01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

[#RGPD] Secteur public & openData : quelle gouvernance ?

collectivité territoriale open data haas avocats

Par Flavia CALOPRISCO et Stéphane ASTIER

Le 11 juillet dernier[1], la CNIL a rappelé à l’ordre les collectivités locales Françaises et plus généralement l’ensemble du secteur public pour que des mesures soient prises en vue de se mettre en conformité aux nouvelles obligations du Règlement Général Européen pour la Protection des données (RGPD)[2].

La question de la gestion des données et plus généralement de leur bonne gouvernance est en effet un sujet majeur pour un secteur en pleine révolution. A l’heure de l’e-administration, des Smartcity, des dispositifs de surveillance civile par drones, mais également à l’heure de l’explosion des attaques informatiques et des risques d’atteintes à la vie privée des citoyens, la mise en œuvre d’une stratégie digitale globale au sein de chaque organisme devient un impératif.

Plusieurs volets devront être prévus par l’entité publique dans le cadre de cette stratégie digitale. Parmi eux, celui de l’Open Data devra figurer en bonne place.

Rappelons ici que la loi pour une République numérique du 7 octobre 2016[3] encadre l’ouverture des données détenues par l’administration, la diffusion gratuite[4] dans un format ouvert et facilement réutilisable (Open Data). La mise à disposition de ces données, et leur éventuelle réutilisation, constitue à la fois un vecteur de transparence administrative, de lisibilité de l’action publique et de développement économique.
 

[dt_default_button link= »https://www.haas-avocats.com/nos-competences/avocat-rgpd-reglement-europeen-sur-la-protection-des-donnees-ce-qui-va-changer-pour-les-entreprises-publiques-et-privees/ » button_alignment= »default » animation= »fadeIn » size= »big » default_btn_bg_color= » » bg_hover_color= » » text_color= » » text_hover_color= » » icon= »fa fa-chevron-circle-right » icon_align= »left »]En savoir plus sur le RGPD[/dt_default_button]

 

1. Qui est concerné par l’Open Data ?

Les administrations d’Etat, les Collectivités locales de plus de 3500 habitants, les établissements publics et organismes privés chargés d’un service public seront concernés par cette obligation d’ouverture et de mise à disposition de leurs données.

A. Les Administrations de l’Etat :

  • Ministères : Services centraux (armée, administration fiscale, police nationale…), services déconcentrés (Directions régionales des services de l’Etat préfectures, tribunaux …), services à compétence nationale (direction générale de l’aviation civile, archives nationales…).
  • Autorités administratives indépendantes (CNIL, CSA…)

B. Les Collectivités territoriales ou les intercommunalités

Les Collectivité territoriales ou les intercommunalités de plus de 3500 habitants ou plus de 50 agents doivent mettre en place l’Open data.

  • Communes, Départements et Régions, EPCI à fiscalité propre (Métropoles, Communautés Urbaines, Communautés d’Agglomération, Communautés de communes).
  • Autres : Métropoles à statut particulier (Paris, Lyon, Marseille), Collectivités territoriales uniques, Collectivité territoriale de Corse, Collectivités d’outre-mer, Nouvelle-Calédonie, Provinces de Nouvelle-Calédonie. (Mise à disposition gratuite des données économiques, sociales, démographiques et territoriales dont elles disposent en format électronique).

C. Autres entités de Droit public ou privé exerçant une mission de service public

  • Société publique à caractère industriel ou commercial (SNCF, RATP) [5];
  • Autres entités de droit public ou privé poursuivant une mission de service public (Pôle Emploi, Caisse des dépôts)[6];
  • L’assemblée nationale et le Sénat ne sont pas concernés par l’ouverture obligatoire des données.

2. Quelles sont les données concernées par l’Open Data ?

Se pose également la question du périmètre de l’obligation. Chaque entité concernée devra en effet en premier lieu identifier les données qui devront être intégrées au « programme Open Data » à mettre en œuvre. Il s’agit des données suivantes :

A. Documents administratifs communicables

Documents rendus publics en vertu d’une loi, documents publiés par leur(s) propriétaires, documents déjà rendus publics (sans prise en compte du support), documents disponibles auprès de leurs détenteurs (téléchargement dans des formats numériques ouverts, publication papier, présentation publique), les archives[7].

