Droit des données, Non classé Par le 03/11/2017 18:10

Engager une démarche opendata est une obligation

A l’instar des directives Public Sector Information, la loi pour une République Numérique tend à favoriser l’apparition d’un véritable marché de la donnée, en imposant aux administrations comptant plus de 50 « équivalents temps plein » (ETP) et aux collectivités de plus de de 3 500 habitants, de s’engager dans une démarche d’ouverture des « données publiques ».

Concilier Opendata et RGPD

Une question récurrente en la matière est celle de la diffusion des données à caractère personnel en opendata. La Commission d’Accès aux Documents Administratifs (CADA) considère, de façon systématique, qu’aucune donnée à caractère personnel ne peut devenir une donnée publique, librement communicable ou mise à disposition sur un portail dédié à l’opendata. Cette position inflexible, partagée par le Tribunal Administratif de Paris, a pu être remise en cause par d’autres juridictions françaises.

Le Règlement Général relatif à la Protection des Données (RGPD) pourrait épargner la nécessité d’élever le litige jusqu’au Conseil d’Etat. Le législateur européen a en effet préempté ces litiges, en évoquant clairement la question de l’opendata et de la protection des données. Au terme du considérant 154 du règlement, l’opposition entre l’objectif d’ouverture des données publiques et l’impératif de confidentialité des données personnelles ne paraît en fait qu’apparente.

Ce considérant s’ouvre ainsi sur l’affirmation de principe de ce que le droit de la protection des données « permet de prendre en compte, dans son application, le principe de l’accès du public aux documents officiels » et que « l’accès du public aux documents officiels peut être considéré comme étant dans l’intérêt public ».

Ceci étant, toute affirmation de principe n’est pas pour autant suivi d’effet.

Grille d’analyse pour la publication de données personnelles en opendata

Pour éviter que sa volonté reste lettre morte, le législateur européen a élaboré une grille d’analyse permettant aux collectivités et administrations concernées de déterminer les conditions dans lesquelles des données personnelles pourront se muer en des informations publiques, entrant dans le périmètre de l’opendata.

Premier point de contrôle : le droit de l’Union ou le droit national le prévoient-ils la publication des données personnelles ? Le cas échéant, les données personnelles peuvent être librement communiquées. L’utilisation du verbe « prévoir » est ici particulièrement intéressante, puisqu’elle permet d’inclure les données pour lesquelles la loi impose la diffusion publique aussi bien que celles pour lesquelles elle est simplement permise. La jurisprudence Les Bons Choix Santé du Tribunal Administratif de Paris – au terme de laquelle une demande de réutilisation de la base de données AMELI-DIRECT avait été rejetée – est donc en voie de disparition.

Lorsque la diffusion des données n’est prévue ni par le droit de l’Union, ni par le droit français, les collectivités et administrations devront rechercher si la loi n’a pas expressément exclu la réutilisation des données personnelles. Nul n’étant censé ignorer la loi, ce sera chose aisée, n’est-ce pas ?

Entre ces deux extrémités, la conciliation entre l’objectif d’ouverture des données publiques et l’impératif de confidentialité devrait être réalisée au cas par cas par « l’autorité publique », sous le contrôle du juge. Dans cet exercice, les collectivités et administrations devront à l’évidence distinguer – comme le fait la Charte des Droits Fondamentaux de l’Union Européenne et le Code des Relations entre le Public et l’Administration – la vie privée et la protection des données personnelles. Un rejet de principe ne devrait ainsi être admissible qu’en cas de risque d’atteinte à la vie privée. Refuser de communiquer des données personnelles relatives à la vie professionnelle d’une personne devrait en revanche devenir impossible.

La conciliation des dispositions du CRPA avec celles du RGPD va exiger un temps d’adaptation, pour les collectivités et administrations, et surtout l’inclusion des problématiques de protection des données dans le cadre de l’ouverture des données.