Pour la première fois en France, le projet de loi pour une République Numérique, dit projet de loi Lemaire, publié le 26 septembre, a été ouvert à une consultation publique à laquelle ont participé plus de 20.000 internautes. Ce projet de loi est une parfaite illustration de ce que le droit tente d’appréhender : une réalité qui le devance et qu’il ne peut plus ignorer, à savoir l’entrée dans l’ère du tout-numérique. Parmi les valeurs républicaines remises au goût du jour, on retrouve le principe d’égalité revisité pour les besoins du numérique à travers le principe de neutralité du net, ou encore l’émergence d’un véritable service public numérique avec la création de nouveaux droits pour les usagers d’internet tels que, entre autres, le droit au maintien d’une connexion internet minimale pour les personnes défavorisées.

Pourquoi l’ouverture des données publiques ?

L’ouverture des données publiques constitue l’une des propositions-clé du projet de loi. Historiquement, cette proposition s’inscrit dans la continuité de la création de la Commission d’Accès aux Documents Administratifs (CADA) en 1978, et de la directive européenne de 2003 relative à la réutilisation des informations du secteur public. Le projet de loi Lemaire vise à renforcer et élargir l’ouverture des données publiques entamée par l’Etat et les collectivités territoriales depuis plusieurs années, et à aboutir à une ouverture des données par défaut et gratuite, c’est-à-dire disponible immédiatement en ligne, sans demande de communication préalable.

Pourquoi l’ouverture généralisée des données publiques ? Au-delà de la démarche portée par la volonté de transparence de l’activité publique, cette proposition aspire à servir l’exploitation du potentiel que représentent les données publiques en permettant de les reproduire, diffuser, adapter, et exploiter, y compris à titre commercial, à l’image des applications et sites créés à partir des données de la SNCF dans le but d’informer les voyageurs. Ce droit de réutilisation des données publique arrive avec son lot de questions subséquentes : qui pourra réutiliser les données publiques ? La réutilisation des données publiques à des fins commerciales sera-t-elle entièrement gratuite ?

Qu’en est-il lorsque des données sont des données personnelles ?

Et de quelles données parle-t-on ? Les données visées sont très extensivement celles issues des bases de données de l’Etat et les collectivités territoriales. Chacun pourra donc pressentir que la grande majorité des données portera sur des statistiques ou des données chiffrées de l’administration, telles que les budgets des collectivités territoriales, les statistiques du tourisme, ou les chiffres sur la délinquance et la criminalité, etc., sans que des données personnelles ne soient impliquées. Toutefois, ce risque existe, soit parce que l’administration peut publier par erreur un document contenant des données personnelles, soit parce que l’appariement de plusieurs données non directement identifiantes peut conduire à identifier précisément une personne (par exemple par la combinaison du code postal et de la date de naissance d’une personne). C’est pourquoi tant les administrations que les ré-utilisateurs des données doivent éliminer le risque de divulgation de données personnelles dès lors qu’il y aurait atteinte à la vie privée des personnes concernées.

Cela est d’autant plus vrai lorsque sont en jeu des données personnelles de santé. A cet égard, on peut faire le parallèle avec la création du Système National des Données de Santé (SNDS) qui est actuellement examiné par le parlement dans le cadre du projet de loi pour la modernisation de notre système de santé. Le SNDS réunirait par exemple les données de la recherche biomédicale, mais également les données médico-administratives telles que celles recueillies par l’assurance maladie ou encore les données issues de dossiers médicaux. Les données de santé sont considérées par la loi comme des données sensibles, qui pour être traitées, appellent la mise en œuvre de mesures de sécurité et d’obligation réglementaires renforcées telles qu’une autorisation par la CNIL ou leur parfaite anonymisation.

La protection de la vie privée est un enjeu.

La protection des données personnelles est une problématique contemporaine qui préoccupe de plus en plus les acteurs du monde juridique. C’est ce qui motive la récente décision de la Cour de justice européenne qui, le 6 octobre dernier, a invalidé le Safe Harbor, sorte de mécanisme d’auto-certification mis en place par les Etats-Unis et qui était jusque-là considéré comme l’un des cadres légaux permettant d’offrir un niveau de protection des données personnelles adéquat, c’est-à-dire équivalent au niveau européen. Cette décision impacte plus de 4.600 entreprises qui ne peuvent plus fonder leurs transferts de données personnelles vers les Etats-Unis sur le Safe Harbor, et qui devront réfléchir à un schéma plus contractualisé de ces transferts. Cette décision clé met sur le devant de la scène la réglementation européenne qui place la protection de la vie privée au centre du jeu, par opposition à l’approche américaine qui promeut la sécurité des données elles-mêmes.

Daniel Kadar, Avocat Associé, Reed Smith