Les données ouvertes, la protection des données personnelles et la CNIL

Open Data: l’avenir ?

  • Rappel du contexte

Dans la continuité de notre projet de Veille Technologique centré sur le thème           “Open Data : L’avenir?”, nous nous intéresserons ce mois-ci au sujet suivant : “Les données ouvertes, la protection des données personnelles et la CNIL”.
Cette réflexion fait suite à notre deuxième article « Les données ouvertes et leurs licences, quel cadre juridique ? »

Pourquoi ce thème ? Tout simplement parce que cette problématique est d’actualité sur la toile et qu’elle semble se poser d’elle-même lorsque l’on considère la libération ou la création d’importants jeux de données sous licence libre par le secteur public, privé ou par la société civile.
Mais quels sont les liens entre données ouvertes et protection des données à caractère personnel ? Qui a la responsabilité de traiter cette question ? Faut-il encadrer juridiquement ce processus de libération de données ? Et si oui, a qui en incombe la légitimité ?

Commençons par une définition, qu’est-ce qu’une « donnée à caractère personnel » ?

Extrait de l’article 2 de la loi n°78-17 du 6 janvier 1978 dite Loi Informatique & Libertés :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Dans l’hexagone, lorsqu’on évoque la protection des données personnelles, on pense en général à la CNIL (Commission Nationale de l’Informatique et des Libertés) [1]. Mais la CNIL s’est-elle penchée sur cette mouvance Open Data ? Est-ce de son ressort ?
Arrêtons maintenant de multiplier les questions et cherchons des réponses !

Dans le cadre de cet article, nous avons pris contact avec Benjamin Vialle pour lui poser quelques questions. Ancien élève de l’école Centrale de Nantes, Benjamin travaille désormais à la CNIL en tant qu’auditeur des Systèmes d’Informations au Service des Contrôles.
Son expérience au sein de la Commission Nationale de l’Informatique et des Libertés et son intérêt pour le sujet de l’Open Data nous ont été très utiles.

Commençons par les présentations…Lorsque nous t’avons proposé de te poser quelques questions sur le rôle de la CNIL en France vis-à-vis de la protection des données privées dans le cadre de la mouvance Open Data, tu as semblé enthousiaste et nous t’en remercions. Pourquoi te sens-tu concerné?

Benjamin Vialle: « La protection des données à caractère personnel est au cœur de mon métier, à la CNIL. C’est un sujet d’actualité et l’évolution des nouvelles technologies de l’information et de la communication nous offre chaque jour des problématiques différentes.
L’Open Data est un sujet qui m’intéresse tout particulièrement : j’ai découvert la communauté du Logiciel Libre lorsque je me suis intéressé au système d’exploitation GNU/Linux. Puis, j’ai eu l’occasion, pendant mes études, de participer à plusieurs projets libres, me permettant d’« intégrer » cette communauté. J’ai découvert les discours de Richard M. Stallman et Benjamin Bayart sur ces notions de liberté et de partage permises notamment grâce au réseau Internet.
L’arrivée de Wikipédia au milieu des années 2000 a permis de vulgariser cette mouvance du partage. […] L’Open Data me semble être une suite logique à cette libération de contenu, à plusieurs titres. L’Open Data rejoint, en quelque sorte, cette philosophie d’accès à l’information et pose un cadre à la publication de données qui seront par la suite librement accessibles et exploitables par chacun. Je trouve essentiel que les citoyens se ré-approprient les données de l’État et de ses administrations. Je m’inscris totalement dans cette tendance qui considère l’information publique comme un bien commun. »

Lorsque nous avons commencé à préparer notre discussion avec Benjamin, nous avons effectué une simple recherche du terme « open data » dans les articles publiés sur le site de la CNIL. Résultat : quatre articles récents évoquant d’avantage des pistes de réflexion que des actions concrètes pour accompagner la mouvance d’ouverture des données. Il semble donc que la commission ne s’intéresse que de loin au sujet de l’Open Data…Mais est-ce vraiment de son ressort ?

  • L’Open Data ne poserait aucun problème vis-à-vis de la protection des données personnelles…

Nous nous sommes à nouveau tournés vers Benjamin : Selon toi, y a-t-il une convergence naturelle entre les activités de la CNIL et la mouvance Open Data? Pourquoi?

Benjamin Vialle : «

(Wikipédia) « En droit français, les données publiques sont considérées comme susceptibles de contenir des informations sensibles, soit, car elles permettent d’identifier une personne, soit car elles sont soumises au droit d’auteur, secret d’État ou pour des considérations de défense nationale. Dans ce contexte, les données ne peuvent pas être librement diffusées sans autorisation préalable ou doivent faire l’objet d’une anonymisation. »

Dans le cas général, les données Open Data sont anonymes. Donc ces données ne sont pas des données à caractère personnel. Donc la Loi I&L ne s’applique pas. Fin de l’histoire ! Ou pas… »

Ainsi la CNIL s’intéresse bien aux personnes ou structures libérant des données à caractères sensibles pour lesquelles l’anonymisation est indispensable, mais ne généralise pas son rôle de régulation au mouvement d’ouverture des données. En effet, lorsqu’on libère des données, on se doit de les anonymiser au préalable.
Au sens juridique français, l’Open Data ne pose donc pas de problèmes en ce qui concerne la protection des données personnelles. En effet :

  1.   La CNIL joue un rôle de contrôle pour tout ce qui a attrait aux données à caractère personnel
  2.  La libération des données est en France est soumise à une obligation d’anonymisation

→ Les données libérées ne sont pas ou plus à caractère personnel donc la CNIL n’est pas directement concernée.

