Open Data :
obligations et limites

Victor VILA [Open Data, RGPD]

Image : Etalab

Territoires Numériques

GIP e-bourgogne-franche-comté
GIP régional créé en 2008 avec le soutien de :
l’Etat, la Région, les 4 conseils départementaux de Bourgogne

Nos missions

  1. Contribuer à la modernisation des relations collectivités-État
  2. Répondre aux attentes de simplification exprimées par les usagers de l’administration
  3. Participer à la maîtrise des dépenses publiques
  4. Sensibiliser aux enjeux du numérique
  5. Venir en appui des politiques publiques d’aménagement numérique du territoire

Open Data

On va parler de

  1. L'obligation d'ouverture de données
  2. Concepts du RGPD
  3. Du projet de guide CADA / CNIL
  4. Une approche pratique

L'obligation d'ouverture de données

Données ouvertes | Open data

Démarche de partage de données.

Gratuit, dans des formats ouverts, réutilisable, ...

Vie privée

Tout ce qui concerne les «données à caractère personnel» : toute information se rapportant à une personne physique identifiée ou identifiable

Le potentiel de transparence et économique de l'open data semble s'opposer à la protection de certaines données

Par exemple, Open data et vie privée sont-ils incompatibles ?

On a l'impression qu'il y a des lois en opposition,
et ce, depuis un certain moment...

En fait, les lois ouverture de données
ont toujours pris en compte des exceptions :

Ces limitations semblent plutôt raisonnables :

Equilibre ?

D'après la CNIL, la réussite de l'open data,
dépend de la confiance des acteurs (autorités, citoyens, entreprises)

La protection de certaines données (vie privée, sécrets, ...) est alors
une condition essentielle de la réussite de l'ouverture de données

Pas si simple

Le mouvement de l'OD des décisions de justice porte la promesse de permettre à quiconque de connaître le droit qui lui est effectivement applicale.

Mais l'art. 33 de la loi n° 2019-222 de programmation pour la justice considère infraction pénale toute "réutilisation" des "données d'identité" des magistrats.

Le Conseil constitutionnel a nuancé cet article : "réutilisation" oui, "profilage" non ...

http://www.tendancedroit.fr/wp-content/uploads/2019/06/GuillaumeHannotin-OpenData.pdf

Qui doit publier les données ?

  1. Les administrations d’Etat
  2. Les Collectivités locales de > 3 500 (et > 50 agents)
  3. Les établissements publics et les organismes privés chargés d’un service public (notion de données d’intérêt général)

Pourquoi ces organismes
doivent-ils ouvrir les données ?

Obligation légale

  • Loi NOTRe
  • Code Général des Collectivités Territoriales
  • Code des Relations entre le public et les administrations
  • Directive Inspire
  • Loi Macron
  • ... 202 lois, décrets, directives, ...

Question d'opportunité

  • Transparence
  • Démocratie (locale) : je propose, je participe
  • Contrôle de gestion citoyen
  • Favoriser l’innovation
  • Superviser les services publics pour les améliorer et envisager des nouveaux services
  • Faire circuler l'information en interne

D'après l'observatoire-opendata.fr, les opportunités de l'open data motivent plus les acteurs que le fait de se mettre en conformité avec les contraintes légales

Quelles données faut-il ouvrir ?

La Loi Lemaire rend obligatoire la publication :

  • • documents communiqués suite à des demandes CADA
  • • les "bases de données"
  • • les données ayant un intérêt économique, social, sanitaire ou environnemental

Cela fait des dizaines ou centaines de données...

• PLU (plan local d'urbanisme) • POS (anciens plans d'occupation des sols) • Carte communale • Marchés publics • Les bases de données • Les données ayant un intérêt économique, social, sanitaire ou environnemental • Energie • Environnement • Géographique • Gestion et recyclage de déchets • Immobilier • Justice • Santé : système national des données de santé (SNDS) • Sécurité routière (création d’une base de données nationale des vitesses maximales autorisées) • Transport public

Socle Commun des Données Locales

Afin de clarifier et harmoniser le minimum qui doit être publié, OpenDataLocale a élaboré la liste des données que les collectivités doivent publier en priorité

Données prioritaires

  • Catalogue
  • Délibérations
  • Subventions
  • Marchés Publics
  • Base Adresse Locale
  • Equipements Publics
  • Prénoms des nouveaux-nés
  • Infrastructures de recharge de véhicules électriques

Itinéraires vélo, Menus des Cantines, Répertoire des Informations Publiques, Points d’eau incendie, Arrêtés municipaux, Accessibilité Handicap, Agenda Culturel, Cimetières, Comptes Administratifs, Défibrillateurs

En application de la loi Lemaire,
l’Etat a précisé les jeux de données prioritaires :

Redevances

La gratuité est la règle et les redevances l'exception
(art. 324-1 CRPA) :

  1. Les administrations dont l'activité principale consiste en la collecte, la production, la mise à disposition ou la diffusion d'informations publiques
  2. Pour les administrations relevant de l’Etat, uniquement pour les informations fixées par décret
  3. Les bibliothèques, les musées et les archives, uniquement pour les informations issues d’opérations de numérisation

