Lorsque des informations sont publiées par des administrations, celles-ci peuvent être réutilisées par toute personne qui le souhaite mais sous certaines conditions fixées par le CRPA et le RGPD.
Les obligations prévues par le CRPA pour la réutilisation
Par principe, les informations publiques figurant dans des documents communiqués ou publiés par les administrations peuvent être utilisées par toute personne (physique ou morale, publique ou privée) qui le souhaite, à d'autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus.
Sont donc librement réutilisables :
les données figurant dans des documents publiés par l’administration
les données figurant dans des documents communiqués par l’administration ou pour lesquels la communication est un droit, sous réserve du respect d’éventuelles obligations d’occultation (voir supra).
La réutilisation des données ne dépend pas du régime juridique sous lequel s’est effectuée leur communication ou la publication (CRPA ou autres obligations légales ou règlementaires).
En savoir plus
Certains obstacles peuvent cependant restreindre la libre réutilisation :
les droits de propriété intellectuelle détenus par des tiers à l’administration ainsi que ceux des administrations sur les bases de données qu’elles ont produites ou reçues dans l'exercice d'une mission de service public à caractère industriel ou commercial soumise à la concurrence. Les autres administrations, ne peuvent en revanche, au titre des droits qu’elles détiennent au titre des articles L. 342-1 et L. 342-2 du code de la propriété intellectuelle, faire obstacle à la réutilisation du contenu des bases de données qu’elles publient en application du 3° de l'article L. 312-1-1 du présent code dans le cadre de l’ « ».
Attention : sauf en cas de cession ou de transfert à l'administration, les informations contenues dans des documents sur lesquels des agents publics détiennent des droits de propriété intellectuelle ne peuvent être regardées comme des informations publiques au sens de l’article L321-2 du code des relations entre le public et l'administration. Leur exploitation par d'autres personnes ne peut donc procéder d'une réutilisation au sens du titre II du livre III et suppose un accord entre ces personnes et l'agent titulaire des droits d'auteur dans le cadre des règles de droit commun fixées par le code de la propriété intellectuelle.
L’article L131-3-1 du Code de la propriété intellectuelle prévoit deux hypothèses dans lesquelles les droits patrimoniaux de l'agent public peuvent être transférés à l’administration :
lorsque les données grevées de droits d’auteur sont strictement nécessaires à l'accomplissement de la mission de service public de l'administration : plusieurs juridictions administratives ont ainsi jugé que si les travaux photographiques exécutés par un agent public pour le compte d’une autorité publique constituent, à condition d’avoir un caractère original, une œuvre de l’esprit au sens du premier alinéa de l’article L111-1 du CPI, le droit de propriété intellectuelle des travaux conçus et réalisés par un tel agent dans le cadre de l’exécution de ses obligations de service public se trouve, de ce fait, transféré à l’autorité publique, laquelle a ainsi, sans avoir à requérir l’autorisation de son auteur, la possibilité d’utiliser ces photographies dans le cadre du service public dont elle a la charge (tribunal administratif de Paris n° 1100160 23 décembre 2013 ; tribunal administratif de Grenoble 31 mai 2016 n° 1301981 et Cour administrative d'appel de Marseille du 10 février 2009 n° 06MA01986) ;
lorsque l'agent public cède ses droits de propriété intellectuelle par contrat, son administration dispose alors d'un droit de préférence.
Dès lors que, dans l'une ou l'autre de ces hypothèses, les droits de propriété intellectuelle de l'agent sont transférés à l'administration, celle-ci peut, sans avoir à requérir l’autorisation de son auteur, utiliser les documents dans le cadre du service public dont elle a la charge et également consentir à leur réutilisation par des tiers. (Conseil n° 20180226 du 17 mai 2018).
