La photographie du territoire, entre donnée personnelle et donnée publique

A/Une restriction à l'accès

La diffusion de documents portant atteinte à la vie privée des personnes concernées n'est pas autorisée, seul l'intéressé peut se les voir communiquer (1). De même, la publication de documents comportant des données à caractère personnel est encadrée par l'article L312-1-2 du Code des relations entre le public et l'administration (CRPA). Notamment, si les données à caractère personnel ont fait l'objet d'un traitement permettant de rendre impossible l'identification des personnes concernées, alors le document peut être diffusé (2).

1. L'interdiction de la diffusion de données personnelles portant atteinte à la protection de la vie privée

L'accès (et non la publication) à des documents contenant des données personnelles n'est pas restreint sauf si cette communication porte atteinte à la protection de la vie privée, alors seul l'intéressé pourra se les voir communiquer (article L311-6 1° du CRPA^108(*)). Cette positionn'est pas sans rappeler la jurisprudence relative au droit à l'image d'un bien^109(*). Néanmoins, le Code des relations entre le public et l'administration apprécie a priori l'atteinte^110(*) tandis que la jurisprudence sur l'image du bien prévoit un contrôle a posterioridu trouble anormal causé au propriétaire^111(*). Aussi, la communication de certains documents administratifs, que la CADA a considéré comme ne portant pas atteinte à la protection de la vie privée, pourrait s'avérer, en réalité, préjudiciable par la suite à l'intimité de la personne concernée. Tel pourrait être le cas de photographies aériennes ou spatiales du domicile.

Au niveau européen, il est possible de se référer aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne qui consacrent le droit au respect de la vie privée et familiale, et notamment le droit au respect du domicile ; et la protection des données à caractère personnel (que les rédacteurs de l'article L311-6 1° semblent avoir oubliée).

Prenons l'exemple d'un individu qui demande à avoir accès à la photographie détaillée (d'une résolution de 20 cm) d'une petite ville, photographie si précise qu'elle permet d'individualiser chacune des maisons qui la composent et d'identifier indirectement les propriétaires de ces maisons. Ces données concernent alors la vie privée de ces propriétaires puisque l'adresse et le domicile sont des composantes de cette notion. Pour autant, y-a-t-il atteinte à la protection de la vie privée ? Une telle atteinte est difficile à caractériser puisqu'elle s'apprécie in concreto. Elle l'est d'autant plus lorsqu'elle est liée à la communication d'une donnée puisqu'elle doit alors être caractérisée a priori.

L'article L311-6 1° du Code des relations entre le public et l'administration,en se limitant à la protection de la vie privée, favorise donc l'accès aux documents administratifs. A contrario, cet article dispose, en effet, que les données personnelles dont la communication ne porte pas atteinte à la protection de la vie privée peuvent être rendues accessibles sur demande d'un individu.

La CADA rappelle ainsi qu'un tiers peut « accéder à des informations qui, seraient-elles « nominatives » au sens de la loi du 6 janvier 1978, (...) ne concernent pas la vie privée. »^112(*)Cet accès est doublement limité :il ne se fait que sur demande individuelle ; et il ne concerne pas les données portant atteinte à la vie privée. Une communication individuellepourrait, en effet, sembler moins préjudiciable à la protection des données personnelles puisqu'elle se fonde sur une action, sur une demande de la part du tiers. Une diffusion massive serait, quant à elle, source de plus de contentieux puisque la probabilité d'une atteinte est fonction du nombre de personnes ayant accès à la donnée personnelle.

Cette position peut être débattue puisqu'elle favorise l'accès aux documents administratifs au détriment de la protection des données personnelles^113(*).Néanmoins, l'article 37 de la loi Informatique et Libertés, modifié par l'ordonnance n°2015-1341 du 23 octobre 2015 pour s'adapter à l'ouverture des données publiques, prévoit que les dispositions de la loi Informatique et Libertés ne s'opposent pas à l'accès aux documents administratifs et à la réutilisation des informations publiques. « En conséquence, ne peut être regardé comme un tiers non autorisé (...) le titulaire d'un droit d'accès aux documents administratifs (...) ». Est-il alors nécessaire d'inscrire cet accès au sein du registre des traitements ? La question est sujette à interprétation.