Calcul de la redevance : data.gouv.fr / Redevances

Licence

Le décret du 27 avril 2017 propose

  1. Licence Ouverte (Etalab)
  2. Licence ODbL (Open Database License)
  3. Homologuer une autre licence

Pas d'obligation (*) mais très utile

https://www.data.gouv.fr/fr/licences

Licence Ouverte (Etalab)

Licence établie par le Gouvernement

  • Partager, reutiliser, modifier les données
  • Faire un usage commercial
  • Obligations : mention de paternité et de dernière mise à jour

https://www.etalab.gouv.fr/licence-ouverte-open-licence

ODbL

Licence avec obligation de partage à l’identique

  • Partager, reutiliser, modifier les données
  • Faire un usage commercial
  • Obligations : mention de paternité, partager aux conditions identiques, garder ouvertes les données

https://spdx.org/licenses/ODbL-1.0.html#licenseText

Concepts de protection
de la vie privée (RGPD)

Définitions - art. 1 - Objet

Protéger les personnes physiques

à l'égard du traitement

des données à caractère personnel.

Définitions - art. 4.1

Donnée à caractère personnel:

Toute information se rapportant à une personne physique identifiée ou identifiable.

Sauriez-vous reconnaître une donnée personnelle ?

Définitions

La puissance fiscale est une donnée à caractère personnel ?

Et le taux d'imposition ?

Croisement de données

Dans un village de 250 habitants, combien de personnes ont une voiture avec 15 CV fiscaux et paient 45% d'impôts sur le revenu ?

Tout ce qui leur permet d'identifier une personne,
est une donnée personnelle

Définitions - art. 4.2

Traitement:

Toute opération [...] telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Définitions - art. 4.7

Responsable de traitement:

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement.

Savez-vous qui est le responsable de traitement de votre organisme ?

Je travaille dans une préfecture et j'effectue des traitements en suivant les instructions du Ministère de l'Intérieur. Suis-je le responsable ? Dois-je les ajouter à mon registre ?

Définitions - art. 5

Principes

  1. Licéité, loyauté, transparence
  2. Finalités déterminées, explicites et légitimes
  3. Adéquates, pertinentes et limitées
  4. Exactes et à jour
  5. Conservées pour la durée nécessaire
  6. Sécurisées

Définitions - art. 6

Licéité du traitement (bases juridiques)

  1. Consentement
  2. Contrat
  3. Obligation légale
  4. Mission d'intérêt public
  5. Sauvegarde des intérêts vitaux
  6. Intérêts légitimes

Publication basée sur le consentement

  • Collecte du consentement
  • Mentions obligatoires
  • Procédure d’exercice des droits
  • Réversibilité du consentement

Complété avec les propos de M Bastien BRILLET de la CADA
AMF 14-05

Publication du guide à la rentrée 2019 avec des cas pratiques

Paradigmes

Avant : communication sous conditions

Maintenant : culture de la diffusion spontanée

De quels documents parle-t-on ?

Tout document produit ou reçu par l’administration dans le cadre d’une mission de service public accomplie par des personnes morales de droit public ou privé.

Pour être communicable, le document doit être achevé, selon son auteur. Pas un document préparatoire.

Le document doit être en lien avec le service public.

Quels documents faut-il publier ?

  • Sur demande : tout document communicable
  • Par défaut (+3 500 hb, +50 agents) les documents:
    • ayant fait l’objet d’une demande de communication
    • figurant dans le RIP
    • Les bases de données
    • Les données, mises à jour, ayant un intérêt économique, social, sanitaire ou environnemental
    • Les règles définissant les principaux traitements algorithmiques

Est-ce réaliste ?

Les bases de données du monde économique sont d'une taille trop importante pour être publiées.

La mise en ligne de la base chorus n'est pas possible.

Pour la CADA le concept d'"intérêt économique, social, sanitaire ou environnemental" n'est pas clair.

Le document doit être communicable

Pou être communicable à toute personne, le document ne doit pas contenir un secret protégé par le CRPA. On doit occulter :

  1. Les secrets absolus: délibérations du Gouvernement, défense nationale, politique extérieure, sécurité de l'Etat, sécurité publique, sécurité des personnes, sécurité des SI des administrations, la monnaie, le crédit public, le déroulement des procédures engagées devant les juridictions
  2. Les secrets relatifs: les mentions des documents dont la communication porterait atteinte à la protection de la vie privée, au secret médical et au secret des affaires, éléments de notation d'un agent publique, éléments concernant le comportement répréhensible d'une personne, ...

Les "dispositions contraires"

Des dispositions législatives peuvent lever cette obligation d'occultation.

Attention
Une disposition qui prévoit une obligation de publication n'est pas une "disposition contraire". Sauf lorsqu’une disposition législative prévoyant qu’un document est rendu public dans son intégralité, l’administration est tenue de procéder à l’anonymisation du document.

