Par Roseline Letteron.
L’Open Data est généralement définie comme la mise à disposition des données produites et détenues par les administrations. Elle repose sur une double préoccupation. D’une part, il s’agit de permettre aux citoyens d’accéder à l’information pour mieux contrôler l’administration, dans une préoccupation de démocratie administrative. Sur ce point, l’Open Data est dans le prolongement de la démarche initiée, il y a plus de trente ans, par la loi du 17 juillet 1978 relative à l’accès aux documents administratifs. D’autre part, l’Open Data a également pour objet de permettre l’exploitation d’un véritable gisement de données considérées comme des biens communs, exploitation par les chercheurs certes, mais aussi à des fins commerciales.
Sur un plan plus institutionnel, l’Open Data est aujourd’hui une politique publique coordonnée par Etalab, un service du Premier ministre chargé de la mettre en œuvre, à travers un portail spécifique, data.gouv.fr.
La Commission des lois du Sénat a publié, le 16 avril 2014, un rapport d’information sur l’Open Data, qui offre un bilan de cette démarche de transparence. Les rapporteurs, Gaëtan Gorce (PS) et François Pillet (UMP) suggèrent la mise en œuvre d’un Open Data plus respectueux des données personnelles, ce qui implique une évolution véritable de sa gouvernance.
Un produit d’importation
La notion d’Open Data est un produit d’importation. Les spécialistes affirment qu’elle apparaît en 1995, dans une publication du National Research Council, qui prônait l’ouverture totale des données géophysiques et environnementales. Plus tard, au tournant du millénaire, elle sera étendue aux domaines de l’administration puis de l’économie. Cette évolution est parfaitement logique dans un système américain dominé par l’idée que l’information est un bien susceptible d’appropriation et d’exploitation commerciale. Elle doit donc bénéficier du principe de libre circulation, au même titre que n’importe objet de consommation.
Le problème est que cette conception de l’information est surtout répandue dans le monde anglo-saxon. En Europe, et plus particulièrement en France, le droit a toujours admis des restrictions à la liberté d’information dans le but de protéger les données personnelles. On constate d’ailleurs que la loi du 17 juillet 1978 a été précédée de quelques mois par la loi du 6 janvier 1978, qui affirme que chacun a droit à la protection des données personnelles le concernant. Il peut y avoir accès, et exercer un droit de rectification si elles sont erronées, voire de suppression si leur conservation n’est plus pertinente ou attentatoire à sa vie privée.
La situation actuelle est donc celle d’un conflit entre deux tendances. D’un côté, une conception anglo-saxonne de l’Open Data, largement relayée par les internautes qui considère que les données sur le web appartiennent à tout le monde. D’autre part, une conception européenne qui vise à assurer un équilibre aussi harmonieux que possible entre la circulation de l’information et la protection des données personnelles.
Le cadre juridique
Le droit français offre donc un cadre juridique à l’Open Data, avec les lois des 6 janvier et 17 juillet 1978. Certains peuvent considérer que ces textes sont anciens, en tout état de cause antérieurs au développement d’internet. Il n’en demeure pas moins que les trois garanties par ces textes en matière de données publiques demeurent largement d’actualité.
La première garantie réside dans l’interdiction du stockage de données personnelles, sauf exceptions lorsqu’il y a consentement de l’intéressé, obligation légale de publication ou encore anonymisation des données publiées. Ce dernier élément constitue aujourd’hui le pilier essentiel du droit de l’Open Data. Encore doit-on observer qu’il s’agit là d’une procédure coûteuse. L’article 40 du décret du 30 septembre 2005 dispense donc l’administration de cette anonymisation lorsque cette opération entraîne des « efforts disproportionnés ». Dans ce cas, les pièces demandées ne sont pas communiquées.
La seconde est constituée par les procédures imposées par la loi du 6 janvier 1978, qui impose l’autorisation de la CNIL pour les traitements de données personnelles. Ces dernières ne peuvent être conservées qu’en respectant le principe de loyauté et en recueillant le consentement de l’intéressé. Par les formalités préalables à la création d’un fichier de données publiques, la CNIL est en mesure de contrôler le respect de ces garanties.
Enfin, la troisième et dernière garantie réside dans l’existence même du pouvoir de sanction de la CNIL. Dans l’hypothèse d’une réutilisation des données non conforme à la loi de 1978, et notamment d’une divulgation illicite de données personnelles, la Commission peut prononcer des sanctions administratives, et même saisir le juge pénal qui peut prononcer des peines allant jusqu’à 100.000 € d’amende et trois années d’emprisonnement (art. 226-22-6 c. pén.).
Ce dispositif juridique a le mérite d’exister, mais le rapport du Sénat insiste sur son indispensable évolution. Aux difficultés techniques s’ajoute en effet la nécessité d’établir une doctrine française en matière d’Open Data et d’imposer une nouvelle gouvernance dans ce domaine.
Les obstacles techniques
Le rapport du Sénat insiste sur le fait que l’anonymisation des données n’est plus une technique infaillible pour empêcher la diffusion d’informations personnelles. Différentes méthodes permettent aujourd’hui de « ré-identifier » des données anonymisées, voire de les croiser pour obtenir d’autres éléments de la vie privée. Le rapport Bras-Loth de 2013 sur l’utilisation des données de santé montre ainsi que 89% des patients ayant été hospitalisés en 1989 peuvent être identifiés avec le seul croisement des informations suivantes : l’hôpital d’accueil, le code postal du domicile, le mois et l’année de naissance, le mois de sortie et la durée du séjour. Ce chiffre atteint 100% si le patient a été hospitalisé deux fois la même année.