Il pourrait sembler nécessaire, pour l'administration à qui la demande d'accès à l'image du territoire a été adressée, de respecter la loi Informatique et Libertés, dès lors que cette image permet d'identifier une ou plusieurs personne(s) physique(s). En effet, la mise à disposition de l'image constituerait alors un traitement de données à caractère personnel et devrait donc être intégrée au registre des traitements. Néanmoins, l'article 37 considère que le demandeur n'est pas un tiers non autorisé et qu'il peut donc accéder aux données. Une distinction est alors à opérer entre le destinataire du traitement et le titulaire d'un droit d'accès. Il semblerait donc qu'il ne soit pas nécessaire de formaliser cet accès au sein du registre des traitements. L'administration doit tout de même informer la personne concernée qu'un accès à ses données personnelles est rendu possible. La question se pose alors de l'exercice de son droit d'opposition. L'accès d'un particulier à une information personnelle détenue par l'administration répond àl'obligation légale de communication des documents administratifs. Il n'y a alors pas de droit d'opposition à cet accès pour la personne concernée.

2. L'occultation et l'anonymisation des données personnelles

Le groupe de travail « Article 29 » a pu considérer que l'anonymisation, dans le cadre de l'accès aux données ouvertes, présentait un intérêt majeur puisqu'elle « atténue les risques pour les personnes concernées. »^114(*)

Si les documents administratifs dont la communication au public porterait atteinte à la protection de la vie privée ne peuvent être accessibles, une fois anonymisés, les tiers sont en mesure de se les voir communiquer (article L311-7 du CRPA).

La CADA^115(*)a posé deux conditions à cette communication partielle d'informations : il faut que le document soit « divisible », c'est-à-dire qu' « il doit permettre de procéder en pratique à l'occultation » ; et « l'occultation ne doit pas dénaturer le sens du document ni priver d'intérêt la communication». Cette seconde condition ne se retrouve pourtant pas dans l'article L311-7 du Code des relations entre le public et l'administration. Elle s'induit néanmoins de l'intérêt recherché par l'ouverture des données : la réutilisation.

Ainsi, l'administration doit s'efforcer, avant de communiquer une information portant sur la vie privée, de détacher celle-ci des informations publiques ou bien de l'anonymiser lorsque cela n'est pas possible.

La loi Lemaire a égalementinséré un article L312-1-2 dans le Code des relations entre le public et l'administration qui prévoit trois conditions alternatives à la publication des documents administratifs comportant des données à caractère personnel : le consentement ; l'anonymisation ; ou bien un fondement légal. Cet endurcissement se justifie car l'accès aux informations n'est plus individuel mais multiple.

Les conditions de l'article L312-1-2 sont en réalité hiérarchisées. Ce n'est qu'en l'absence de dispositions législatives expresses ou de consentement de la personne concernée que l'administration peut anonymiser la donnée pour la publier. La CADA, dans un avis de 2012^116(*), précise que si la publication est prescrite par une disposition législative, alors l'information ne peut être anonymisée. En effet, l'une des conditions principales de l'article L312-1-2 du Code des relations entre le public et l'administration serait alors remplie : le fondement légal.

Ainsi, pour la communication de données pouvant porter atteinte à la vie privée, l'administration doit tâcher d'occulter ou de détacher ces données des autres informations publiques tandis que pour la publication de données personnelles, l'administration doit d'abord vérifier si la personne concernée n'a pas consenti à cette publication ou s'il n'existe pas une disposition législative prescrivant une telle publication avant de rendre anonymes ces données personnelles.

Concernant la communication de données pouvant porter atteinte à la protection de la vie privée, l'enjeu n'est pas nécessairement de rendre impossible l'identification de la personne concernée, mais d'éviter cette atteinte. Ainsi, le texte évoque l'occultation et la disjonction. Ces deux procédés permettent de communiquer les données sans que les informations ne puissent porter atteinte à la vie privée de la personne. Peu importe que la personne reste identifiable. L'anonymisation des données personnelles avant publication, au contraire, a pour fonction essentiellede rendre impossible l'identification de l'individu.

Y-a-t-il alors une distinction à établir entre l'occultation et l'anonymisation ? Il semblerait plutôt que la différence entre les deux notions soit une différence de degré et non de nature. L'anonymisation est irréversible, l'occultation ne l'est pas. En effet, l'intéressé peut demander à se voir communiquer les informations le concernant et qui sont susceptibles de porter atteinte à sa vie privée. L'administration devra alors lui fournir l'information totale. En revanche, si un tiers fait la même demande, l'administration ne pourra lui fournir qu'une information partielle. L'anonymisation des données dépend alors de l'identité du demandeur.Pour la publication en ligne de données à caractère personnel, cette diffusion sera nécessairement anonymiséepour tous et ce, de façon irréversible.

