis par ordonnance, sous rserve des dispositions de la loi
Informatique et liberts du 6 janvier 1978. Cette sdimentation rend
lensemble peu cohrent et suscite des difficults dinterprtation.

- 76 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Enfin, la mise en place de la politique dopen data a t quelque peu


improvise. Le militantisme la emport toute force. Lapproche dfendue
par Lionel Jospin dans son discours dHourtin de 1997 a t poursuivie par
tous les gouvernements successifs, mais sans doctrine ni moyens. Un outil a
t cr, lAgence du patrimoine immatriel de ltat, puis Etalab. Celui-ci
emploie sept personnes, mais le cadre juridique de son action nest toujours
pas clair. Il publie des vade-mecum sur la libration des donnes, mais
nassure aucune veille. Il participe la politique de mise en ligne des
donnes des administrations, mais ses pouvoirs ne sont pas prcisment
dfinis. Bref, stabilisons le pilotage de lopen data.
De manire plus proccupante, le risque pesant sur la protection des
donnes
personnelles
apparat
largement
sous-valu
par
les
administrations. Ces proccupations ne sont pas suffisamment rappeles aux
diffrents acteurs. Une grande partie de nos interlocuteurs nous ont mme
assur que la question ne se posait pas ds lors que la loi de 1978 excluait la
publication de donnes personnelles non anonymises ou en labsence du
consentement de la personne laquelle elles se rapportent. La sousestimation de ce risque est militante. Elle vise ne pas contraindre par des
principes le dveloppement naturel des techniques. Cette situation nest pas
tenable : une consultation organise par la CNIL a montr que 50 % des
rpondants, responsables open data, ont rencontr des problmes lis aux
donnes personnelles.
En la matire, les techniques ne sont pas infaillibles. La plus efficace
combine cryptage et hachage des donnes. Mais tous les techniciens nous ont
assur quil nexistait aucun systme absolument sr. Toutes les donnes
peuvent faire lobjet de recoupements, de croisements, pour remonter
jusqu lidentit des personnes. La dmonstration nous en a t faite AOL
avait par exemple rendu publiques les recherches effectues par ses clients
sur Internet : lutilisation de pseudonymes na pas empch de retrouver
lidentit de certains dentre eux partir des informations quon dduisait de
leurs recherches. Si la chose est possible dans une entreprise prive, elle lest
aussi dans ladministration.
Le rapport de Pierre-Louis Bras et Andr Loth sur les donnes de
sant montre que 89 % des entres lhpital peuvent tre analyses pour
dcouvrir lidentit de la personne concerne, par simple recoupement avec
dautres informations date et dure du sjour, date de naissance, code
postal. Dans le cas dune seconde hospitalisation dans le mme
tablissement, la probabilit didentification grimpe 100 %... Il faut
intervenir.
M. Franois Pillet, rapporteur. certaines personnes entendues
lors des auditions, notre mission a paru chercher des prtextes pour freiner
louverture des donnes personnelles. Cest tout le contraire : nous
prconisons de poursuivre le dveloppement de lopen data, mais en
garantissant solidement la protection des donnes personnelles.