  • …pourtant on remarque certaines dérives, potentielles ou avérées

Bien que les données libérées soient préalablement anonymisées, la multiplication et la diversité des jeux de données disponibles rendent possible des recoupements complexes avec une étonnante facilité.

Benjamin Vialle : « Il existe de nombreux exemples sur la toile où, par recoupement de données « anonymes », on arrive à lever l’anonymat d’un individu de manière sûre. C’est pour cela qu’il faut une certaine mesure et prudence quant à la « libération » de ces données « anonymes ». »

Le site AgoraVox [2] relaie à ce propos un article du Canard Enchaîné sur une « bourde » de l’Institut national de la statistique et des études économique l’INSEE.
En effet, il est possible, en croisant les données fiscales publiées par l’INSEE et les informations géographiques de Google Maps, de savoir où habite (et donc qui est) « le célibataire déclarant le plus haut revenu », ou encore de la personne ayant « le plus haut revenu fiscal ».
Selon AgoraVox, les bénéficiaires d’une telle « fuite » de données à caractère personnel seraient « en premier lieu les sociétés de Data Mining » (comprendre « prospection de données »).

Ainsi Gaëtan Gorce [3], sénateur de la Nièvre et membre de la CNIL, « demande au Gouvernement de stopper les développements de l’Open Data tant qu’un cadre juridique respectueux de la vie privée n’aura pas été arrêté ». Expliquant que « Certes, aucune information “personnelle” détenue par les administrations ne sera en principe directement accessible : sauf que par recoupement des données brutes fournies par les tribunaux, les services d’état-civil ou ceux du cadastre, voire avec celles (le Big-Data) dont des entreprises sont déjà en possession (comme Google ou Facebook), on pourra très facilement reconstituer le profil de chacun d’entre nous. ».

  • Une incompatibilité de fond entre la loi I&L et la mouvance « Open Data »

Mais au-delà des simples questions juridiques, il existe pour François Bancilhon, créateur de Data Publica, une start-up spécialisée dans le domaine de l’Open Data [4], une « opposition frontale » entre les messages de la CNIL et de l’Open Data.
Il explique à propos de la CNIL qu’ « [...]elle doit comprendre que son message : « limitons le nombre de données stockées en les forçant de se justifier par leur usage », s’oppose de façon frontale à celui de l’Open Data « augmentons le nombre de données disponibles pour créer des usages nouveaux».».

Nous avons demandé à Benjamin ce qu’il pensait de cette citation.

Benjamin Vialle : « La loi I&L prévoit qu’un traitement de données à caractère personnel doit avoir une ou plusieurs finalités :

Extrait de l’article 6 de la loi n°78-17 du 6 janvier 1978 dite Loi Informatique & Libertés :
« [les données] sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. »

La loi I&L associe forcément une ou des finalités (un but) à un traitement de données à caractère personnel. Bien que l’Open Data ne concerne pas des données à caractère personnel, la CNIL doit effectivement prendre en compte cette inversion de paradigme. En effet, les données sont offertes pour ce qu’elles sont et non utilisées dans un but particulier. Les usages des données libérées ne sont pas connus d’avance. C’est cet aspect de l’Open Data que je trouve passionnant : nous ne connaissons pas à l’avance la finalité ! »

Ainsi les usages des données qui sont « libérées » ne sont pas courus d’avance –c’est d’ailleurs ce qui fait la force et le potentiel d’innovation de l’Open Data. Vulgarisé, le discours serait donc « Libérons un maximum de données et trouvons leur des applications innovantes ».

  • Open Data : l’avenir ?

Nous avons finalement apporté différents éléments de réponse aux questions posées en introduction mais, vous l’aurez compris, le sujet reste ouvert et l’avenir incertain.

Après avoir longuement évoqué la CNIL, il serait intéressant de se pencher sur la CADA (Commission d’Accès au Documents Administratifs) [5] qui est selon Benjamin: « sans doute l’Autorité Administrative Indépendante la plus concernée par l’Open Data.», et qui dispose depuis 2005 de nouvelles compétences en matière de réutilisation des données publiques.

L’évolution galopante des technologies de la communication et de l’information semble rendre difficile l’encadrement de la mouvance Open Data par les structures les plus concernées. Difficultés d’adaptation ? Manque de nouvelles structures dédiées ? Quoi qu’il en soit, en l’absence d’une législation spécifique, il sera difficile d’accompagner ce mouvement en toute sécurité.

  • Remerciements

Un grand merci à Benjamin Vialle pour sa disponibilité et son apport personnel à cet article !

  • Auteurs

Augustin Doury et Raphaël Traineau

Sources :

[1] “Site internet de la CNIL”
[2] “Site AgoraVox”
[3] “Blog du Sénateur Gaëtan Gorce”
[4] “Site Data Publica”
[5] “Site de la CADA”

Projet de veille technologique 2013-Le contenu des articles traitant du sujet “Open Data: l’avenir?” sera publié sous la licence WTFPL .

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>