Une doctrine nouvelle de protection des données
Le rapport sénatorial montre la nécessité d’imposer une doctrine nouvelle, reposant sur la conciliation entre le principe de mise à disposition des données et celui de protection des données personnelles. Cette rupture complète par rapport aux principes développés par les juristes anglo-saxons doit être assumée.
Pour les rapporteurs, la doctrine de l’Open Data « à la française » est donc, avant tout, une doctrine de la protection des données personnelles. Sur ce point, la « Privacy in Design », c’est-à-dire l’intégration de la préoccupation de respect de la vie privée dès la construction de la base de données, n’est certainement pas inutile. Cette approche préventive ne saurait cependant être suffisante, et elle doit s’accompagner d’une évaluation au cas par cas des projets de réutilisation des données. Le rapport suggère en conséquence de confier à la CNIL le soin d’apprécier ces projets et d’assurer une veille dans ce domaine.
Encore faut-il que les règles gouvernant l’Open Data soient connues et appliquées, ce qui pose le problème de la gouvernance en ce domaine.
Une gouvernance de l’Open Data
Le rapport sénatorial dresse un bilan relativement sévère de la gouvernance de l’Open Data. Le service Etalab n’a qu’un rôle de coordination, mais chaque administration demeure finalement libre d’avoir sa propre politique dans ce domaine. Le résultat est que certaines ont donné une impulsion forte, et que d’autres se sont désintéressées de cette question. Il est donc indispensable de développer le pilotage et l’accompagnement en matière d’Open Data. Cet effort devrait permettre, en même temps, de diffuser des règles de bonnes pratiques en matière de protection des données.
Le rapport sénatorial semble marqué au coin du bon sens, tant il est vrai que la transparence des données publiques et le secret de la vie privée sont des impératifs en apparence contradictoires. Le droit doit donc rechercher un équilibre, et mettre en place les règles et procédures destinées à le garantir.
Il n’en demeure pas moins que les partisans d’une ouverture totale des données publiques vont certainement s’offusquer d’une doctrine qui réintroduit un certain contrôle dans un espace virtuel qu’ils voudraient entièrement libre. Comme dans d’autres domaines, l’Open Data témoigne ainsi de la fin d’un internet libertaire, dans lequel les données de chacun sont les données de tous. On assiste aujourd’hui à une réintroduction du droit dans un espace qui rejetait toute contrainte juridique. Si nous voulons que le droit au respect de la vie privée demeure une liberté effective, il n’y a pas d’autre solution.
—
Sur le web.
La recherche de l’anonymat semble de plus en plus vaine. On peut se demander s’il ne faudrait pas mieux aborder le sujet par un autre angle, à savoir la responsabilisation par des sanctions idoines de ceux qui font usage des données identifiées sans l’autorisation de leurs propriétaires. Mais cela nécessiterait la reconnaissance de la propriété privée comme droit supérieur absolu, ce qui est illusoire tant que l’Obèse est encore en vie. En effet, le fond du problème n’est pas aujourd’hui que quelque entreprise privée possède une information parcellaire mais bien que l’Etat hors la loi les possède déjà lui-même et ne se prive pas de les utiliser sans contrôle ni limite pour assujettir les populations.
J’ai à de nombreuses reprises discuté dans mon blog des bienfaits de l’open data relatif aux données de santé. En GB, aux USA, Canada, Australie, Singapour et Japon le système est fait pour que les données personnelles n’apparaissent en aucun cas. Elles sont codées et ces codes sont séquestrés par une autorité de justice. Même les gouvernements n’y ont pas accès, je parle des données de santé, dossiers médicaux et autres. Les données fournies par l’open data disponibles gratuitement pour les scientifiques ont permis par exemple à Cochrane Collaboration de montrer que le Tamiflu n’avait qu’un effet très limité alors que les gouvernements ont dépensé des dizaines de milliards de dollars pour rien du tout. De même pour un certain (grand) nombre de médicaments que l’open data a démontré sans aucun effet. Les gouvernements français successifs se tortillent le popotin sans justification tels des vierges épeurées. C’est ridicule ! La réticence du ministère de la santé à propos de l’open data cache en réalité un retard inouï de la France dans l’informatisation systématique des données médicales qui sont traitées à la main, tout juste au stylo à bille si ce n’est pas encore à la plume sergent major ! On se demande pourquoi d’ailleurs l’informatique n’a pas réussi à diminuer de moitié le nombre de ces scribouillards ineptes. Encore une fois la France sera en retard d’une guerre mais elle est habituée … Comme dit H16 ce pays est foutu.
Combien de parisiens sont identifiables avec juste les utilisations du passe Navigo?
Je suis en faveur de l’ouverture complète des données publiques sur tout l’espace public. Tout ce qui concerne le public et qui appartient à l’État doit être public. Toutes les activités et communications des représentants élus doivent être d’ordre public.
En revanche, je suis également en faveur de la privatisation des marchés et de la diminution de l’espace public. Il faut aussi réduire le pouvoir des élus et diminuer l’étendue de leurs influences. Si une entreprise privée, une société ou n’importe quel groupe d’individus demande à un élu une faveur, il la demande à tout le monde.
Ceci éliminerait une bonne partie du capitalisme de connivences.
Si vous voulez être anonyme et contrôler l’information, vous n’avez qu’à rester sur votre propriété privée ou transiger sur d’autres propriétés privées. Il faut mettre en valeur les droits et les libertés qui vous permettent de vous prévaloir de votre confidentialité dans votre domaine privé.