La Cnil et la Cada ont annoncé la publication commune début 2018 d’un pack de conformité open data (1).
Deux institutions rapprochées par la loi pour une République numérique
La Cada (Commission d’accès aux documents administratifs) assure la transparence de la vie publique en encadrant le droit d’accès aux informations publiques. Elle surveille ainsi la bonne application du droit d’accès en se prononçant sur le caractère communicable ou non des données publiques par le biais d’avis précontentieux. Elle émet également des conseils à destination des administrations pour la mise en pratique de leur politique de partage et de réutilisation des données.
La Cnil (Commission nationale de l’informatique et des libertés) issue de la loi Informatique et libertés de 1978, assure quant à elle la protection de la vie privée en encadrant l’utilisation des données à caractère personnel. Ainsi elle informe (publication de rapports et avis), elle régule (promulgation de normes) et dispose également d’un pouvoir de sanction.
Ces deux institutions, fonctionnant jusqu’alors indépendamment, ont été rapprochées par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique (dite loi Lemaire). Si le projet de loi initial prévoyait leur fusion, la version finalement adoptée se contente d’établir des mécanismes de collaboration entre les deux institutions.
La loi Lemaire prévoit notamment que :
- Le président de la Cnil siègera à la commission de la Cada et inversement pour le président de la Cada (articles 25 et 27).
- Les deux institutions peuvent se réunir en collège unique dès lors qu’un « sujet d’intérêt commun » le justifiera (article 26).
C’est de ce rapprochement qu’est né le projet de pack de conformité open data.
Un pack de conformité open data : résultat d’enjeux communs
La donnée est aujourd’hui un actif immatériel à part entière, aux enjeux économiques et sociaux, nécessitant d’être protégée et valorisée.
L’actualité juridique, par la promulgation de la loi pour une République Numérique et l’entrée en vigueur prochaine du Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD) illustre l’intérêt accru porté aux données. Le premier texte instaure notamment un principe d’ouverture des données publiques par défaut, le second renforce la protection des données dites à caractère personnel.
Apparaissent ici deux piliers du droit des données : l’open data et les données personnelles. Ces deux régimes aux finalités opposées à première vue (ouverture et restriction) sont en réalité complémentaires.
La Cada est chargée notamment de s’assurer que l’administration ne publie pas d’information en dehors de ce qui est requis et autorisé, ce qui inclut directement les données à caractère personnel. Les enjeux sont alors communs.
Agir de concert permet d’assurer une réelle transparence entre administration et administrés. La collaboration de la Cnil et de la Cada permet une définition unique des enjeux, des termes (open data, vie privée, secret…) et des obligations.
En découlent une plus grande clarté des normes applicables, plus de sécurité juridique et une réduction des conflits de compétence.
Pack de conformité open data : à la fois norme et outil pratique
La Cnil est d’ores et déjà à l’origine de nombreux packs de conformité. Ce nouveau moyen de régulation a prouvé son efficacité de par leur spécialité (applicable à des secteurs ou des cas de figures précis : pack de conformité pour les capteurs communicants, pour les véhicules connectés…).
Alors que l’entrée en vigueur des obligations d’open data et du RGPD est imminente, les administrations et les collectivités territoriales appréhendent difficilement le contour de leurs obligations. La problématique centrale étant :
- comment concilier open data et protection des données personnelles ?
- Peut-on mettre à disposition à des fins de réutilisation des données publiques incluant des données personnelles ?
- A quelles conditions ?
- Selon quelles modalités pour le diffuseur et le réutilisateur ?
C’est dans ce contexte d’interrogation des acteurs publics et conformément à l’article 26 précité de la loi Lemaire que les deux institutions se sont réunies au sein d’une même commission le 5 octobre 2017.
L’objectif de ce pack est donc en premier lieu de clarifier le cadre applicable à l’ouverture des données publiques impliquant des données personnelles (cadre juridique dispersés dans de nombreuses normes : loi Vater, loi Lemaire, loi informatiques et libertés, RGPD…)
Plus concrètement, le pack est censé identifier les données communicables et la mise en œuvre de leur diffusion :
- exemples concrets ;
- modalités de partage ;
- modalité de réutilisation ;
- précision quant aux attentes d’anonymisation des données.
Le pack est également destiné aux usagers des données publiques ainsi partagées. Il permet aux citoyens de comprendre et d’exercer leurs droits.
Sa publication est prévue pour début 2018.
Lexing Alain Bensoussan Avocats
Lexing Droit de la data
(1) Communiqué de la CNIL du 24 octobre 2017.