Le groupe de travail « Article 29 » évoque deux techniques d'anonymisation^117(*) : la randomisation, c'est-à-dire la transformation des données pour que le lien avec l'individu soit rompu (il n'est plus possible d'identifier la personne) ; et la généralisation des données pour qu'elles se fondent dans un ensemble (une masse d'individus est liée à la donnée). Il est possible d'anonymiser les données par un transcodage ou par un chiffrement cryptographique^118(*).

La CNIL bénéficie d'un pouvoir de certification et d'homologation de ce processus d'anonymisation des données « notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration. » (article 11 g) de la loi Informatique et Libertés). Il convient de ne pas oublier que le processus d'anonymisation, en lui-même, est un traitement de données à caractère personnel. Ainsi, la CNIL, en étant responsable de la qualité de l'occultation, a parfois la possibilité d'assurer une ouverture respectueuse de la protection des données à caractère personnel^119(*).

Néanmoins, ces techniques peuvent s'avérer inadaptées. L'anonymisation doit aboutir à un « effacement » des données personnelles puisqu'elle a pour objectif d'empêcher l'identification de manière irréversible. Il subsiste pourtant toujours un risque résiduel d'identification lorsqu'il est possible de recouper des informations pour obtenir l'identification de l'individu.

Le règlement général sur la protection des données (RGPD), en son considérant 26, définit implicitement la donnée anonyme comme la donnée qui ne permet pas ou qui ne permet plus de rendre une personne physique identifiable dès lors que « l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement » n'y parvient pas. Le règlement précise encore que les moyens raisonnablement susceptibles d'être utilisés s'observent en considération notamment du coût de l'identification, du temps nécessaire, des technologies disponibles et de leur évolution.

Toutefois, l'évolution de la technique ne peut être anticipée. De même les moyens susceptibles d'être utilisés ne sont pas identiques pour tous. Les moyens du responsable de traitement peuvent être moins importants que ceux du réutilisateur des données. L'éventualité qu'un tiers puisse bénéficier de technologies que le responsable de traitement ne possède pas ou dont il n'a même pas connaissance pourrait alors faire passer l'anonymisation pour une solution obsolète. Le groupe de l'Article 29 propose donc un test pour vérifier la solidité de l'anonymisation d'une donnée. Une anonymisation efficace doit, en effet, s'opérer dans la continuité et doit être régulièrement contrôlée selon les évolutions des techniques. Le groupe de l'Article 29 préconise un triple test afin de vérifier si la donnée résiste toujours à l'individualisation, à la corrélation et à l'inférence^120(*).

L'administration peut également refuser d'anonymiser les données à caractère personnel lorsque cela représente pour elle des « efforts disproportionnés ». Initialement prévue par l'article 40 du décret du 30 décembre 2005^121(*), cette dérogation se retrouve désormais à l'article R322-3 du Code des relations entre le public et l'administration.En effet, l'occultation peut être lourde financièrement et humainement pour l'administration. Elle peut s'avérer complexe et minutieuse, dépassant alors la puissance de certains algorithmes.

En outre, certains risques sont impossibles à éliminer par des procédés d'anonymisation. Le rapport d'information au Sénat sur la protection des données personnelles dans l'open data^122(*) préconise alors d'adapter la diffusion en fonction du risque.

Concernant les images du territoire, il est évident que les données dont la communication serait susceptible de porter atteinte à la vie privée des individus, telles que les images de certains domiciles, ne peuvent être détachées de la photographie. En effet, l'image est un ensemble indivisible. Pour autant, il serait envisageable d'occulter certaines zones géographiques de ces photographies aériennes ou spatiales. Deux solutions peuvent être ici évoquées : la diffusion uniquement de photographies dont la résolution ne permet pas d'identifier les individus ; ou le floutage des immeubles concernés. La première solution semble néanmoins contrevenir à l'intérêt même de la publication puisque la photographie, moins précise, perdrait de sa valeur aux yeux des réutilisateurs. Quant à la seconde solution, elle ne permet pas une anonymisation irréversible. Même flouté, il reste possible de localiser l'immeuble (et d'obtenir des informations sur la taille de la parcelle ou du bâtiment). Il nous semble impossible, à ce jour, d'effacer sur une image le lien entre un immeuble et sa localisation, son adresse. Dès lors, le propriétaire ou le locataire de l'immeuble reste identifiable, même si celui-ci est flouté.

