Alors que les administrations se verront bientôt imposer de nouvelles obligations d’Open Data « par défaut », la Commission d’accès aux documents administratifs a récemment précisé, au travers de différents avis, ce qui était attendu de la part des acteurs publics. La création obligatoire d'un compte utilisateur est par exemple prohibée.
Si la « loi Cada » de 1978 a instauré en France un principe de « communication » des documents administratifs (sur demande), la loi Numérique de 2016 est venue compléter ses dispositions en imposant aux administrations de diffuser directement, sur Internet cette fois, certains fichiers.
Dorénavant, lors d’une demande d’accès à un document administratif (rapport, code source, statistiques...), le citoyen peut ainsi réclamer que celui-ci soit directement mis en ligne. L’avantage est double. Le fichier devient alors accessible à tous, sur Internet, et l’administration n’est plus tenue, juridiquement, de le transmettre à un éventuel nouveau demandeur.
Autre nouveauté : même si le document sollicité est transmis individuellement par mail au citoyen, les acteurs publics se voient désormais contraints de le publier – et de diffuser par la suite ses éventuelles « versions mises à jour ». Seules les collectivités territoriales de moins de 3 500 habitants et les administrations de moins de 50 agents ou salariés échappent à cette obligation, en vigueur depuis avril 2017.
L'ouverture d'un compte utilisateur, une barrière incompatible avec l'Open Data
Saisie dans le cadre de plusieurs affaires, la Commission s’est récemment prononcée sur les conditions de mise en œuvre de ces nouvelles obligations.
Dans un avis rendu le 17 mai, l’institution a par exemple été amenée à se pencher sur le portail Open Data de la région Bourgogne-Franche-Comté, « IDéO BFC ». Et pour cause : pour télécharger certaines données publiques proposées sur ce site officiel, il fallait non seulement créer un compte, mais aussi parfois adresser une demande écrite – qui, en cas de validation, donnait lieu à l’envoi de codes d’accès.
Après avoir procédé à ses propres constatations, la Cada retient que si une administration souhaite publier des documents sur son site Internet, « elle peut en soumettre l'accès à l'ouverture d'un compte personnel, à condition que la création de ce compte soit générée automatiquement sans intervention de sa part ».
Par contre, « la consultation sur Internet de documents librement communicables ne saurait être subordonnée à une procédure de demande d'accès impliquant une autorisation préalable de l'administration ». Si la « création préalable d'un compte personnel » est obligatoire, prévient l’autorité indépendante, les fichiers en question ne peuvent en effet « être regardés comme faisant l'objet d'une diffusion publique ».
En clair, les administrations peuvent imposer la création d'un compte utilisateur. Mais uniquement s’il s’agit de proposer des documents administratifs sur la base du volontariat.
Si la publication correspond non à une initiative de l'administration mais à une obligation de mise en ligne, cette fois, il ne peut y avoir de telle barrière d’accès.
Faute de remplir cette condition, le citoyen devient pleinement légitime à faire valoir son droit à communication (qui s’éteint normalement lorsqu’un document administratif est diffusé sur Internet). C’est d’ailleurs ce qu’il s’est passé dans l’affaire examinée par la Cada, puisque l’administration a été invitée à transmettre les fichiers sollicités par le demandeur, bien qu’ils étaient visiblement proposés sur le portail « IDéO BFC » – mais en accès restreint.
Tous les documents administratifs ne sont pas publiables
Au travers d’un autre avis, rendu le 14 décembre 2017, la Cada s’est penchée sur la requête d’un citoyen qui demandait à ce que la mairie de Carpentras mette en ligne le bulletin de salaire d’un employé communal. Le fameux document lui avait été envoyé personnellement en juin, soit quelques mois après l’entrée en vigueur de la nouvelle obligation d’Open Data « par défaut » posée par la loi Numérique.
Pour la Commission, les fonctions et le statut des fonctionnaires et agents publics « justifient que certaines informations les concernant puissent être communiquées ». Il en va ainsi, « notamment, de la qualité d'agent public, de l'adresse administrative et, s'agissant de la rémunération, des composantes fixes de celle-ci : grade et échelon, indice de traitement, nouvelle bonification indiciaire (NBI), indemnités de sujétion ».
