B. LA TRIPLE GARANTIE APPORTÉE À LA PROTECTION DES DONNÉES PERSONNELLES
Comme on a pu le constater, la protection de la vie privée est l'une des préoccupations de la loi « CADA » et ce, depuis son origine 33 ( * ) . Pourtant, à l'occasion de la modification de la loi par ordonnance en 2005, il a été jugé nécessaire de mieux prendre en compte les enjeux de protection des données à caractère personnel en tant que tels, comme la directive de 2003 y incitait le législateur, que ce soit par l'introduction dans la loi de garanties spécifiques (1) ou par renvoi aux dispositions de la loi « Informatique et libertés » (2). Par ailleurs, la protection des données à caractère personnel est également assurée par les dispositions du code pénal relatives aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques (3).
1. Les garanties prévues par la loi du 17 juillet 1978
Lors de la transposition de la directive 2003/98/CE du 17 novembre 2003 précitée, plusieurs dispositions ont été insérées dans la loi du 17 juillet 1978 afin de garantir la protection des données à caractère personnel, aussi bien au stade de la diffusion des informations publiques (a) qu'à celui de leur réutilisation (b).
a) Les garanties prévues dans le cadre du droit d'accès
Le troisième alinéa de l'article 7 de la loi « CADA » prévoit explicitement le cas où des documents administratifs contiendraient des données à caractère personnel. Dans cette hypothèse, il subordonne la publication du document à un traitement préalable afin « d'occulter ces mentions [entrant dans le champ d'application de l'article 6] ou de rendre impossible l'identification des personnes qui y sont nommées ».
b) Les garanties prévues dans le cadre du droit à réutilisation
L'article 13 de la loi « CADA » est dédié à la réutilisation d'informations publiques comportant des données à caractère personnel 34 ( * ) . Il crée en son premier alinéa un « embryon de régime particulier », ainsi que le désignait le rapport au Président de la République relatif à l'ordonnance n° 2005-650 du 6 juin 2005 précitée, publié au Journal officiel du 7 juin 2005. Ce régime spécifique a été conçu afin de couvrir les cas de réutilisations qui, n'étant constitutives ni d'un traitement automatisé ni d'un traitement portant sur les données à caractère personnel contenues ou appelées à figurer dans des fichiers, échapperait au régime prévu par la loi « Informatique et libertés ».
Article 13 de la loi du 17 juillet 1978, dite loi « CADA » « Les informations publiques comportant des données à caractère personnel peuvent faire l'objet d'une réutilisation soit lorsque la personne intéressée y a consenti, soit si l'autorité détentrice est en mesure de les rendre anonymes ou, à défaut d'anonymisation, si une disposition législative ou réglementaire le permet. « La réutilisation d'informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. » |
Ce régime soumet la réutilisation de telles informations à trois conditions alternatives.
• Le recueil du consentement de la personne concernée
Le fait qu'une information publique contenant des données à caractère personnel ait été diffusée en application de l'article 7 de la loi « CADA », et notamment de son premier alinéa, ou d'une disposition légale n'emporte pas le consentement des personnes concernées pour la réutilisation de leurs données. Il est donc nécessaire de s'assurer de ce consentement avant toute réutilisation, notamment à des fins commerciales. Telle est l'interprétation de la CADA dans son avis du 19 avril 2012, Directeur de la CNAMTS 35 ( * ) , dans lequel elle a estimé que les dispositions du code de la santé publique prévoyant l'obligation d'inscription au tableau de l'ordre des médecins et l'affichage des tarifs des honoraires pratiqués ne pouvaient être regardées comme permettant la réutilisation, à moins de recueillir préalablement l'accord des médecins concernés.
• L'anonymisation par l'autorité détentrice
Cette anonymisation est à la charge de l'autorité détentrice. C'est pourquoi l'article 15 de la loi « CADA » prévoit la possibilité pour les administrations de percevoir des redevances pour l'établissement desquelles « l'administration qui a produit ou reçu les documents contenant des informations publiques susceptibles d'être réutilisées tient compte des coûts de mise à disposition des informations, notamment, le cas échéant, du coût d'un traitement permettant de les rendre anonymes ».