EXAMEN EN COMMISSION

- 77 -

Cest le premier axe de nos prconisations. Posons le principe que


ladministration est tenue de mettre en ligne, en les anonymisant si
ncessaire, toutes les bases de donnes quelle dtient, dj diffuses sur un
autre support, ou susceptibles dtre communiques un citoyen qui en
ferait la demande. Cette recommandation risque de recueillir la plus large
publicit ; elle est pourtant indissociable des suivantes Ladministration
devrait en outre indiquer ce qui fera lobjet dune mise en ligne, ce quelle ne
compte pas publier, et en exposer les raisons.
Dix de nos vingt recommandations concernent la mise en uvre
dune doctrine de la protection des donnes personnelles. Nous prconisons
dabord de prvoir ds la conception de la base les modalits de son
anonymisation ventuelle, et le marquage des jeux de donnes afin den
suivre les rutilisations ventuelles et dnoncer les msusages qui pourraient
en tre faits. Ensuite, en cas de risque avr, impossible liminer par des
procds danonymisation, ladministration devra refuser louverture des
donnes ou, si le bnfice social de cette ouverture est trs important,
procder une ouverture restreinte. Nous recommandons en outre dassurer
une veille sur la diffusion et les rutilisations des donnes publiques, en
facilitant les procdures par lesquelles un rutilisateur peut alerter
ladministration comptente. Enfin, il serait opportun que ladministration
dfinisse une stratgie de rapatriement ou de suppression des jeux de
donnes compromis par linclusion dinformations personnelles.
Renforcer la protection offerte par la licence de rutilisation est un
autre chantier majeur. Les donnes personnelles devraient tre explicitement
exclues du champ de la rutilisation par la Licence ouverte laquelle est
soumise la majeure partie des donnes publiques mises en ligne par les
administrations ; une clause de suspension lgitime du droit de rutilisation,
de suppression ou de rapatriement des jeux de donnes compromis
lorsquun risque de r-identification est apparu, devrait tre intgre au
contrat de licence.
Dernier axe de proposition : adapter la gouvernance de lopen data
aux exigences de la protection des donnes personnelles. Les administrations
ne doivent plus tre laisses seules face leurs responsabilits. Nous
prconisons de mettre en place auprs dEtalab une structure ddie et
charge dassister les administrations dans llaboration de ltude dimpact
pralable, dans lanonymisation de la base et dans la mise en place dun
mode daccs restreint. Il conviendrait en outre de recenser les bonnes
pratiques.
Les correspondants informatique et liberts (CIL), de mme que les
personnes responsables de laccs aux documents administratifs devraient en
outre tre dots dattributions de coordination et de veille en matire de
protection des donnes personnelles. Cela irait de pair avec le renforcement
du statut du CIL, proposition dj formule par Anne-Marie Escoffier et

- 78 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Yves Dtraigne dans leur rapport de mai 2009 sur la protection de la vie
prive lheure du numrique.
Adapter la gouvernance de lopen data impose galement de garantir
le financement des mesures danonymisation. Une redevance nest pas
ncessairement quelque chose de diabolique. Le financement priv ne doit
pas tre exclu, non plus que le financement coopratif. Enfin, il conviendrait
de clarifier le droit applicable aux donnes publiques lorsque des donnes
personnelles sont mises en ligne en vertu de la loi : cette publication se
limiterait la stricte mesure ncessaire au respect de lobjet vis par la loi.
M. Jean-Jacques Hyest. La mission commune dinformation
relative laccs aux documents administratifs, que je prside et dont la
cration a t demande par le groupe cologiste, touche tous ces sujets.
Les documents administratifs, ce nest plus seulement du papier Nous
abordons galement la jurisprudence de la CADA dont vous navez pas
parl, mais je ne doute pas que le rapport crit sy intresse. Vous auriez pu
insister encore plus sur les risques pesant sur les donnes personnelles dans
le secteur de la sant. La semaine dernire encore, le Monde a consacr une
double page aux risques de rutilisation des donnes de connexion des fins
commerciales En outre, Etalab, compte tenu de sa structure, ne me semble
pas en mesure de jouer un rle de rgulateur. Lui confier des missions plus
vastes ne me parat pas simposer.
M. Yves Dtraigne. Je flicite nos deux rapporteurs pour leur
remarquable travail, et peux attester que celui de la mission commune
dinformation prside par Jean-Jacques Hyest, dont jai suivi quelques
auditions, lest tout autant.
La France a jou un rle pionnier en matire daccs aux documents
administratifs avec la loi CADA. Conservons notre avance dans ce domaine.
Nous savons que les enjeux conomiques et financiers de lopen data sont
normes, en termes de dveloppement dapplications et de crations
dentreprises. Nous sous-estimons mme sans doute leur ampleur. Je salue le
travail du Snat pour viter que le ncessaire dveloppement de la
circulation des donnes ncessaire, car nous sommes dans un monde
ouvert ne porte atteinte aux donnes prives.
Il reste beaucoup faire. De nouveaux champs seront sans doute
investis. Je suis un peu inquiet sur lavenir du libre-arbitre, dans une socit
o tout ce qui touche chacun dentre nous sera accessible tous sur la toile.
M. Jean-Pierre Sueur, prsident. Vaste question. Nous y
reviendrons lorsque la mission commune dinformation prside par JeanJacques Hyest aura remis son rapport.
M. Franois Pillet, rapporteur. Monsieur Hyest, nous proposons
de crer une structure auprs dEtalab ddie la protection des donnes
caractre personnel et charge dassister les administrations. Etalab manque
dagents pour le faire.

EXAMEN EN COMMISSION

- 79 -

M. Gatan Gorce, rapporteur. Il ne faut pas sen remettre


uniquement la technique, toujours incertaine et dont les progrs poussent
louverture croissante, mais plutt prendre conscience des problmes. Cest
dune nouvelle culture, sinon dune nouvelle sagesse, quil sagit. Chacun,
son niveau, doit prendre les prcautions qui simposent.
M. Jean-Pierre Sueur, prsident. La qualit de ce rapport illustre
la pertinence des binmes majorit-opposition.
La commission autorise la publication du rapport d'information.

LISTE DES PERSONNES ENTENDUES

- 81 -

LISTE DES PERSONNES ENTENDUES


Ministres et institutions publiques
Conseil dtat
M. Christian Vigouroux, prsident de la section du rapport et des
tudes
M. Jacky Richard, rapporteur gnral
M. Laurent Cytermann, rapporteur gnral adjoint

Commission daccs aux documents administratifs


M. Serge Dal, prsident
M. Nicolas Polge, rapporteur gnral

Commission nationale de linformatique et des liberts


Mme Isabelle Falque-Pierrotin, prsidente
M. douard Geffray, secrtaire gnral
M. Gwendal Legrand, chef du service de lexpertise informatique
M. Stphane Petitcolas, ingnieur expert
Mme Tiphaine Inglebert,
conseillre
parlementaires et institutionnelles

pour

les

questions

Comit du secret statistique


M. Jean Gaeremynck, prsident
M. Michel Isnard, secrtaire

Conseil dorientation de ldition publique et de linformation administrative


M. Michel Pinault, prsident
M. Olivier Garnier, secrtaire
M. Eric Gristi, secrtaire adjoint

Agence du patrimoine immatriel de ltat


Mme Danielle Bourlange, directrice gnrale

Conseil national du numrique


M. Jean-Baptiste Soufron, secrtaire gnral
Mme Somalina Pa, rapporteur
M. Charly Berthet, rapporteur adjoint

- 82 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Mission Etalab
M. Henri Verdier, directeur de la mission
Mme Suzanne Vergnolle, charge de mission affaires publiques
et juridiques

Institut national de la statistique et des tudes conomiques (INSEE)


M. Michel Isnard, chef de lunit affaires juridiques et contentieuses

Direction gnrale des finances publiques


M. Bruno Rousselet, chef du service de la gestion fiscale
Mme Catherine Brigant, sous-directrice des missions foncires,
de la fiscalit du patrimoine et des statistiques

Oprateur public
Institut national de linformation gographique et forestire (IGN)
M. Pascal Berteaud, directeur gnral
M. Franois Baudet, secrtaire gnral

Collectivits territoriales
Open Data France
Mme Erwane Monthubert, conseillre municipale de Toulouse,
dlgue aux Technologies de linformation et de la communication
Mme Sandrine Mathon, chef du service administration, direction
des systmes dinformation, mairie de Toulouse et Toulouse
Mtropole

Associations
Association franaise des correspondants la protection des donnes caractre
personnel (AFCDP)
M. Paul-Olivier Gibert, prsident

LISTE DES PERSONNES ENTENDUES

- 83 -

Association pour le dveloppement de linformatique juridique (ADIJ)