A titre général, lorsque l’administration qui a concouru à l'élaboration de l'information ou qui la détient n’est pas titulaire des droits,elle est tenue d’indiquer à la personne qui demande à la réutiliser l'identité de la personne physique ou morale titulaire de ces droits ou, si celle-ci n'est pas connue, l'identité de la personne auprès de laquelle l'information en cause a été obtenue.
Cette obligation d’information ne s'applique pas aux décisions défavorables aux demandes de réutilisation opposées par les bibliothèques, y compris les bibliothèques universitaires, les musées et les archives.
le paiement d’une redevance pour l’accès à certaines données : il est à noter que par principe, la réutilisation des informations publiées en « open data » est gratuite. Elle peut être payante dans deux hypothèses :
pour les administrations dont l’activité principale consiste en la production et la mise à disposition d'informations publiques et qui financent cette dernière à plus de 25% de leurs recettes propres (ou à moins de 75 % par des recettes fiscales, des dotations ou des subventions) et uniquement pour les informations fixées par décret. C’est le cas par exemple de Météo-France ou de l’Institut national de l’information géographique et forestière (IGN);
pour les bibliothèques, y compris universitaires, les musées et les archives, uniquement pour les informations issues d’opérations de numérisation de leurs collections et, le cas échéant, les métadonnées, lorsque ces dernières sont produites et commercialisées conjointement.
À noter : à compter du 1er janvier 2017, l’INSEE et les services statistiques ministériels ne peuvent plus demander de redevances pour réutilisation de leurs données ;
sauf accord exprès de l’administration détentrice, la réutilisation des informations publiques est soumise à la condition que ces dernières ne soient pas altérées, que leur sens ne soit pas dénaturé et que leurs sources et la date de leur dernière mise à jour soient mentionnées ;
la réutilisation d'informations publiques ne peut, par principe faire l'objet d'un droit d'exclusivité accordé à un tiers. Lorsqu’un tel droit est nécessaire à l'exercice d'une mission de service public, le droit d’exclusivité peut être accordé dans les trois cas suivants :
droit d’exclusivité classique : un accord d’exclusivité est passé entre le réutilisateur et l’administration détentrice des données pour une durée maximale de 10 ans avec un réexamen périodique au moins tous les trois ans ;
droit d'exclusivité accordé pour les besoins de la numérisation de ressources culturelles : un accord d’exclusivité est passé pour une durée maximale de 15 ans a. Avec un réexamen au cours de la onzième année et ensuite, le cas échéant, lors de la treizième année ;
droit d’exclusivité accordé entre personnes publiques dans le cadre de leurs missions de service public sur le fondement de dispositions législatives ou réglementaires, dans le respect du droit de la concurrence : ces accords doivent faire l'objet d'un réexamen au cours de la onzième année et ensuite, le cas échéant, tous les sept ans.
La présence de données personnelles : dans ce cas les réutilisateurs sont tenus de respecter les dispositions du RGPD et de la loi « Informatique et Libertés ».
Les obligations prévues par le RGPD pour la réutilisation
Pour les documents dont la communication constitue un droit pour toute personne en application du titre Ier du livre III du CRPA ou d'autres dispositions législatives, et les informations qui ont fait l'objet d'une diffusion publique conforme aux prescriptions des articles L. 312-1 à L. 312-1-2, il n’est plus nécessaire de recueillir le consentement des personnes concernées, de procéder à leur anonymisation ou de s’appuyer sur une disposition législative ou règlementaire autorisant expressément la réutilisation.
Cependant, le ré utilisateur de documents contenant de telles données devient à son tour , la notion de traitement étant entendue au sens large (ainsi la rediffusion de données initialement diffusées en « » constitue bien un traitement de données à caractère personnel).
En savoir plus
Dès lors le réutilisateur est soumis au cadre juridique de la protection des données et en particulier au RGPD. À ce titre la réutilisation devra :
être licite : chaque réutilisation devra être fondée juridiquement sur l’une des bases légales mentionnées à l’article 6-1 du RGPD. S’agissant d’une réutilisation les bases légales suivantes pourront être mobilisées :
le consentement des personnes ;
la nécessité de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
la nécessité aux fins des intérêts légitimes poursuivis par le .