L'article 40 du décret d'application de la loi 36 ( * ) prévoit cependant que si l'opération d'anonymisation représente un effort disproportionné, l'administration peut refuser d'y procéder, donc de communiquer le document en cause : « l orsque la réutilisation n'est possible qu'après anonymisation des données à caractère personnel, l'autorité détentrice y procède sous réserve que cette opération n'entraîne pas des efforts disproportionnés ».
• L'autorisation par une disposition législative ou réglementaire spécifique
Ce dernier cas d'autorisation ouvre potentiellement très largement le champ de la réutilisation d'informations publiques comportant des données à caractère personnel puisqu'il appartient non seulement au législateur mais également au pouvoir réglementaire de prévoir des exceptions au principe de non réutilisation de ces informations. Il convient d'observer que l'article 7 de la loi « Informatique et liberté s » autorise quant à lui un traitement de données à caractère personnel dès lors qu'il vise à satisfaire le respect d'une obligation légale.
Article 7 de la loi du 6 janvier 1978, dite loi « Informatique et libertés » « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : « 1° Le respect d'une obligation légale incombant au responsable du traitement ; « 2° La sauvegarde de la vie de la personne concernée ; « 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ; « 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ; « 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée. » |
Ce régime spécifique de l'article 13 de la loi « CADA » a été jugé par Mme Nathalie Mallet-Poujol, lors de son audition par vos rapporteurs, encore plus protecteur que celui garanti par la loi « Informatique et libertés ».
2. Le renvoi aux dispositions de la loi « Informatique et libertés »
En sus de ce régime spécifique, le second alinéa de l'article 13 de la loi « CADA » opère un renvoi vers la loi « Informatique et libertés ».
En effet, conformément à l'article 2 de cette même loi, dès lors qu'une réutilisation consiste en un traitement automatisé de données à caractère personnel ou en un traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers, elle entre dans le champ d'application de la loi « Informatique et libertés », à moins qu'elle ne soit mise en oeuvre que « pour l'exercice d'activités exclusivement personnelles ».
Outre les conditions de licéité prévues aux articles 6 à 10 de la loi « Informatique et libertés », en particulier l'obligation de traitement loyal des données et de recueil du consentement, la loi fait obligation à tout responsable de traitement de respecter des formalités préalables 37 ( * ) , en particulier l'obligation de déclaration auprès de la Commission nationale de l'informatique et des libertés (CNIL). Il appartient donc au réutilisateur de procéder, le cas échéant, à ces formalités.
La loi « Informatique et libertés » impose par ailleurs aux responsables de traitement certaines obligations 38 ( * ) . Parmi celles-ci figure le respect des droits d'opposition, d'information et de rectification reconnus aux personnes physiques par les articles 38, 39 et 40. Tout réutilisateur doit donc mettre en capacité les personnes concernées d'exercer leurs droits.
À titre incident, il convient d'observer que si la CADA distingue la diffusion de la réutilisation, considérant que « la simple mise en ligne intégrale de documents, sans aucun commentaire ni ajout, en accès libre et gratuit ne permettant pas leur modification, ne constitue par une « réutilisation » au sens des dispositions du chapitre II » de la loi « CADA » 39 ( * ) , cette mise en ligne constitue en revanche un traitement de données à caractère personnel, tombant sous le coup de la loi « Informatique et libertés ».
Enfin, la jurisprudence a permis de clarifier le régime applicable aux archives publiques.
Les articles L. 213-2 et L. 213-3 du code du patrimoine organisent le régime de communicabilité des archives publiques en appliquant des délais différenciés selon la nature de ces archives. Ils ne précisent cependant nullement le régime de réutilisation des informations publiques figurant dans ces archives.
