Les exceptions à l’ouverture des données publiques

La loi impose un principe d’ouverture par défaut aux administrations, ainsi qu’un principe de gratuité, tout en prévoyant un certain nombre d’exceptions dans lesquelles les données ne doivent pas être publiées et rendues réutilisables. Les données de la recherche sont soumises, elles aussi, à l’Open Data par défaut, même si elles sont susceptibles de se trouver fréquemment dans une situation où une exception s’appliquera.

La protection de la vie privée et des données à caractère personnel

L’ouverture des données publiques doit se conjuguer avec la protection des données à caractère personnel et de la vie privée. L’article 6 de la loi pour une République numérique est clair sur la nécessité de concilier ces deux impératifs :

Sauf dispositions législatives contraires ou si les personnes intéressées ont donné leur accord, lorsque les documents […] comportent des données à caractère personnel, ils ne peuvent être rendus publics qu’après avoir fait l’objet d’un traitement permettant de rendre impossible l’identification de ces personnes.

Il ne suffit pas d’anonymiser des données pour satisfaire l’exigence de protection de la vie privée. Les données à caractère personnel peuvent en effet permettre la réidentification des personnes par recoupement, même sans les désigner nommément. Il n’est donc possible d’ouvrir des données de recherche et de les rendre librement réutilisables qu’à la condition de s’être assuré que l’identification des personnes est bien impossible (l’emploi de ce terme renvoyant à une obligation de résultat et non de moyens).

Les données de recherche contiennent souvent des informations à caractère personnel. La sensibilité aux enjeux de protection de la vie privée varie selon les disciplines scientifiques, mais certains secteurs des sciences humaines et sociales (comme la sociologie, la psychologie, la géographie, etc.) appelleront une vigilance particulière.

Toutes les conditions posées par la loi informatiques et libertés s’appliquent en matière de traitement des données personnelles dans un cadre de recherche, sachant par ailleurs que ces exigences vont encore être renforcées par le Règlement général de protection des données (RGPD) qui entrera en vigueur en mai 2018[1]. Ce texte européen systématise l’exigence du recueil du consentement préalable des personnes concernées par un traitement et il va également faire peser une obligation de « redevabilité » (accountability) sur les utilisateurs de données personnelles, les obligeant à documenter leurs pratiques et à anticiper les risques.

L’articulation avec les droits de propriété intellectuelle

L’ouverture des données publiques soit s’articuler avec la protection de la propriété intellectuelle. L’article L. 321-2 du Code des relations entre le public et l’administration prévoit en effet que :

Ne sont pas considérées comme des informations publiques, pour l’application du présent titre, les informations contenues dans des documents […] sur lesquels des tiers détiennent des droits de propriété intellectuelle.

De telles données ne sont pas considérées comme des informations publiques et elles échappent donc au principe d’ouverture par défaut. Il faut donc vérifier si parmi les corpus de documents ne figurent pas des oeuvres protégées, car celles-ci ne peuvent être mises en ligne sans violer le droit d’auteur qui s’attache à elles.

Les chercheurs et les étudiants sont considérés comme des tiers vis-à-vis de l’administration. Cette situation fait qu’ils restent pleinement titulaires de leurs droits d’auteur sur les oeuvres qu’ils produisent dans le cadre de leurs activités (mémoires, thèses pour les étudiants ; articles, ouvrages, cours, ressources pédagogiques pour les enseignants-chercheurs). Ces objets sont donc exclus de l’Open Data par défaut et leur mise en ligne relève davantage d’une démarche d’Open Access (Libre Accès)

L’articulation avec la protection de la confidentialité et des secrets

Seul les documents librement communicables peuvent être publiés en Open Data.

Or la loi prévoit une série d’hypothèses où la communication d’un document peut être refusée pour protéger des secrets : secret défense, sûreté de l’État et sécurité publique, secret des délibérations du gouvernement, secret médical, etc.

Le secret en matière commerciale et industrielle pourra aussi être invoqué par des entreprises privées, partenaires de projets de recherche, pour imposer la non-divulgation de certaines données susceptibles de fragiliser leur position sur un marché ou de révéler leurs procédés. Les accords de consortium signés pour le montage de ce type de partenariats public-privé de recherche comportent généralement des clauses de confidentialité et de partage de propriété sur les résultats de recherche, qui peuvent interférer avec l’ouverture par défaut.

On considère que les données sont anonymisées lorsque l’on peut répondre négativement à ces questions :

- L’individualisation : est-il toujours possible d’isoler un individu ?

- La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?

- L’inférence : peut-on déduire de l’information sur un individu ?

Ainsi :

un ensemble de données pour lequel il n’est possible ni d’individualiser ni de corréler ni d’inférer est a priori anonyme ;

un ensemble de données pour lequel au moins un des trois critères n’est pas respecté ne pourra être considéré comme anonyme qu’à la suite d’une analyse détaillée des risques de ré-identification.

Si l’open data ne concerne pas initialement la protection des données à caractère personnel, le nouveau contexte numérique implique de prendre en compte, au niveau de la mise à disposition des données comme de leur réutilisation, la protection de la vie privée. Le nouveau cadre juridique relatif à l’open data permet cette conciliation.

Le 25 Janvier 2018 entrera en vigueur Le règlement n° 2016/679, dit règlement général sur la protection des données(RGPD) constitue le texte de référence européen en matière de protection des données à caractère personnel1. ll renforce et unifie la protection des données pour les individus au sein de l'Union européenne.Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européenle 14 avril 2016. Ses dispositions seront directement applicables dans l'ensemble des 28 États membres de l'Union européenne à compter du 25 mai 2018.

En effet, des modifications importantes du régime juridique relatif à la communication, la publication et la réutilisation des informations publiques sont intervenues, matérialisées par une refonte substantielle des dispositions du Code des relations entre le public et l’administration

Le triple filtre prévu (interdiction de publication de documents portant atteinte à la vie privée ; publication sous condition de documents comportant des données personnelles ; réutilisation de telles données dans le respect de la loi Informatique et Libertés) permet de garantir la protection des données des personnes concernées par les informations publiques.

Mention CNIL

Conformément au cadre réglementaire en vigueur, les jeux de données diffusées en Open Data par l'Université Paris Nanterre ont fait l'objet de vérifications et de retraitements de manière à ne pas contenir d'informations nominatives ou susceptibles d'identifier des personnes de manière indirecte.

Conformément à l'article 34 de la loi °78-71 du 6 janvier 1978, les personnes disposent d'un droit d'accès et de rectification qui leur permettent, le cas échéant, de faire rectifier, compléter, mettre à jour, verrouiller ou effacer les données personnelles les concernant, qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Pour exercer ces droits, veuillez vous adresser par mail à cette adresse : opendata-equipe@listes.u-paris10.fr

Mis à jour le 20 février 2018