Mme lise Debis,
Mme Nathalie Metallinos, co-animatrices de latelier protection des
donnes personnelles

Association des archivistes de France


M. Jean-Philippe Legois,
municipales de Sevran

prsident,

directeur

des

archives

Mme Katell Augui, vice-prsidente, responsable du service de


linformation dOrvault
M. Cyril Longin, coordinateur du groupe open data de lassociation,
directeur des archives municipales de Saint-tienne
M. Herv Bousquet, trsorier, archiviste chez Sanofi
Mme Charlotte Maday, prsidente de la section archives des
universits, rectorat et organismes de recherche
Mme Alice Grippon, dlgue gnrale

Institut franais pour la recherche sur les administrations et les politiques


publiques (Fondation iFRAP)
Mme Agns Verdier-Molini, directeur
M. Samuel-Frdric Servire, chercheur en finances publiques

Fondation internet nouvelle gnration (FING)


M. Charles Npote, chef de projet partage des donnes publiques

Regards Citoyens
M. David Gayou, administrateur, ingnieur recherche et dveloppement
M. Tangui Morlier, administrateur, consultant en informatique

UFC-Que choisir
M. Mathieu Escot, charg dtudes sant
M. Antoine Autier, charg de mission nouvelles technologies

- 84 -

LA PROTECTION DES DONNES PERSONNELLES DANS LOPEN DATA :


UNE EXIGENCE ET UNE OPPORTUNIT

Entreprises

Fdration franaise des socits dassurance (FFSA)


M. Arnaud Chaput, directeur prospective et innovation
M. Franois Rosier, directeur adjoint des affaires juridiques, fiscales
et de la concurrence
Mme Ccile Malguid, responsable des tudes sant, direction des
assurances de personnes
M. Jean-Paul Laborde, directeur des affaires parlementaires
Mme Viviana Mitrache, attache parlementaire

Mouvement des entreprises de France (Medef)


M. Marc Lolivier, prsident du comit droit du numrique
Mme milie Dumerain, juriste, charge de mission, direction droit
de lentreprise
Mme Ophlie Dujarric, charge de mission senior, direction des
affaires publiques

Data Publica
M. Franois Bancilhon, prsident-directeur gnral

Google France
M. Benot Tabaka, directeur des politiques publiques

GrDF
M. Anthony Mazzenga, dlgu du ple stratgie
M. Sylvain Chapon, dlgu des affaires publiques

OpenDataSoft
M. Jean-Marc Lazard, prsident-directeur gnral

Journalistes
M. Antoine Champagne, directeur de la rdaction de Reflets.info
M. Nicolas Kayser-Bril, journaliste
M. Jean-Marc Manach, journaliste

LISTE DES PERSONNES ENTENDUES

- 85 -

Personnalits qualifies

M. Mohammed Adnne Trojette, auteur du rapport remis au Premier


ministre, Ouverture des donnes publiques. Les exceptions au principe de
gratuit sont-elles toutes lgitimes ?
M. Alain Bensoussan, avocat spcialiste du droit des technologies de
linformation et de la communication
Mme Danile Bourcier, directrice de recherche au CNRS
M. Simon Chignard, auteur de Lopen data, comprendre louverture des
donnes publiques
M. Gilles Guglielmi, professeur de droit public, Universit Paris-II
Panthon Assas
M. Claude Kirchner, dlgu gnral la recherche et au transfert pour
linnovation (DGRTI) au sein de lInstitut national de la recherche en
informatique et en automatique (INRIA)
M. Andr Loth, directeur de projet la direction de la recherche, des
tudes, de lvaluation et des statistiques (DREES), co-auteur du
Rapport sur la gouvernance et lutilisation des donnes de sant
Mme Nathalie Mallet-Poujol, directrice de recherche au centre
nationale de la recherche scientifique (CNRS)
Mme Vronique Tauziac, experte auprs du chef du service du
pilotage et des politiques transversales la direction gnrale de
ladministration et de la fonction publique
M. Gilles Trouessin, consultant en scurit informatique