Les "dispositions contraires" : exemples

Le CGCT permet à toute personne de demander communication des procès-verbaux, budgets, comptes et arrêtés des collectivités

Ces documents sont communicables et publiables en ligne, sans occultation d'informations.

Les "dispositions contraires" : exemples

Le code de l'environnement permet l'accès informations environnementales (informations et non pas des documents)

  1. L'état des éléments de l'environnement :air, atmosphère, eau, ...
  2. Les décisions, les activités et les facteurs : substances, énergie, bruit, déchets, émissions, ...
  3. L'état de la santé humaine, la sécurité et les conditions de vie ...

Et les données à caractère personnel ?

Les documents contenant ces données ne peuvent être communiquées à des tiers et ne sont pas publiables, mais :

  1. La seule présence de nom et prénom ne bloquent pas la communicabilité
  2. Egalement, les données dont on estime que le public doit avoir connaissance (au titre de l'organisation du service public, afin de pouvoir exercer son droit de recours) sont communicables

Dans ces cas, le document est communicable à toute personne qui fait la demande, mais pas publiables en ligne. Pour cela, il faudra rendre impossible l'identification (procéder à l’occultation).

Comment procéder à l’occultation ?

L’administration n’est pas tenue de communiquer si :

  1. Les travaux d’occultation dénatureraient ou videraient de sens le document
  2. Le document est indivisible ou l’occultation est trop complexe : (plus complexe qu’un traitement automatisé courant)

Si supprimer un champ suffit, pas d’anonymisation

Anonymisation & pseudonymisation

Source : sofianefedaoui.wordpress.com

Anonymisation ?

(Irréversible, difficile à mettre en place)

Une anonymisation irréversible consiste à supprimer tout caractère identifiant à un ensemble de données. Concrètement, cela signifie que toutes les informations directement ou indirectement identifiantes sont supprimées ou modifiées, rendant impossible toute ré-identification des personnes.

Pseudonymisation ?

(Réversible)

La pseudonymisation est une technique qui consiste à remplacer un identifiant (ou plus généralement des données à caractère personnel) par un pseudonyme. Cette technique permet la ré-identification ou l’étude de corrélations en cas de besoin particulier.

Diffusion sans anonymisation

Cela est possible dans 3 cas :

  1. Si « une disposition législative contraire » autorise une telle publication
  2. Si les personnes intéressées ont donné leur accord
  3. Si le document fait partie de la liste du CRPA 312-1-3 (*)

CRPA 312-1-3 (Décret n° 2018-1117 )

Par exemple, les jeux de données suivants peuvent être diffusés (service public)

:

  1. les organigrammes et annuaires des administrations ;
  2. le répertoire national des associations et le répertoire des entreprises et de leurs établissements dans leur intégralité ;
  3. les annuaires des professions règlementées ;
  4. les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
  5. les conditions d’organisation et d’exercice des activités sportives ;
  6. le répertoire national des élus ;
  7. les registres des chambres d’hôtes et gîtes ;
  8. la base des permis de construire.

Décret n° 2018-1117

CRPA 312-1-3 (tout n'est pas compris)

Afin de respecter la vie privée des personnes mentionnées, les adresses de messagerie électroniques non génériques et les coordonnées téléphoniques directes – y compris professionnelles – doivent toujours être occultées (proportionnalité)

L’indexation des données identifiantes par des moteurs de recherche externes doit être proscrite.

Diffusion en ligne et RGPD

Dans les cas où la diffusion des données à caractère personnel est autorisée, la publication des documents administratifs en open data doit se faire dans le respect du RGPD.

Cette diffusion en ligne correspond à un traitement et l'organisme qui difusse la donnée devient responsable de ce traitement

L'ensemble des principes applicables en matière de protection des données à caractère personnel est alors applicable: information, droits, exactitude, proportionnalité, finalité, base juridique, etc.

Le format de diffusion

  1. Format ouvert, aisément réutilisable et exploitable par un système de traitement automatisé
  2. Il est impératif d'utiliser le référentiel général d'interopérabilité (RGI)
  3. Format identique pour toutes les données regroupées au sein d’un même jeu de données
  4. Pas de création préalable d'un compte personnel

Réutilisation et CRPA

En principe :

  1. Librement réutilisables
  2. Ok si pas de conflit avec les droits de propriété intellectuelle
  3. Pas de redevance pour l'accès aux données
  4. Pas de droit d'exclusivité

Réutilisation et RGPD

La réutilisation de données à caractère personnel implique :

  1. Le réutilisateur devient responsable de traitement
  2. Finalité explicite et légitime au regard de l’activité professionnelle du réutilisateur
  3. Porter sur des données adéquates et proportionnées
  4. Garantir les droits des personnes
  5. Etre effectuée en toute transparence
  6. Porter sur des données mises à jour
  7. Respecter le principe de limitation de conservation
  8. Garantir la sécurisation des données

Conclusion

Tout faire ... et éviter les pièges

Quelle stratégie adopter ?

Notre conseil, dans la mesure du possible :

  1. Données du Socle
    + les données prioritaires pour l'Etat
  2. Un projet concret qui répond à un besoin
    construit avec les utilisateurs

Merci !