Collectivités : RGPD, Open Data, des injonctions contradictoires ?

La modernisation de l’action publique, la sécurité face aux cyberattaques, les facteurs de transparence et de confiance vis-à-vis des administrés ou encore l’augmentation significative des sanctions, avec le RGPD, sont autant d’enjeux de protection des données auxquels font face les collectivités territoriales.

Alors quand la loi CADA permettant un « Open Data public » (« base de données ouverte »), rencontre le Règlement Général relatif à la Protection des Données (RGPD), les collectivités territoriales se trouvent encerclées entre ouverture et fermeture dans l’accès à la donnée.

Peut-on cependant trouver dans ces deux textes, une complémentarité éthique pour les collectivités territoriales ?

L’Open Data pour les collectivités.

Principe : l’ouverture des données

C’est par la Loi Numérique de 2016, venue compléter les dispositions de la « loi CADA » de 1978, qu’a été créée l’obligation pour les organisations publiques de publier sur internet leurs bases de données. Ces données peuvent ainsi être exploitées et réutilisées facilement par chacun, particulier comme entreprise. De plus, certains acteurs privés (entreprises titulaires des marchés publics, bénéficiaires de subventions publiques…) sont également tenus de communiquer des données dites « d’intérêt général », données qui concernent l’exploitation des services publics de l’énergie ou de l’eau, les transactions immobilières, ou encore la gestion et le recyclage des déchets.

En effet, deux grands principes de la loi CADA confirment l’ouverture aux données publiques : le droit d’accès aux documents administratifs et la libre réutilisation des informations publiques.

Le droit d’accès renvoie à l’obligation de publication en ligne par les administrations de documents administratifs c’est-à-dire tout document produit ou reçu par l’administration dans le cadre d’une mission de service public (Code des relations entre le public et l’administration – CRPA). Cette obligation peut également concerner une personne privée chargée d’une mission de service public.

Limite : Les données à caractère personnel

Cependant, à ces grands principes, la loi est venue y apporter quelques restrictions nécessaires notamment au respect de la vie privée, en particulier lorsque les informations publiques comportent des données à caractère personnel.

Prenons un exemple concret : les fichiers administratifs de la collectivité, tels que les registres d’état civil, les fichiers d’aide sociale ou encore l’annuaire interne des agents de la collectivité, ne peuvent pas être utilisés par les élus à des fins de communication politique.

Complémentarité RGPD et loi CADA

Alors même que la loi CADA s’impose à elle-même des limitations quant à l’Open Data dans le secteur public, le RGPD – et plus largement la loi Informatique et Libertés du 6 janvier 1978 entrée en vigueur dans sa nouvelle rédaction depuis le 1er juin 2019 (loi « I&L ») – s’applique aux données à caractère personnel que le secteur soit privé ou public. Ces deux lois, CADA et I&L, comprennent des renvois de l’une à l’autre, permettant de déterminer les conditions dans lesquelles il convient de les articuler. Par exemple, l’article 13 de la loi « CADA » prévoit que la réutilisation des informations publiques comprenant des données à caractère personnel est soumise au respect de la loi I&L.

Chacun agit-il effectivement sur son propre terrain de jeu ? Alors même que les deux autorités administratives indépendantes – la CADA et la CNIL – sont susceptibles d’intervenir pour protéger des intérêts aussi différents que complémentaires dans une société démocratique, leur champ d’application pourrait empiéter sur l’autre. Nous avons cependant distingué trois hypothèses.

Application de la seule loi CADA

La loi CADA s’appliquera seule par exemple lorsqu’un organisme privé exerce son droit d’accès à des documents administratifs sans aucune perspective de réutilisation des données à caractère personnel. De plus, les données nominatives n’étant pas, par elles-mêmes, protégées au titre de la vie privée, un administré peut ainsi demander à accéder à la liste des agents publics exerçant au sein d’une collectivité. Ici, pas de réutilisation d’informations relevant de données à caractère personnel, mais un libre accès.

Il faut cependant mettre en lumière que lorsque des documents comportent des mentions comme il suit « dont la communication porterait atteinte à la protection de la vie privée » ou « faisant apparaître le comportement d’une personne, dès lors que la divulgation de ce comportement pourrait lui porter préjudice », l’administration ne pourra légalement le porter à la connaissance du demandeur qu’après occultation ou disjonction de ces mentions.

Application de la seule loi Informatique & Libertés

Dans notre deuxième hypothèse, lorsqu’une autorité administrative (ou un organisme de droit privé chargé d’une mission de service public) sollicite une transmission d’information auprès d’une autre autorité, dans le cadre de l’exercice de sa mission de service public, en vertu de l’article 10 de la loi « CADA », cette transmission « ne constitue pas une réutilisation au sens du présent chapitre ». Ne s’agissant pas d’une réutilisation d’information, grand principe de la loi CADA, ce type d’échange tombe sous la coupe de la loi I&L.

A ce titre, les grands principes I&L doivent être mis en place et respecter par les deux organismes, comme l’information préalable des intéressés (article 32), la déclaration du traitement ou modification du traitement en cours (article 22) ou encore le respect des droits des personnes (articles 38, 39 et 40).

Ainsi, chacune de ces lois semble avoir son propre champ d’application, et le contexte de chaque situation détermine celui des deux qui s’appliquera en l’espèce.

Application combinée de la loi CADA et de la loi Informatique et Libertés

Comment concilier alors libre accès aux données publiques et protection des données à caractère personnel ? Dans le cadre de l’Open Data, une solution semble répondre aux affrontements que rencontrent les deux lois lorsqu’elle se font face à face : l’anonymisation des données qui permet de publier en ligne des informations publiques sans données à caractère personnel. Ainsi, en l’absence d’anonymisation des informations, la publication du document sera aussi subordonnée à la loi « I&L ».

En effet, anonymiser une donnée c’est rendre impossible toute identification de la personne par quelque moyen que ce soit et ce, de manière irréversible. Le RGPD ne s’applique pas à ces données-là. Les collectivités souhaitant ainsi diffuser des documents administratifs en les publiant en ligne par exemple, ont l’obligation d’anonymiser préalablement ces documents (article L.312-1-2 du CRPA).

La CNIL fait en sorte qu’une complémentarité existe et pour faciliter la vie des collectivités territoriales, elle vient de publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise.