01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

#Open data & collectivités territoriales : anticiper les risques

Open data et collectivites territoriales anticiper les risques

Par Alric HURSTELet Stéphane ASTIER

Grâce à la loi pour une République numérique du 7 octobre 2016, le mouvement d’ouverture des données (« open data ») a vocation à s’intensifier. De nombreuses données publiques, qu’elles soient administratives ou scientifiques, doivent désormais circuler et être réutilisées librement, poursuivant ainsi un intérêt général.

Rappelons ici que l’open data désigne la diffusion gratuite, dans un format ouvert et facilement réutilisable des données détenues par la personne publique. Il s’apparente donc à une descente d’informations vers les administrés.

Quel est l’impact de cette réglementation sur la gouvernance de la donnée devant être mise en œuvre au niveau des collectivités territoriales, notamment au travers de la réglementation sur la protection des données à caractère personnel ?

1/ Les administrations concernées par l’open data

Sous l’empire de la loi pour une République numérique, l’open data devient la règle : les administrations doivent désormais publier leurs principaux documents, codes sources, bases de données et données présentant un intérêt économique, social, sanitaire ou environnemental.

Cette obligation concerne :

  • Les administrations d’Etat;
  • Les collectivités locales de plus de 3500 habitants;
  • Les établissements publics et organismes privés chargés d’un service public, à l’exception des petites entités dont le seuil de personnel sera prochainement fixé.

Ainsi, l’open data est-il un outil au service de trois objectifs :

  • Améliorer le fonctionnement démocratique, non seulement par la transparence mais par la concertation et l’ouverture à de nouveaux points de vue ;
  • Améliorer l’efficacité de l’action publique;
  • Proposer de nouvelles ressources pour l’innovation économique et sociale: les données partagées trouvent des « réutilisateurs » qui les intègrent dans de nouveaux services à forte valeur ajoutée économique ou sociale.

 

2/ Limiter le risque d’une réidentification des données

Si cette démarche représente une opportunité unique de transparence et de transition numérique du secteur public, elle ne doit pas s’effectuer en violation des dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 dit Règlement Général sur la Protection des Données (RGPD).

Il existe deux cas de figure : soit les données « libérées » ont la nature de données personnelles, soit de telles données peuvent permettre la réidentification par recoupement d’informations issues de sources différentes.

Il est donc impératif pour chaque collectivité territoriale d’empêcher que les données transmises puissent être utilisés ou réutilisés de manière préjudiciable. Or le risque d’une exploitation de ce type n’est jamais nul.

La réidentification des personnes peut survenir au regard du caractère dynamique des données et de la possibilité de réidentifier des individus à partir de données ne présentant pourtant pas à prime abord de caractère personnel. Cette réidentification peut survenir de plusieurs manières : par rapprochement avec d’autres sources d’informations, grâce à l’évolution des technologies et donc des techniques de traitement des données…

En conséquence, plusieurs mesures peuvent et doivent être mises en place a priori afin de contrer les atteintes au RGPD qui peuvent être faites lors de l’ouverture de données publiques.

  • La mise en place du Privacy by Design

Le principe de Privacy by design (protection de la vie privée dès la conception) a été développé à l’initiative de la préposée à la protection des données de l’Etat d’Ontario au Canada, Ann Cavoukian, et repris par le législateur européen.

Selon ce principe, la protection de la vie privée doit être intégrée dès la conception du produit et du service. Concrètement, il impose au concepteur de la technologie de prendre en compte les risques d’atteintes aux données personnelles en amont du projet et de prévoir toutes les mesures nécessaires pour les protéger.

Ainsi, le Privacy by design s’applique aussi bien à des composants, à des terminaux, qu’à l’architecture même des systèmes d’information. Cela concerne tout type de données personnelles mais devrait l’être plus rigoureusement encore lorsque sont en jeu des données dites sensibles, telles que les données de santé.

Cet enjeu est d’autant plus d’actualité au regard de l’expansion des objets connectés qui tendent au développement d’une « toile informationnelle » destinée à mieux connaître l’individu afin de l’accompagner au quotidien.

Il doit être mis en place tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même.

  • La mise en place de mesures appropriées

Les mesures du Privacy by design

La mise en œuvre de ce principe se concrétise par la mise en place de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Il convient dès lors de s’assurer que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées[1].

D’autre part, il est nécessaire de distinguer notamment les données pseudonymisées (réversibles) des données anonymisées (irréversibles) :

  • Les premières sont des données d’identification remplacée par un pseudonyme mais qui ne sont pas des données anonymes. Les principes du RGPD s’appliquent à de telles données.
  • Les secondes sont des données qui ne peuvent plus être reliées à un individu déterminé ou déterminable. Les principes du RGPD ne s’appliquent pas aux données rendues anonymes.

Les techniques d’anonymisation des données permettent de réaliser un compromis entre le risque de réidentification de la donnée qu’elle doit s’efforcer de réduire le plus possible et le maintien d’une utilité de la donnée anonymisée.

A titre d’exemple, la CNIL a déjà eu l’occasion de sanctionner une commune pour des manquements à la protection de données à caractère personnel.

En l’espèce, les données personnelles (dont certaines sensibles) des usagers étaient disponibles et accessibles sur internet depuis les caches de plusieurs moteurs de recherches. L’autorité a donc constaté un manquement à l’obligation de traiter les données de manière licite ainsi qu’un manquement à l’obligation d’assurer la sécurité des données et a prononcé un avertissement public à l’encontre de la commune[2].

Précisons qu’avec le RGPD, les sanctions pouvant être prononcées par la CNIL évoluent :

  • Jusqu’à 10 000 000 d’euros ou 2% du chiffre d’affaire total du groupe (par exemple en cas de manquement au principe de Privacy by design) ;
  • Jusqu’à 20 000 000 d’euros ou 4% du chiffre d’affaire total du groupe (par exemple en cas de manquement aux droits des personnes concernées).

 

En conclusion, le principe tendant à l’ouverture des données publiques prévu par la loi pour la République Numérique du 7 octobre 2016 doit être appréhendé par les collectivités territoriales au regard du Règlement Européen pour la protection des données entrant en vigueur le 25 mai 2018. Ces deux textes sont en effet liés et fondent l’impératif consistant, pour les collectivités territoriales, à mettre en place des principes de gouvernance ayant des répercussions tant juridiques (protection de la vie privée) que techniques (mise en place de dispositifs d’anonymisation par ex.).

 

Depuis plus de vingt ans, le Cabinet HAAS, triplement labélisé CNIL accompagne ses clients du secteur public dans la construction de leur stratégie digitale.

 

Pour plus d’informations, cliquez ici.

[1] Principe de minimisation des données, consacré à l’article 5 du Règlement 2016/679

[2] Délibération de la formation restreinte n°2012-320 du 20 septembre 2012 portant avertissement public à l’encontre de la Commune X

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com