Open data : la protection des données comme vecteur de confiance

29 août 2017

Si l’open data ne concerne pas initialement la protection des données à caractère personnel, le nouveau contexte numérique implique de mieux prendre en compte, au niveau de la mise à disposition des données comme de leur réutilisation, la protection de la vie privée. Le nouveau cadre juridique relatif à l’open data permet cette conciliation. 

Les enjeux posés par l’open data du point de vue de la protection des données

Depuis plusieurs années, de nombreux Etats se sont inscrits dans un mouvement d’ouverture en ligne des informations détenues par leurs administrations publiques (open data). En France, l’Etat et les collectivités territoriales sont particulièrement actifs en matière de mise à disposition gratuite et accessible des données publiques. 

Sans bénéficier d’une définition partagée par tous les acteurs, l’open data répond à trois objectifs majeurs :

  1. Renforcer la transparence de l’action publique et de la vie démocratique,
  2. Communiquer au public une image détaillée du territoire et de son fonctionnement actuel,
  3. Développer le marché de l’information publique en permettant d’identifier des leviers d’amélioration de l’organisation publique et de susciter l’innovation économique.

La philosophie de ce mouvement est de « penser l’administration comme une plateforme » pour confier aux développeurs et aux administrés les propositions d’amélioration du service public ou encore la création de services innovants constitués à partir de jeux de données ouvertes.

Littéralement traduit de l’anglais « données ouvertes », l’open data se concrétise par la mise à disposition de tout internaute des informations du secteur public, sous leur forme la moins interprétée (donnée brute) et la plus facilement utilisable (donnée directement exploitable par une machine). En pratique, un portail en open data propose sur Internet une plateforme de téléchargement permettant de récupérer des jeux de données, sans autre filtre, le plus souvent, que l’acceptation d’une licence ou de conditions générales d’utilisation.

En France, ce mouvement a d’abord été initié par les collectivités territoriales. L’État a ensuite mis en œuvre une politique fortement incitative en matière d’open data, qui s’est notamment traduite par la mise en ligne de la plateforme data.gouv.fr, où plus de 20 000 jeux de données sont aujourd’hui disponibles, faisant de la France un des Etats les plus en pointe du mouvement d’ouverture des données publiques. Elle s’est également traduite par la création de nouvelles structures administratives incitant les différents acteurs publics à mettre en ligne les informations dont ils disposent et les accompagnent dans leurs projets « open data ».

À titre général, l’open data ne concerne pas directement la protection des données à caractère personnel : la majorité des informations du secteur public mises à disposition des internautes ne comportent aucune donnée personnelle. Il peut s’agir par exemple de données liées au fonctionnement budgétaire et quotidien d’un service public, de statistiques, de cartographies et de localisation, de données liées à l’organisation d’évènements culturels et sportifs, d’informations touristiques, de mesures sur la qualité environnementale, etc. Néanmoins, les organismes publics produisent ou détiennent une très grande variété de données susceptibles, dans le cadre de l’open data, d’être mises à disposition sur Internet. En outre, l’essor sans précédent du numérique implique des possibilités croissantes de réidentification des personnes initialement concernées par ces données et, par voie de conséquence, l’applicabilité de la loi Informatique et Libertés auxdits jeux de données.

Enfin, si certaines expressions sont improprement employées, la logique de l’open data concerne de plus en plus de secteurs et les demandes sociales ou économiques « d’ouverture » de données se font de plus en plus diverses : on parle ainsi d’open data des décisions de justice, d’open data des données de santé, d’open data en matière d’énergie, d’immobilier, etc. Ces quelques exemples montrent que des données de plus en plus sensibles et relatives aux activités relevant de la vie privée des personnes sont concernées par la dynamique de l’open data.

Le développement de ce mouvement soulève donc la question de l’équilibre entre le droit d’accès à l’information publique, c’est-à-dire la transparence administrative, et la nécessaire protection des données à caractère personnel. Plus que l’open data lui-même, c’est davantage le contexte dans lequel il s’inscrit qui doit appeler à la vigilance : informatisation de la société, des administrations comme des acteurs privés ; diffusion spontanée de données personnelles par les internautes ; indexation de données nominatives par de puissants moteurs de recherche ; développement du Big Data...

Les autorités publiques n’ont pas toujours intégré spontanément cette dimension essentielle. L’open data est en effet porté par des objectifs de transparence administrative et démocratique, ainsi que par des objectifs de création de valeur économique, les entreprises du numérique voyant dans l’exploitation des données publiques une source de création de valeur, auxquels la protection des données personnelles peut sembler s’opposer.

Pour la CNIL, il n’en est rien : les objectifs parfaitement légitimes poursuivis par la politique d’ouverture des données publiques sont pleinement conciliables avec la protection de la vie privée. Plus encore, la prise en compte de cet impératif permettra de favoriser la confiance des différentes parties prenantes de ce mouvement (autorités publiques, citoyens, entreprises), qui constitue une condition essentielle de la réussite de toute politique publique. La CNIL a donc, très tôt, appelé l’attention des pouvoirs publics sur la nécessité de mieux concilier ces impératifs. Cette conciliation est d’autant plus réalisable en pratique qu’un cadre juridique existe depuis la fin des années 70 visant précisément à articuler les objectifs de transparence administrative et de protection des données personnelles. Ce cadre juridique a été largement renouvelé par la loi du 7 octobre 2016 pour une République numérique. 

Un cadre juridique renouvelé

Des modifications importantes du régime juridique relatif à la communication, la publication et la réutilisation des informations publiques sont en effet intervenues, matérialisées par une refonte substantielle des dispositions du Code des relations entre le public et l’administration. La CNIL s’est assurée, dans le cadre de cette refonte, de la prise en compte de la protection des données personnelles.

Les dispositions générales


Les dispositions sectorielles


Des mission renforcées pour la CNIL et la CADA


L’open data des décisions de justice


L’open data en matière d’énergie