Par exemple, une réutilisation à des fins de prospection commerciale à caractère professionnel (B to B) pourra être fondée sur l’intérêt légitime dès lors que celui-ci est démontré au regard de l’activité du responsable de traitement et des finalités poursuivies et que les intérêts des personnes concernées ne prévalent pas. Autrement, le traitement devra reposer sur le consentement des personnes. En l’absence de consentement le réutilisateur sera tenu de procéder à l’anonymisation des données.
poursuivre une finalité qui doit être déterminée explicite et légitime. En d’autres termes, le traitement doit poursuivre un objectif clairement défini et légitime au regard de l’activité professionnelle du réutilisateur. Par ailleurs, les traitements de données mis en œuvre par les réutilisateurs ne doivent pas aboutir à un degré d’identification des personnes concernées plus important que celui caractérisant le jeu de données mis à disposition dès lors que cette ré identification n’est pas nécessaire à la finalité poursuivie ou qu’elle est susceptible de porter préjudice aux personnes concernées. A titre général les réutilisateurs devront prendre en compte le contexte dans lequel les données ont été initialement collectées ainsi que les attentes raisonnables des personnes concernées quant aux usages ultérieurs qui pourraient être faits de leurs données. Par exemple, un annuaire d’une administration ne devrait pas être utilisé pour effectuer un profilage ou un traçage des agents publics qui y figurent ;
porter sur des données adéquat pertinentes et proportionnées. Seules les données qui sont en lien avec la finalité poursuivie et qui sont strictement nécessaires à sa satisfaction doivent être traitées ;
porter sur des données mises à jour : les réutilisateurs devront prendre toutes les mesures raisonnables pour veiller à ne pas traiter des données inexactes du fait de leur obsolescence. A cet égard le recours à des dispositifs techniques tels que des APIs pour rafraichir les données de manière régulière et automatisée est fortement encouragé ;
être effectuée en toute transparence : tout traitement de donnée à caractère personnel issu d’une réutilisation devra être accompagné d’une information générale comprenant les mentions mentionnées définies à l’article 14 du RGPD. Par ailleurs, lorsqu’elle est possible et qu’elle n’exige pas d’efforts disproportionnés, l’information devra être délivrée directement aux personnes concernées. Ainsi par exemple lorsque les données visées par la réutilisation ne permettent pas d’identifier directement les personnes concernées, une information générale pourra suffire ;
être effectuée dans le respect des droits des personnes: la réutilisation, doit être conciliée avec le des personnes concernées par les données faisant l’objet d’une réutilisation qui pourra être exprimée à tout moment. Le cas échéant, les réutilisateurs devront prendre en compte l’opposition des personnes à certaines réutilisations (notamment à des fins de prospection commerciale) telle qu’exprimée au moment de la collecte des données (par exemple les personnes physiques peuvent demander à ce que les données les concernant figurant sur la base SIRENE ne soient pas réutilisées à des fins de prospection commerciale par des tiers autres que les personnes habilitées). Les réutilisateurs devront également garantir un droit d’accès et de rectification aux personnes concernées. Par ailleurs les personnes concernées disposeront d’un droit à la limitation du traitement notamment lorsqu’elles contestent l’exactitude des données traitées et d’un droit à la portabilité de leurs données lorsque le traitement est fondé sur le consentement ;
respecter le principe de limitation de conservation des données : les données devront être conservées pour une durée déterminée en fonction de la finalité. A l’issue du traitement, les données devront être isolées pour être archivées dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public (conservation définitive en vertu des dispositions du code du patrimoine), à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve de la mise en œuvre de mesures techniques et organisationnelles appropriées. A défaut de nécessité d’archivage, les données devront être détruites ;
garantir la sécurisation des données : le réutilisateur est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées ou endommagées.
