« Open data » ou « donnée ouverte » fait référence aux données publiques, c’est-à-dire celles auxquelles le public peut accéder librement, mais aussi utiliser et partager. La donnée ouverte se définit par trois critères : sa disponibilité, son utilisation, et sa distribution. Ainsi, à partir du moment où la donnée est ouverte, elle est gratuite et libre de droits.
Avec la loi pour une République numérique du 7 octobre 2016, dite loi Lemaire, l’open data est devenue une obligation pour les administrations. Désormais, les administrations ont l’obligation de communiquer les données qu’elles ont en leur possession aux autres administrations « qui en font la demande pour l’accomplissement de leurs missions de service public » (article 1 de la loi Lemaire).
Or les données ne sont pas communiquées seulement aux autres administrations : en effet, les administrations ont aussi l’obligation de rendre publiques, donc accessibles à tous, certaines données. C’est le cas notamment lorsque la publication de ces données présente des intérêts économiques, sociaux, sanitaires ou environnementaux. Les administrations sont dont contraintes, depuis 2016, à plus de transparence.
Se pose alors la question des données personnelles et de la conciliation entre le principe d’open data de la loi Lemaire et celui de protection des données personnelles du Règlement général sur la protection des données (ci-après RGPD).
L’article 4 du RGPD définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne est identifiée ou identifiable dès lors que ladite information permet de l’identifier, directement ou indirectement, via son nom, son identifiant, sa localisation, etc.
Mais alors comment concilier l’open data et les droits à la vie privée et à la protection de ses données personnelles garantis par le RGPD ?
La loi Lemaire et l’article L.312-1-2 du code des relations entre le public et l’administration proposent une solution : concernant les données à caractère personnel, leur mise à disposition est conditionnée à un traitement préalable de manière à « occulter les mentions à caractère personnel » (article L.312-1-2 du code des relations entre le public et l’administration). C’est ainsi que la loi Lemaire ne prohibe pas la mise à disposition des données personnelles, mais impose aux administrations de rendre impossible l’identification des personnes concernées.
Le RGPD apporte quelques précisions quant au traitement de ces données à caractère personnel. Selon l’article 5, le traitement doit respecter les principes de licéité, de loyauté et de transparence. Le traitement n’est considéré licite que dans certains cas bien précis, notamment lorsque la personne concernée a donné son consentement ou lorsque « le traitement est nécessaire à l’exécution d’une mission d’intérêt public » (article 6).
Ainsi, les données personnelles restent, dans la mesure du possible, protégées. Un équilibre semble avoir été trouvé en vue de faire coexister l’open data imposée aux administrations et la protection des données à caractère personnel garantie par le RGPD.
Aydan Ozturk
M2 Cyberjustice – Promotion 2021/2022
Sources :