République numérique et démocratie participative : la donnée en débat

Après un exercice inédit – pour un projet de loi – de démocratie participative, le gouvernement ajuste son texte, attendu en Conseil des ministres le 9 décembre prochain et au Parlement en janvier 2016, sur l’ouverture des données publiques et la protection des données personnelles. Le plus dur sera de passer de la théorie à la pratique.

Par Ariane Samson-Divisia, avocate au barreau de Paris, cabinet K&L Gates

C’est sous l’URL www.republique-numerique. fr, pleine
de promesses, qu’a été lancée le 26 septembre dernier,
la consultation sur le projet de loi « pour une république numérique », dit « Lemaire », du nom de la secrétaire d’Etat chargée du Numérique. Au 18 octobre, date de clôture de la consultation, le site Internet faisait état des chiffres de cette démocratie participative à la française : 147.710 votes et 8.501 contributions (1), parmi lesquelles des centaines de propositions d’articles (2).

Open data : les questions en suspens
La question de l’ouverture des données publiques (open data) a particulièrement retenu l’attention des citoyens, entraînant dans son sillage la question de la protection des données personnelles, traitée dans le projet de loi quelques articles plus loin, et plus largement dans le projet de règlement européen (3) sur la protection des données
à caractère personnel (« Privacy »), actuellement en discussion. Le projet de loi
« Lemaire » s’ouvre sur un chapitre premier intitulé « Economie de la donnée », qui parle assez peu d’économie(s) et beaucoup de données. Il retient pour principe de mettre à disposition – sur un « standard » en ligne ouvert – des documents administratifs et données produites et reçues par les administrations, en ce compris
les services publics industriels et commerciaux (Spic), doublé d’un principe de facilitation de la réutilisation des données « de référence » (base nationale des adresses, cadastre, base Sirene des entreprises Insee, etc) dans le cadre d’un nouveau « service public de la donnée ». Certains ont pu y reconnaître un outil de transparence financière : « la donnée de l’économie et des économies ! ». D’autres,
un nouveau souffle pour l’innovation numérique. D’autres encore y voient une porte ouverte à une exploitation lucrative de ces données par les GAFA (4) et autres géants du Web. Comment, demandent-ils, protéger ou rentabiliser ce patrimoine collecté,
trié et mis à disposition aux frais du contribuable français ? Légitime question d’un encadrement à l’ère de la circulation instantanée et mondiale des données, à laquelle
le projet de loi ne répond pas, en l’état. Si le projet d’ouverture des données publiques recueille une large majorité de votes positifs, les citoyens se posent néanmoins des questions bien concrètes sur sa mise en oeuvre :
• 1-Quelle ouverture technique des données publiques ?
L’utilisation d’un format standard, commun à tous les services publics industriels et commerciaux ou administratifs, serait plus efficace et permettrait une mise à disposition effective et sans discrimination. Mais cela pourrait engendrer des coûts de matériels et humains de production non prévus dans les budgets des acteurs publics concernés. Le vote d’un budget supplémentaire est-il prévu pour financer la diffusion gratuite du patrimoine informationnel de l’Etat ?
• 2-Quel encadrement de l’ouverture des données publiques ?
Certains souhaitent une ouverture totale et sans discrimination. D’autres préfèreraient que la loi opère une distinction entre bénéficiaires publics et bénéficiaires privés des données. En cause, les grands acteurs du Big Data en ligne, mais également l’ensemble des entreprises privées, qui pourraient réaliser des bénéfices grâce à l’exploitation de ces données qu’elles ont obtenu gratuitement, et par là même se positionneraient en tant que concurrents des services publics grâce aux bases de données financées et publiées gratuitement par ces derniers.

Laisser les GAFA à la porte de l’Hexagone numérique ?
Rappelons ici que l’ouverture des données a pour but annoncé de permettre, dans le meilleur des mondes, de redonner un souffle à l’innovation française et de réaliser pleinement son potentiel en matière de technologies et de numérique. Dans le meilleur des mondes ? Ou dans la meilleure des France ? Plusieurs contributeurs ont suggéré de limiter l’accès aux données publiques aux personnes physiques et morales situées en France. On en comprend bien la raison : laisser les géants américains du Web à la porte de l’Hexagone numérique. Quid, alors, du marché unique européen et de la libre circulation des données ? On sent ici le manque de profondeur de la réflexion stratégique. Rendre accessible ou diffuser mondialement, ce n’est pas la même chose. Dans un cas, on observe les usages et on peut les réguler. Dans l’autre, on observe les dommages et on peut les regretter.

