Les collectivités territoriales et l’open data : concilier ouverture des données et protection des données personnelles
L’ouverture des données (en anglais « open data ») constitue un vecteur de transparence et d’amélioration de l’action publique ainsi qu’un puissant levier pour l’innovation économique. Les nouvelles obligations de diffusion en ligne qui s’imposent notamment aux collectivités territoriales depuis l’entrée en vigueur de la loi pour une République numérique du 7 octobre 2016 doivent être conciliées avec l’impératif de protection des données personnelles.
Quelles sont les obligations de publication ?
Il existe traditionnellement un régime de publicité des actes des collectivités organisé par les dispositions du code général des collectivités territoriales (CGCT). Il est nécessaire à leur entrée en vigueur et permet le déclenchement des délais de recours.
Au-delà de ce régime, les dispositions du code des relations entre le public et l’administration (CRPA) imposent désormais aux collectivités certaines obligations de publication en ligne des documents administratifs qu’elles détiennent.
Ainsi, depuis le 7 octobre 2018, les collectivités territoriales de plus de 3500 habitants et employant plus de 50 agents (en équivalent temps plein) sont tenues de mettre en ligne :
- les documents qu'elles communiquent en application des procédures prévues par le CRPA, ainsi que leurs versions mises à jour ;
- les documents qui figurent dans le répertoire des informations publiques (RIP) ;
- les bases de données, mises à jour de façon régulière, qu'elles produisent ou qu'elles reçoivent et qui ne font pas l'objet d'une diffusion publique par ailleurs ;
- les données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental.
- les règles définissant les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions, lorsque ces traitements fondent des décisions individuelles.
Par ailleurs existe une multitude de dispositions législatives ou réglementaires particulières prévoyant une obligation de mise en ligne de documents. Avant tout diffusion, les collectivités devront donc s’interroger sur le régime juridique applicable :
- certaines législations spéciales, telles que celle relatives la mise à disposition des données essentielles des contrats de la commande publique, renvoient aux modalités de diffusion du CRPA ;
- d’autres légalisations spéciales prévoient des modalités de publication particulières. C’est le cas par exemple des textes encadrant la diffusion des subventions publiques, des instructions et circulaires ou encore des informations relatives à localisation géographique des stations et des points de recharge électrique.
Sous quelles conditions publier en présence de données à caractère personnel ?
A titre principal, l’open data ne vise pas les données à caractère personnel. Il s’agit en effet de mettre en ligne des documents administratifs, c’est-à-dire produits où reçus par l’administration dans le cadre de ses missions de service public. Il peut s’agir par exemple de documents budgétaires, financiers, cartographiques, ou liés à l’organisation d’évènements sportifs ou culturels.
Par ailleurs, la mise en ligne des documents doit, sauf disposition législative ou règlementaire contraire, être précédée d’une occultation de l’ensemble des mentions protégées par le secret au titre des articles L. 311-5 et L. 311-6 du CRPA telles que celles relatives à la vie privée ou à l’état de santé des personnes.
En pratique, les administrations détiennent néanmoins de nombreuses données à caractère personnel susceptibles de faire l’objet d’une diffusion en même temps que d’autres informations publiques. C’est notamment le cas des arrêtés de nomination des agents publics ou des résultats d’examens.
De la même manière, la mise en open data peut impliquer qu’en recoupant des informations publiques mises à disposition, des données disponibles sur internet, etc. il soit possible d’identifier ou de réidentifier des personnes physiques. Dans cette hypothèse, plus que sa nature, c’est bien l’usage de la donnée qui lui confère son caractère personnel.
Afin d’assurer la protection des personnes concernées, il est prévu que, par principe, la diffusion des documents contenant des données à caractère personnel doit être précédée d’un processus d’anonymisation. Par exception, l’anonymisation n’est pas requise lorsque l’une des conditions suivante est remplie :
- l’existence d’une disposition législative prévoyant la diffusion sans anonymisation ;
- les personnes intéressées ont donné leur accord pour la diffusion ;
- l’appartenance du document dont la publication est envisagée à l’une de catégories de documents figurant à l’article D. 312-1-3 du CRPA.
Dans les cas où la diffusion des données à caractère personnel est autorisée, la publication en ligne des documents administratifs doit se faire dans le respect du règlement européen sur la protection des données (RGPD). En effet, une telle publication correspond à un « traitement » au sens de ce règlement. A ce titre, en qualité de responsable de traitement les collectivités devront garantir :
- l’information des personnes concernées : cette information doit être effectuée à la fois au moment de la collecte initiale des données et sur l’espace en ligne où les documents sont diffusés. Cette information devra être concise, transparente, compréhensible, aisément accessible et dispensée dans des termes clairs et simples en application de l’article 12 du RGPD ;
- le droit d’opposition des personnes concernées : les personnes dont les données seront diffusées en open data pourront faire valoir leur droit d’opposition en application de l’article 21 du RGPD pour des raisons tenant à sa leur situation particulière. L’administration conservera la possibilité de refuser de faire droit à toute demande de suppression en faisant valoir un motif légitime et impérieux supérieur prévalant sur les intérêts et les droits et libertés de la personne concernée.
Exemple : Dans le cadre de la publication de son organigramme en ligne, une administration pourra refuser de faire droit à une demande d’opposition qui serait formulée par un agent occupant des fonctions nécessitant que son identité soit portée à la connaissance du public.
- l’exactitude des données diffusées en ligne en application de l’article 5 du RGPD : à ce titre les collectivités seront notamment tenues d’assurer la mise à jour régulière des données qu’elles publient.
Il existe différentes modalités techniques permettant de mettre à jour les données régulièrement. Par exemple, les interfaces de programmation applicative (ou API, pour Application Programming Interface) permettent de rendre disponible des données sous un format électronique facilement utilisable et permettent également de faciliter les mises à jour ultérieures des données : toute mise à jour réalisée sur les données source est automatiquement prise en compte et répercutée sur les données rendues accessibles. Les internautes, qu’ils soient ré utilisateurs ou simple lecteurs utiliseront ainsi l’interface pour récupérer ou consulter les données mises à jour de façon automatique.
Quelle est l’autorité compétente pour traiter les demandes relatives à la diffusion des données publiques contenant des données personnelles ?
Les questions relatives à la publication et à la réutilisation des informations contenues dans des documents administratifs, lorsqu'elles concernent des données à caractère personnel, touchent simultanément aux compétences traditionnelles de la commission d’accès aux documents administratifs (CADA) et de la CNIL.
- Les collectivités ont la possibilité de saisir la CADA d’une « demande de consultation » afin d’obtenir obtenir des précisions quant à la possibilité, ou à l’obligation leur incombant, de publier en ligne, avec ou sans anonymisation et/ou occultation, un ou des documents qu’elles détiennent (article R342-4-1 du CRPA).
- La CNIL connaît des demandes de conseil des administrations s’interrogeant sur le caractère anonyme ou non, ou sur les moyens d’anonymisation, d’informations publiques soumises à son examen et faisant, ou appelées à faire, l’objet d’une diffusion publique.
- La CADA est également compétente pour connaître des demandes des administrations tendant à contester le respect par un réutilisateur des dispositions légales applicables en matière de réutilisation des informations publiques (articles L342-3 et L326-1 du CRPA).