B. Documents – données – informations exclues du périmètre de l’Open Data

  • Les données à caractère personnel (données fiscales ou patrimoniales, données médicales, etc.) ne doivent pas être publiées[8].
  • Les données présentant des risques pour la protection du potentiel scientifique et technique de la Nation (PPST) n’ont pas à être publiées[9].
  • Les données relevant de la protection de l’ordre public et des secrets protégés par la loi, les informations dont la divulgation serait contraire à l’ordre public, en particulier les intérêts en matière de défense ou de sécurité ne doivent pas être divulguées[10].

Il existe toutefois des exceptions qui permettent la communication de telles données. Ces exceptions sont liées à des autorisations issues d’une loi, à des traitements spécifiques (dispositif d’anonymisation) ou à des autorisations accordées par les personnes concernées.

3. Obligations & principes de gouvernance liés à l’Open Data

Le premier grand principe est celui de respecter le RGPD. Le Règlement prévoit ainsi des obligations spécifiques pour le secteur public dont notamment l’obligation de désigner un Délégué à la Protection des Données. Les principes de responsabilisation (ou accountability) et de contrôle de conformité dès la conception de nouveaux traitements (privacy by design) s’appliqueront aux données à caractère personnel. La logique de ces principes, l’organisation à mettre en place pour assurer par exemple la sécurité des systèmes d’information ou la sensibilisation des agents aux cyber risques trouveront un prolongement naturel dans le domaine de l’Open Data.

En effet, si par nature et en principe, l’Open Data exclut les données à caractère personnel de son périmètre, les technologies dites de big data et l’essor d’algorithmes de plus en plus puissants ouvrent régulièrement des brèches dans une frontière désormais ténue entre données identifiantes et données anonymisées.

Cette observation mise à part, soulignons que l’Open Data visera principalement les domaines suivants :

A. Les Obligations pour les acheteurs publics de donner accès aux données essentielles de marchés publics

L’article 107 du Décret du 25 mars 2016, crée l’obligation pour les acheteurs publics de donner accès aux données essentielles de marchés publics au plus tard le 1er octobre 2018. L’acheteur offre, sur son profil d’acheteur, un accès libre, direct et complet aux données essentielles de ce marché public, à l’exception des informations dont la divulgation serait contraire à l’ordre public[11].

B. Les Obligations dans la santé

L’ouverture des données de santé doit donner lieu à une anonymisation stricte des données. Cette exigence vise quatre objectifs stratégiques : contribuer à la démocratie sanitaire, permettre l’autonomisation du patient, renforcer l’efficacité de l’action publique et stimuler la croissance et l’innovation.

  • Concernant les données des patients, la Commission Open Data santé[12] insiste sur la distinction entre les données publiques et les données indirectement nominatives afin d’éviter les risques liés à une possible réidentification des individus et les questions de respect de la vie privée.
  • Concernant les professionnels de santé, l’open data concerne les données relatives aux honoraires, à la nature de l’activité, l’activité des professionnels de santé, les pratiques de prescription et sa qualité.

C. Les Obligations des administrations territoriales

Les collectivités territoriales de plus de 3500 habitants et les personnes morales dont le nombre d’agents ou de salariés n’est pas inférieur à 50 doivent publier :

  • Les documents administratifs qu’elles communiquent en application du droit d’accès aux documents administratifs.
  • Les données relatives aux subventions attribuées d’un montant supérieur au seuil de 23000€.
  • Les documents figurant dans le répertoire des informations publiques.

Cela implique concrètement de recenser les informations publiques, dont la publication présente un intérêt économique, social, sanitaire ou environnemental – données qui pourront faire l’objet de mise à jour régulières…

De plus, lorsque ces documents comporteront des données à caractère personnel (directement ou indirectement identifiantes) ils ne pourront être rendus publics qu’après avoir fait l’objet d’un traitement permettant de rendre impossible l’identification des personnes concernées.

D. Les Obligations de certains établissements publics

Dans le même esprit, les gestionnaires des réseaux publics de distribution d’électricité et le gestionnaire du réseau public de transport d’électricité doivent publier les données détaillées de consommation et de production issues de leur système de comptage d’énergie afin de permettre la réutilisation des données, dans l’objectif de favoriser en particulier le développement d’offres d’énergie, d’usages et de services énergétiques.