Appliquer une redevance d’exploitation ?
Au-delà d’un encadrement technique par la localisation de l’utilisateur, un encadrement contractuel complémentaire paraît souhaitable. Une licence « open data » permettrait en effet de contrôler en amont la mise à disposition des données et d’éviter que celle-ci ne devienne contre-productive. Elle fixerait des limites volumétriques d’extraction et/ou un système d’enrichissement automatique des données par le bénéficiaire afin de préserver le secret des affaires tout en maintenant une concurrence saine entre Spic et acteurs privés. Elle permettrait également de définir une redevance raisonnable, basée principalement sur les bénéfices réalisés avec l’exploitation de cette matière première du XXIe siècle.
• 3-Quelle sécurité pour les données ?
Il s’agit notamment d’éviter que des informations stratégiques sur les infrastructures essentielles de la France ne tombent dans de mauvaises mains. Il s’agit aussi d’éviter que les données personnelles des citoyens, résidents et assurés sociaux ne tombent dans toutes les mains. L’article 1er du projet prévoit bien l’anonymisation des données personnelles, « sauf si une disposition législative ou réglementaire autorise leur diffusion sans autorisation préalable ou si la personne intéressée y a consenti ».
Cette exception particulièrement vague, lue à l’aune de la loi sur le renseignement promulguée en juillet dernier (5), devra être réécrite pour être conforme à la protection européenne des données personnelles. Concernant cette fois la donnée personnelle, élément du patrimoine immatériel du citoyen, l’article 16 du projet de loi propose d’ajouter à l’article 1 – à vocation introductive – de la loi du 6 janvier 1978 dite
« Informatique et Libertés », le droit pour toute personne « de décider des usages
qui sont faits de ses données à caractère personnel et de les contrôler, dans les conditions et limites fixées par les lois et règlements en vigueur ». Comme les participants à la consultation, on ne pourra que s’interroger sur l’intérêt de cette disposition particulièrement large, qui semble n’être destinée qu’à venir compléter la déclaration qui constitue actuellement l’article 1er de la loi « Informatique et Libertés », selon laquelle l’informatique ne doit pas porter atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, ou aux libertés individuelles ou publiques. Au-delà d’un droit d’être informé des usages qui sont faits de ses données et à s’y opposer, voire
d’y consentir explicitement, droits déjà consacrés par la loi « Informatique et Libertés » et la directive européenne de 1995 sur la protection des données (6), de quel nouveau « droit de décider des usages qui sont faits de ses données » parle-t-on ici ? L’exemple fourni par le gouvernement sur le site de la consultation vise les conditions générales d’utilisation (CGU) des sites web affirmant leur droit de propriété sur les données des utilisateurs. Avec ce simple ajout, l’individu serait seul propriétaire de ses données personnelles, qu’elles aient été ou non mises en ligne par celui-ci. Les données personnelles seraient donc des biens immatériels du patrimoine de l’individu, attachées à un droit de la personnalité inaliénable mais démembrable, l’usage en étant partagé entre l’individu et des centaines ou milliers d’entités dans le monde, et les fruits presque exclusivement entre ces centaines ou milliers d’entités.
Si l’on comprend bien l’idée d’un refus de l’appropriation des données personnelles
par les acteurs de l’Internet, on comprend moins la portée concrète de cet article. Comment et dans quelle mesure le contrôle de l’individu sur ses données sera-t-il
accru ? A défaut de précisions complémentaires, cette disposition semble déjà dépassée par le projet de règlement européen « Privacy », qui prévoit de poser en règle le consentement explicite de l’individu à la collecte et aux utilisations de ses données. Dans la même veine, le projet de loi offre à l’individu la possibilité de régler
le sort des données personnelles qu’il a mises en ligne après son décès, autrement dit d’organiser sa « mort numérique ». Si cet article, qui prend sur cet aspect une avance certaine sur le droit européen, est nettement plus détaillé que les précédents, on imagine mal comment il pourra être mis en oeuvre simplement et efficacement en pratique.

Enfin, pour mieux protéger ce patrimoine, la Commission nationale de l’informatique
et des libertés (Cnil) verrait ses pouvoirs de contrôle étendus… envers celui qui s’y soumet volontairement. Dans le cadre de l’approche « Privacy by Design » soutenue par le projet de règlement européen, le législateur pourrait soumettre à l’avis de la
Cnil les propositions de loi concernant la protection ou le traitement des données personnelles. Quant aux entreprises, elles pourraient demander à bénéficier d’un
« accompagnement à la mise en conformité », à travers la délivrance par la Cnil d’un
« certificat de conformité ». Ces dispositions vont dans le sens du futur droit européen. Une question demeure et se répète parmi les contributions à la consultation : les moyens financiers et humains de la Cnil seront-ils accrus en conséquence ?

Dans le cadre du règlement européen
Ces projets de dispositions – qu’ils soient relatifs aux données publiques ou aux données personnelles – partent certainement d’une bonne intention, mais ils se positionnent dans un cadre technologique et règlementaire européen en pleine évolution. Gageons que la démocratie participative permettra de rendre ce projet moins théorique, si le gouvernement veut bien sortir des principes et écouter ceux qu’il a sollicités. @