Open data et données personnelles

Si l’open data ne concerne pas initialement la protection des données à caractère personnel, le nouveau contexte numérique implique de mieux prendre en compte, au niveau de la mise à disposition des données comme de leur réutilisation, la protection de la vie privée. Le nouveau cadre juridique relatif à l’open data permet cette conciliation.

Il peut s’agir par exemple de données liées au fonctionnement budgétaire et quotidien d’un service public, de statistiques, de cartographies et de localisation, de données liées à l’organisation d’évènements culturels et sportifs, d’informations touristiques, de mesures sur la qualité environnementale, etc. Néanmoins, les organismes publics produisent ou détiennent une très grande variété de données susceptibles, dans le cadre de l’open data, d’être mises à disposition sur Internet. En outre, l’essor sans précédent du numérique implique des possibilités croissantes de réidentification des personnes initialement concernées par ces données et, par voie de conséquence, l’applicabilité de la loi Informatique et Libertés auxdits jeux de données.

Enfin, si certaines expressions sont improprement employées, la logique de l’open data concerne de plus en plus de secteurs et les demandes sociales ou économiques « d’ouverture » de données se font de plus en plus diverses : on parle ainsi d’open data des décisions de justice, d’open data des données de santé, d’open data en matière d’énergie, d’immobilier, etc. Ces quelques exemples montrent que des données de plus en plus sensibles et relatives aux activités relevant de la vie privée des personnes sont concernées par la dynamique de l’open data.

Le développement de ce mouvement soulève donc la question de l’équilibre entre le droit d’accès à l’information publique, c’est-à-dire la transparence administrative, et la nécessaire protection des données à caractère personnel. Plus que l’open data lui-même, c’est davantage le contexte dans lequel il s’inscrit qui doit appeler à la vigilance : informatisation de la société, des administrations comme des acteurs privés ; diffusion spontanée de données personnelles par les internautes ; indexation de données nominatives par de puissants moteurs de recherche ; développement du Big Data...

Pour la CNIL, les objectifs parfaitement légitimes poursuivis par la politique d’ouverture des données publiques sont pleinement conciliables avec la protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de favoriser la confiance des différentes parties prenantes de ce mouvement (autorités publiques, citoyens, entreprises), qui constitue une condition essentielle de la réussite de toute politique publique.
Le cadre juridique a été largement renouvelé par la loi du 7 octobre 2016 pour une République numérique. Des modifications importantes du régime juridique relatif à la communication, la publication et la réutilisation des informations publiques sont intervenues. Trois conditions alternatives sont prévues pour en permettre la publication de documents comportant des données personnelles :

  • l’existence de dispositions législatives expresses,
  • l’accord des personnes concernées,
  • la mise en œuvre d’un traitement permettant de rendre impossible l’identification de ces personnes (anonymisation).

Par ailleurs, le nouveau règlement européen sur la protection des données est entré en application en mai 2018. De nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Un projet de traitement de données open data ou publiques pourra être concerné au niveau de données qui pourraient être certes publiques mais malgré tout personnelles.