La photographie du territoire, entre donnée personnelle et donnée publique

B/Dans l'attente du pack de conformité Open Datade la CNIL

La coopération entre la CNIL et la CADA a été renforcée par la loi pour une République numérique. Notamment, les deux autorités peuvent se réunir dans un collège unique lorsqu'une problématique intéressant leurs compétences propres est posée. La CNIL a également proposé la rédaction d'un « pack de conformité open data » afin d'établir un référentiel pour l'ouverture et la réutilisation d'informations publiques comportant des données à caractère personnel. Dans l'attente de ce pack, il convient d'interpréter les textes en vigueur, notamment le récent règlement général sur la protection des données (2) et de suivre les conseils du groupe de l'Article 29 (1).

1. L'avis du groupe de l'Article 29

Dans un avis de 2013^130(*), le groupe de l'Article 29 s'est intéressé à la réutilisation des informations du secteur public et des données ouvertes, et plus particulièrement à la conciliation de cette ouverture avec la protection des données personnelles.

Ses auteurs définissent la réutilisation comme le fait de rendre disponibles des bases de données, dans un format standardisé et réutilisable, à toute personne, gratuitement et à toutes fins.

Qu'en-est-il alors si ces bases de données contiennent des données personnelles ? Les auteurs considèrent que « les règles relatives à la protection des données à caractère personnel ne devraient pas constituer un obstacle excessif au développement du marché de la réutilisation ». Ils ajoutent qu'il convient néanmoins de respecter le droit à la protection des données à caractère personnel et le droit à la vie privée (ajoutant là une condition non prévue par l'article L322-2 du CRPA). Le groupe de l'Article 29 rappelle en effet que l'open data est basé sur la transparence des acteurs publics et non des particuliers.

Ainsi, l'administration, en possession de données à caractère personnel, peut ne pas les rendre disponibles (il n'y a pas eu de consentement, il n'existe pas de dispositions législatives expresses ou la donnée n'est pas « désidentifiable »), les anonymiser ou bien les diffuser.

Le groupe de l'Article 29 recommande également aux administrations d'évaluer l'impact d'une réutilisation ouverte sur la protection des données personnelles afin d'identifier les risques. Il conseille une approche pro-active, c'est-à-dire que l'administration doit faire un état des lieux de ses documents pour identifier les données personnelles. En outre, il rappelle que l'ouverture des données pour permettre leur réutilisation doit être compatible avec la finalité telle que décrite dans le registre des traitements.

Le groupe de l'Article 29 souhaiterait que le droit national précise plus clairement quelles sont les données considérées sont des données publiques. La loi pour une République numérique a entamé ce travail en définissant les documents administratifs susceptibles d'ouverture. Reste à la jurisprudence d'apprécier les qualifications ambiguës comme ce peut être le cas pour certaines ortho-images ou photographies de l'IGN.^131(*)

2. L'arrivée du règlement général sur la protection des données et son apport en matière d'Open Data

L'article 86 du règlementest relatif au traitement et à l'accès du public aux documents officiels. Il prévoit que « les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l'exécution d'une mission d'intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l'Union ou au droit de l'État membre auquel est soumis l'autorité publique ou l'organisme public, afin de concilier le droit d'accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre du présent règlement. » Il n'apporte néanmoins aucune précision sur les modalités de cette communication.

C'est le considérant 54 qui permet d'appréhender la conciliation entre ouverture des données publiques et protection des données personnelles. Il fait notamment référence à la directive 2003/98/CE du Parlement européen et du Conseilrelative à la réutilisation des informations du secteur public. « L'acceÌs du public aux documents officiels peut e^treconsideìreì comme eìtant dans l'inteìre^t public. Les donneìes aÌ caracteÌre personnel figurant dans des documents deìtenus par une autoriteì publique ou un organisme public devraient pouvoir e^tre rendues publiques par ladite autoriteì ou ledit organisme si cette communication est preìvue par le droit de l'Union ou le droit de l'Eìtat membre dont releÌve l'autoriteì publique ou l'organisme public. »

Il considère également que l'acceÌs du public aux documents officiels et la reìutilisation des informations du secteur public doivent être conciliés avec le droit aÌ la protection des donneìes aÌ caracteÌre personnel.

Le règlement souhaite notamment protéger les documents dont l'acceÌs est exclu ou limiteì pour des motifs de protection des donneìes aÌ caracteÌre personnel, et les parties de documents accessibles qui contiennent des donneìespersonnelles dont la reìutilisationest incompatible, selon la loi, avec la protection des personnes physiques aÌ l'eìgard du traitement des donneìes aÌ caracteÌre personnel.

Le règlement introduit également les notions de « privacy by design », c'est-à-dire la protection de la vie privée dès la collecte ; et de « privacy by default », la protection de la vie privée par défaut. Si le concept de « privacy by design » trouvait à s'appliquer aux photographies de bâtiments, il serait interprété commela mise en place d'un système floutant les domiciles concernés dès la prise de vue. Ce floutage contreviendrait alors à la mission de description précise du territoire de l'IGN.

* ¹³⁰ Avis du groupe de l'Article 29 (G29), 06/2013 sur la réutilisation des informations du secteur public (ISP) et des données ouvertes,1021/00/FR, WP 207, 5 juin 2013

* ¹³¹ Notamment la BD ORTHO HR®.