L'administration devra-t-elle refuser de communiquer ou de diffuser les images du territoire en sa possession dès lors qu'elles identifient un individu ?La directive INSPIRE prévoit que les États membres peuvent restreindre l'accès du publicaux données géographiques concernées^123(*) lorsque cet accès serait susceptible, notamment, de nuire à « la confidentialité des données à caractère personnel et/ou des fichiers concernant une personne physique lorsque cette personne n'a pas consenti à la divulgation de ces informations au public, lorsque la confidentialité de ce type d'information est prévue par la législation nationale ou communautaire » (article 13 1.f) de la directive INSPIRE).Pour autant, nombre d'ortho-images et de photographies aériennes et spatiales^124(*) sont publiées en ligne via le portail « data.gouv.fr ».Sur quel fondement ?

* ¹⁰⁸ L'article L311-6 du CRPA prévoit d'autres restrictions à l'ouverture des données, notamment le secret médical, le secret industriel, l'appréciation ou le jugement de valeur sur une personne physique.

* ¹⁰⁹Cass. Ass. Plén., 7 mai 2004, sté civ. Particulière Hôtel de Girancourt, Bull. 2004 A. P. n°10 p.2, D.2004.1545, note J.-M. Bruguière et E. Dreyer, D.2004. Somm. 2046, obs. N. Reboul-Maupin, JCP G 2004.II.10085, note C. Caron

* ¹¹⁰ L'article L311-6 1° du CRPA dispose que « Ne sont communicables qu'à l'intéressé les documents administrations dont la communication porterait atteinte à la protection de la vie privée. »

* ¹¹¹ En outre, ce trouble anormal transcende l'atteinte à la vie privée puisqu'il intègre également le parasitisme ou la concurrence déloyale.

* ¹¹² « La loi CNIL », Les régimes concurrents, Les régimes particuliers de communication, L'accès aux documents administratifs, site de la CADA

* ¹¹³ Si l'exigence de la protection de la vie privée permet de maintenir un équilibre entre l'accès individuel aux documents et la préservation de certaines données personnelles, cet équilibre est trop précaire, selon nous, puisqu'il ne bénéficie pas à toutes les données à caractère personnel.

* ¹¹⁴ Avis du groupe de l'Article 29 (G29), 05/2014 sur les techniques d'anonymisation, 0829/14/FR, WP 216, 10 avril 2014, p.3

* ¹¹⁵ « Les modalités d'occultation », Les modalités d'occultation, Les modalités de communication, L'exercice du droit d'accès, L'accès aux documents administratifs, site de la CADA

* ¹¹⁶Conseil 20121488, CADA, séance du 7 juin 2012

* ¹¹⁷Avis du groupe de l'Article 29 (G29), 05/2014 sur les techniques d'anonymisation, 0829/14/FR, WP 216, 10 avril 2014, p.3

* ¹¹⁸ PIETTE-COUDOL Thierry, « Fascicule 109-50 : DONNÉES PUBLIQUES - Gestion administrative et exploitation technique », JurisClasseur Administratif, 30 novembre 2017, n°71

* ¹¹⁹ « Open data : la protection des données comme vecteur de confiance », 29 août 2017, CNIL

* ¹²⁰Avis du groupe de l'Article 29 (G29), 05/2014 sur les techniques d'anonymisation, 0829/14/FR, WP 216, 10 avril 2014, p.11

* ¹²¹ Décret n°2005-1755 du 30 décembre 2005 relatif à la liberté d'accès aux documents administratifs et à la réutilisation des informations publiques, pris pour l'application de la loi n° 78-753 du 17 juillet 1978

* ¹²² « La protection des données personnelles dans l'open data : une exigence et une opportunité », Rapport d'information n°469 (2013-2014) de MM. Gaëtan GORCE et François PILLET, fait au nom de la commission des lois, 16 avril 2014

* ¹²³Cf. « A/ La description du territoire : une mission d'intérêt public », pp.43-44 de cette étude

* ¹²⁴Notamment les ortho-images du RGE.