Open Data : un décret fixe les catégories de documents pouvant être publiés sans anonymisation

Encore l'exception culturelle 5
Accès libre
image dediée
Crédits : mucahiddin/iStock/ThinkStock
Loi
Xavier Berne

Plus de deux ans après le vote de la loi Numérique, le gouvernement vient de publier le décret fixant les catégories de documents administratifs pouvant être rendus publics sans anonymisation préalable. Annuaires administratifs ou résultats du bac sont par exemple concernés. La CNIL a toutefois plaidé pour différentes restrictions.

Si la « loi CADA » permet théoriquement au citoyen d’obtenir de nombreux documents administratifs (rapports, statistiques, délibérations, codes sources...), force est de constater qu’en pratique, il existe de nombreuses dérogations à ce « droit d’accès » au bénéfice de la société civile.

Les administrations n’ont par exemple pas à rendre publics les documents dont la divulgation pourrait porter atteinte au secret défense ou à la « sécurité des systèmes d'information des administrations » – pour ne citer que ces deux exemples.

Quant aux documents qui contiennent des données personnelles, leur publication est possible à condition qu’ils aient fait l'objet d'un « traitement » préalable, « permettant de rendre impossible l'identification » des personnes concernées. Le législateur a toutefois prévu des exceptions à ce principe d’occultation, dans trois hypothèses :

  • Lorsque les personnes intéressées ont donné leur accord
  • Lorsqu’une disposition législative autorise une telle publication
  • Lorsque les documents entrent dans une « catégorie » de documents pouvant être rendus publics sans anonymisation (et dont la loi Numérique prévoyait qu’une « liste » soit fixée par voie réglementaire).

Au Journal officiel de ce matin, l'exécutif a justement publié le décret listant ces « catégories de documents administratifs pouvant être rendus publics sans faire l'objet d'un processus d'anonymisation ».

Neuf catégories de documents pouvant être rendus publics sans anonymisation

Dorénavant, pourront expressément être communiqués ou mis en ligne, sans anonymisation, les « documents nécessaires à l'information du public » relatifs :

  1. Aux conditions d'organisation de l'administration, notamment les organigrammes, les annuaires des administrations et la liste des personnes inscrites à un tableau d'avancement ou sur une liste d'aptitude pour l'accès à un échelon, un grade ou un corps ou cadre d'emplois de la fonction publique.
  2. Aux conditions d'organisation de la vie économique, associative et culturelle, notamment le répertoire national des associations et le répertoire des entreprises et de leurs établissements.
  3. Aux conditions d'organisation et d'exercice des professions réglementées et des activités professionnelles soumises à la règlementation, notamment celles relatives à l'exercice des professions de notaire, avocat, huissier de justice et architecte.
  4. À l'enseignement et la recherche et notamment les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux.
  5. Aux conditions d'organisation et d'exercice des activités sportives.
  6. Aux conditions d'organisation et d'exercice de la vie politique, notamment le répertoire des élus (hors adresses, coordonnées téléphoniques et emails).
  7. Aux conditions d'organisation et d'exercice des activités touristiques.
  8. Aux activités soumises à des formalités prévues par des dispositions législatives ou réglementaires notamment, en matière d'urbanisme, d'occupation du domaine public et de protection des données à caractère personnel.

Dernière catégorie de documents visée par le décret : certaines archives, ayant par exemple trait aux condamnations pénales (sachant que la plupart des archives ne sont pas communicables avant un délai pouvant atteindre 25, 50, 75 ou parfois même 100 ans).

D'après la mission Etalab, la parution de ce texte ouvre la voie à une plus grande transparence sur de nombreux jeux de données : registres des avocats, huissiers de justice ou encore architectes ; base des permis de conduire ; registres des chambres d’hôtes et gîtes, etc. « Afin de respecter la vie privée des personnes mentionnées, les adresses de messagerie électroniques non génériques et les coordonnées téléphoniques directes – y compris professionnelles – doivent toujours être occultées », souligne néanmoins l'institution chargée d'accompagner les administrations dans leur marche vers l'Open Data.