*****

Définir une politique de gouvernance de la donnée consiste, pour chaque entité publique concernée, à s’engager dans une démarche globale qui comprendra les étapes essentielles suivantes :

  • Une cartographie des différents traitements effectuées
  • L’établissement d’un registre d’activité de traitement répertoriant les données à caractère personnel
  • L’identification des traitements relevant de l’Open Data et la mise en œuvre de procédés de mise à disposition des données relevant de ce périmètre
  • Pour l’ensemble de ces données, la mise en œuvre de mesures organisationnelles et techniques assurant la sécurité et la confidentialité des données (incluant les mesures d’anonymisation) ainsi la protection des droits de propriété intellectuelle

Ces différentes étapes auront naturellement vocation à être piloté par le Délégué à la Protection des Données interne, externalisé et/ou mutualisé conformément à ses attributions.

Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients du secteur public comme du secteur privé dans la mise en conformité de leurs traitements en vue de la sécurisation de ceux-ci.

Le cabinet HAAS propose à ce titre l’externalisation de la fonction CIL/DPO, la réalisation d’études d’impact (PIA), la formalisation de référentiels sécurité ou encore la dispense de formations relatives aux enjeux de la loi informatique et libertés dans le cadre d’une offre globale de DataCompliance.

Pour plus d’informations, cliquez-ici.

 

[1] https://www.cnil.fr/fr/RGPD-quel-impact-pour-les-collectivites-territoriales

[2] https://www.avocat-rgpd.com/

[3] Loi n° 2016-1321 du 7 oct. 2016 pour une République numérique, sur laquelle v. not. X. Delpech, La loi pour une République numérique, aspects de droit des contrats, AJCA 2016. 45

[4] Il reste toutefois possible d’établir une redevance qui se limite à couvrir les frais de collecte, production et mise à disposition des informations publiques.

[5] Voir l’art. 4 loi Macron modifiant le code des transports « Les données des services réguliers de transport public de personnes et des services de mobilité sont diffusées librement, immédiatement et gratuitement en vue d’informer les usagers et de fournir le meilleur service, notamment en permettant l’organisation optimale des services de mobilité et des modes de transport. Dans ce but, elles sont diffusées par voie électronique, au public et aux autres exploitants, dans un format ouvert destiné à permettre leur réutilisation libre, immédiate et gratuite. Les personnes tenues de diffuser ces données sont les exploitants des services de transport et de mobilité et, le cas échéant, les autorités organisatrices de transport ».

[6] Concernant la santé voir Commission Open DATA Santé disponible à l’adresse : http://drees.solidarites-sante.gouv.fr/IMG/pdf/rapport_final_commission_open_data-2.pdf

[7] Constituent de tels documents [c’est-à-dire des documents administratifs réutilisables] notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, directives, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions et décisions.

[8] Dont la protection est définie par la loi n° 78-17 du 6 janvier 1978 et par le règlement européen 2016/679 du 27 avril 2016,

[9]  Le PPST est constitué de l’ensemble des biens matériels et immatériels propres à l’activité scientifique fondamentale et appliquée et au développement technologique. Ce dispositif vise à protéger les savoirs, savoir-faire et technologies les plus sensibles des établissements publics et privés localisés sur le territoire national, dont le détournement ou la captation pourraient porter atteinte aux intérêts économiques de la nation, renforcer des arsenaux militaires étrangers ou affaiblir les capacités de défense de la nation, contribuer à la prolifération des armes de destruction massive et de leurs vecteurs ou être utilisés à des fins terroristes sur le territoire national ou à l’étranger.

[10] Voir D. n° 2016-360, 25 mars 2016, art. 107, mod. par D. n° 2017-516, 10 avr. 2017, art. 11 ; D. n° 2016-361, 25 mars 2016, art. 94, mod. par D. n° 2017-516, 10 avr. 2017, art. 22)

[11] Ces données comprennent les informations suivantes : 1° Au plus tard deux mois à compter de la date de notification définie à l’article 103, le numéro d’identification unique attribué au marché public et les données relatives à son attribution : a) L’identification de l’acheteur ; b) La nature et l’objet du marché public ; c) La procédure de passation utilisée ; d) Le lieu principal d’exécution des services ou travaux faisant l’objet du marché public ; e) La durée du marché public ; f) Le montant et les principales conditions financières du marché public ; g) L’identification du titulaire ; h) La date de signature du marché public par l’acheteur ; 2° Les données relatives à chaque modification apportée au marché public : a) L’objet de la modification ; b) Les incidences de la modification sur la durée ou le montant du marché public ; c) La date de signature par l’acheteur de la modification du marché public. Les données essentielles du marché public sont publiées selon des modalités fixées par arrêté du ministre chargé de l’économie.

[12] http://drees.solidarites-sante.gouv.fr/IMG/pdf/rapport_final_commission_open_data-2.pdf

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com