Par contre, pas question de dévoiler des éléments qui révéleraient le statut familial de la personne concernée (« supplément familial ») ou les appréciations portées sur son travail (primes de rendement, etc.).
La Cada a toutefois émis un avis défavorable dans l’affaire en question, estimant que les occultations à réaliser n’auraient pas suffi à rendre impossible toute réidentification. L’institution explique en effet que la mise en ligne sollicité impliquait :
« D'une part, l'occultation des mentions figurant sur le bulletin de salaire liés à la situation familiale et personnelle de l'agent (adresse personnelle, supplément familial), à l'appréciation ou au jugement de valeur porté sur sa manière de servir (primes pour travaux supplémentaires, primes de rendement) ainsi que, dans le cas où sa rémunération comporterait une part variable, du montant total des primes versées ou du montant total de sa rémunération, dès lors que ces données, combinées avec les composantes fixes, communicables, de cette rémunération, permettent de déduire le sens de l'appréciation ou du jugement de valeur porté sur lui et, d'autre part, l'occultation de toute mention relative à son identité ou susceptible de permettre, directement ou indirectement, son identification. »
Un décret de la loi Numérique toujours attendu
En juin dernier, la Commission a rappelé qu’outre les occultations au titre des secrets légaux de type secret défense, les documents comportant des données personnelles ne pouvaient être mis en ligne « que s'ils ont fait l'objet d'un traitement permettant de rendre impossible l'identification de ces personnes ».
Des dérogations sont permises uniquement dans trois hypothèses, détaillait ensuite la Cada :
- « Si une disposition législative autorise une telle publication sans anonymisation ;
- Si les personnes intéressées ont donné leur accord ;
- Si les documents figurent dans la liste prévue par le décret mentionné au deuxième alinéa de l'article L312-1-2 du CRPA, lequel n'a cependant pas encore été adopté. »
S’agissant du troisième cas de figure, la loi Numérique prévoit en effet qu’une « liste des catégories de documents » pouvant être rendus publics sans anonymisation soit fixée par décret « pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés ». Ce texte n'est toujours pas paru au Journal officiel, alors qu’il était initialement envisagé pour « janvier 2017 » par le gouvernement Valls...
Un récent rapport sénatorial indiquait néanmoins qu’un projet de décret avait « reçu un avis favorable du Conseil national d'évaluation des normes (CNEN) le 12 janvier 2017 et de la Cada le 26 janvier 2017. Il a également été soumis à la CNIL pour avis à la même époque et des réunions de travail ont encore eu lieu un an plus tard, au cours du mois de janvier 2018. »
La Direction interministérielle au numérique, la Dinsic, a fait savoir aux élus du Palais du Luxembourg que la parution du fameux texte était désormais « imminente ». Une source proche du dossier nous confie pourtant que ce décret serait encore « bloqué dans les circuits de validation en interministériel ».
Bientôt de nouvelles obligations d'Open Data « par défaut »
Toutes les interprétations apportées par la Cada au fil de ses différents avis sont d’autant plus importantes qu’à compter du 7 octobre prochain, les administrations d’au moins 50 agents ou salariés devront mettre en ligne, toujours en application de la loi Numérique :
- Leurs « bases de données »
- Leurs données « dont la publication présente un intérêt économique, social, sanitaire ou environnemental »
- Les « règles définissant les principaux traitements algorithmiques » utilisés pour prendre des décisions individuelles (de type attribution d’allocation ou affectation d’enseignant)
Et ceci « dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ».
Commentaires (3)
#1
Ça donne envie de demander le code source (ou a minima la documentation complète) des machines à voter à toutes les communes qui en utilisent encore.
" />
#2
Petit a petit, l’oiseau fait son nid!
C’est que si on continue comme ca, on pourrait presque devenir bon en transparence…
#3
Ces précisions de la CADA sont intéressantes!
" />
Cependant, les administrations réfractaires à la transparence se moqueront de les respecter puisqu’ils n’y a pas (à ma connaissance) de sanctions prévues dans les textes de loi… La seule solution est de saisir un juge d’un tribunal administratif qui se contentera d’imposer la transmission du document demandé plusieurs mois après mais sans aucunes sanctions particulières à l’encontre de l’administration en question!
En effet, il suffit de se rappeler le parcours du combattant pour obtenir la publication du code source d’APB… En fin de compte, l’EN avait publié une partie du code source d’APB au format papier!