L'exception culturelle

En parcourant l’avis rendu en mars dernier par la Commission nationale de l’informatique et des libertés (CNIL) sur ce qui n’était qu’un projet de décret, on découvre que la gardienne des données personnelles a plaidé pour plusieurs tours de vis.

Initialement, le gouvernement avait envisagé de fixer des catégories de « documents permettant au public d'être informé » de... L’autorité indépendante a toutefois prévenu que cette formulation pourrait « compliquer l'appréhension du périmètre matériel du texte », lequel méritait à ses yeux « d'être circonscrit aux seuls documents nécessaires à l'information du public ». L’autorité indépendante a de ce fait conseillé au gouvernement d’opter pour cette seconde version, plus « restrictive ».

Pour la CNIL, il faudra systématiquement occulter les données personnelles « dépourvues de toute utilité pour l'information du public ». En guise d’exemple, la commission explique qu'une « anonymisation partielle des organigrammes et annuaires des administrations devra être envisagée s'agissant notamment des données relatives aux agents n'ayant pas de lien immédiat avec le public ou n'exerçant pas de responsabilités particulières ».

Au fil de son avis, l’autorité s’est par ailleurs étonnée de l’absence de plusieurs catégories de documents, pourtant « manifestement susceptibles de contenir des données à caractère personnel nécessaires à l'information du public ». La CNIL a notamment remarqué qu’il n’y avait rien concernant la culture... À défaut de figurer dans le décret, « de tels documents ne pourront faire l'objet d'une communication sans anonymisation préalable, quand bien même leur publication sous une forme non anonymisée présenterait un intérêt réel pour le public » a prévenu la commission – cette fois en vain.

La CNIL veut éviter que ces données personnelles soient indexées par Google

D’une manière plus générale, la CNIL a tenu à souligner que le mouvement d’ouverture des données publiques avait « naturellement pour effet d'augmenter les risques potentiels » pour la protection de la vie privée. En effet, se justifie l’institution, l’Open Data « implique que des informations publiques puissent, sans même contenir initialement de données directement identifiantes, permettre, par recoupement avec d'autres informations publiques mises à disposition et plus généralement avec d'autres données disponibles sur Internet, l'identification ou la ré-identification de personnes physiques ».

La gardienne des données personnelles affirme néanmoins que « l'Open Data ne doit pas rencontrer de contraintes excessives au regard du droit d'accès des individus à l'information publique », notamment en raison de ses implications sur « l’innovation économique ».

La CNIL promet de ce fait d’accompagner les administrations pour que le droit d'accès « puisse être pleinement concilié avec le droit à la protection des données à caractère personnel ». Elle en appelle au passage à la publication d’une circulaire ou d’un guide de bonnes pratiques – un chantier sur lequel la CNIL espérait pourtant déjà aboutir... fin 2016.

En matière de recommandations, l’institution plaide tout particulièrement pour que les documents administratifs contenant des données personnelles ne puissent que difficilement être retrouvés via des moteurs de recherche de type Google. « L'indexation des données identifiantes sur des moteurs de recherche externes devrait être proscrite », écrit la CNIL. Les administrations se voient ainsi invitées à utiliser un fichier « robots.txt » ou à recourir à des « mécanismes visant à s'assurer que l'émetteur d'une requête concernant un document est bien un internaute et non un programme informatique (dispositif de « captcha ») ».

Difficile gestation d'un décret en discussion depuis plus de deux ans

Pour mémoire, ce décret avait initialement été annoncé pour janvier 2017 par le gouvernement de Manuel Valls. En début d’année, un rapport sénatorial indiquait toutefois que des réunions de travail avaient encore lieu avec la CNIL, alors que le Conseil national d'évaluation des normes (CNEN) et la Commission d’accès aux documents administratifs (CADA), également saisis pour avis, s’étaient prononcés dès le mois de janvier 2017.

Selon nos informations, le caractère interministériel de ce décret (puisqu’il s’applique aux documents administratifs de très nombreux acteurs publics) a largement ralenti les discussions.

Rappelons au passage qu'une dizaine de décrets de la loi pour une République numérique manque encore à l’appel, plus de deux ans après la promulgation du texte porté par Axelle Lemaire.


chargement
Chargement des commentaires...