À défaut d'interdiction ou d'encadrement de la réutilisation des informations publiques contenues dans les archives publiques, la cour administrative d'appel de Lyon a jugé que « les informations publiques communicables de plein droit, figurant dans les documents détenus par les services d'archives publics, qui constituent des services culturels au sens des dispositions de l'article 11 de la loi du 17 juillet 1978, relèvent de la liberté de réutilisation consacrée de façon générale par cette loi, dans sa rédaction issue de l'ordonnance du 29 avril 2009 » 40 ( * ) . La cour administrative d'appel a toutefois estimé qu'il appartenait « à l'autorité compétente, saisie d'une demande de réutilisation de ces documents, de s'assurer que cette réutilisation satisfai[sai]t aux exigences qu'imposent les dispositions de l'article 13 de cette loi qui, s'agissant d'informations publiques comportant des données à caractère personnel, renvoient aux dispositions de la loi n° 78-17 du 6 janvier 1978 ».
Ainsi, bien que le chapitre II de la loi « CADA » ne s'applique pas aux informations publiques détenues par les services départementaux d'archives, il leur est fait obligation de s'assurer du respect des dispositions de son article 13 dès lors que des données personnelles sont en jeu, donc de s'assurer du respect par le réutilisateur des dispositions de la loi « Informatique et libertés ».
3. La répression administrative et pénale
La CADA n'est dotée d'aucun moyen pour assurer le respect de l'article 13 de la loi « CADA », l'article 18 de cette même loi ne lui confiant un pouvoir de sanction qu'en cas de réutilisation d'informations publiques en méconnaissance des dispositions de l'article 12 relatif à l'intégrité des données, ou des conditions de réutilisation prévues par une licence ou en violation de l'obligation d'obtention d'une licence.
La CNIL, en revanche, dès lors qu'elle est compétente, dispose d'un pouvoir de sanction en cas de réutilisation contraire à une disposition de la loi « Informatique et libertés », conformément au chapitre VII de cette dernière. Les décisions prononçant une sanction peuvent faire l'objet d'un recours de pleine juridiction devant le Conseil d'État, en vertu du dernier alinéa de l'article 46 de cette même loi.
La loi « Informatique et libertés » renvoie enfin, pour les sanctions pénales, aux dispositions des articles 226-16 à 226-24 du code pénal, relatifs aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques. Dans le cadre de l' open data , le réutilisateur qui n'aurait pas pris les précautions nécessaires serait en particulier passible de la peine de trois ans d'emprisonnement et de 100 000 euros d'amende prévue au deuxième alinéa de l'article 226-22 en cas de divulgation, commise par imprudence ou négligence, de données à caractère personnel ayant pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée. Les personnes morales encourent, quant à elles, outre une amende égale au quintuple de celle prévue pour les personnes physiques, certaines peines prévues à l'article 131-9 du code pénal, en application de l'article 226-24 du même code.
Article 226-22 du code pénal « Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. « La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 euros d'amende lorsqu'elle a été commise par imprudence ou négligence. « Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit. » |
* 33 L'article 6 dans sa version initiale excluait ainsi du droit d'accès les documents dont la consultation ou la communication porterait atteinte au « secret de la vie privée ».
* 34 La notion de données à caractère personnel renvoie à la définition de l'article 2 de la loi « Informatique et libertés » : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres . »
* 35 CADA, avis n° 20121581 du 19 avril 2012, Directeur de la CNAMTS.
* 36 Décret n° 2005-1755 du 30 décembre 2005 relatif à la liberté d'accès aux documents administratifs et à la réutilisation des informations publiques, pris pour l'application de la loi n° 78-753 du 17 juillet 1978.
* 37 Cf. chapitre IV de la loi « Informatique et libertés ».
* 38 Cf. chapitre V de la loi « Informatique et libertés ».
* 39 Cf. avis n° 20082716 du 31 juillet 2008 Maire de Chelles . La CADA a en revanche précisé que « le fait d'insérer [d]es documents accompagnés de commentaires ou sur un site invitant des tiers à émettre de tels commentaires, ou encore de subordonner leur accès au paiement d'une somme ou la publication de simples extraits constituent des formes de réutilisation au sens de l'article 10 de la loi ».
* 40 CAA Lyon, 3 ème chambre, 4 juillet 2012, Département du Cantal