L’Open data risque de se heurter aux droits de propriété intellectuelle des services publics

Le buffet des données publiques est ouvert, mais les administrations réfractaires à l’open data n’ont peut-être pas dit leur dernier mot avec le droit d’auteur. La loi « République numérique » pourrait leur avoir offert une nouvelle arme pour lutter contre la réutilisation de leurs données.

Marie-Hélène Tonnellier (avocat associée) & Corentin Pallot (avocat) – Latournerie Wolfrom Avocats

L’« économie de la donnée » est sur toutes les lèvres, et l’ouverture en grand des vannes des données générées par les services de l’Etat et des collectivités territoriales est présentée par beaucoup comme un sérieux levier de croissance. A voir les données déjà « offertes » au téléchargement par les administrations sur la plateforme publique Data.gouv.fr, l’on comprend aisément tout le potentiel pour les opérateurs économiques : base « Sirene » de l’ Institut national de la statistique et des études économiques (Insee) donnant accès au répertoire de 9 millions d’entreprises et 10 millions d’établissements actifs, mais aussi par ailleurs données de trafic des transporteurs publics, cartes maritimes, liste des fournisseurs des départements, dépenses d’assurance maladie par les caisses primaires et départementales, etc.

Accélération du mouvement open data
Mais l’open data entend dépasser la seule sphère économique et compte s’imposer comme un véritable outil démocratique en permettant à tous, et notamment aux journalistes et aux médias, d’accéder et d’exploiter les masses colossales de données générées par l’administration. Toujours sur la plateforme Data.gouv.fr, développée et animée par la mission Etalab (voir encadré page suivante), les statistiques relatives aux impôts locaux, aux infractions constatées par département ou encore les résultats de tous les établissements scolaires privés et publics français, représentent sans conteste une source exceptionnelle mise à la disposition des journalistes de données (data journalists) pour entrer dans l’intimité du fonctionnement de l’Etat. C’est la loi « pour une République numérique » du 7 octobre 2016 (1), portée par Axelle Lemaire (alors secrétaire d’Etat chargée du Numérique et de l’Innovation), qui a souvent été présentée comme la grande réforme de l’open data. Le chantier avait en réalité été déjà bien entamé dans les mois qui l’avaient précédée. Ainsi le législateur avait-il par exemple décidé d’aller au-delà des impératifs européens en matière de tarification des données, en consacrant purement et simplement le principe de la gratuité avec la loi « Valter » (2). Mais il faut néanmoins reconnaître à Axelle Lemaire une avancée législative notable pour l’open data, qui a d’ailleurs introduit la notion de « service public de la donnée » (3). Parmi ses mesures les plus emblématiques, l’ouverture des données
des services publics industriels et commerciaux apporte un élargissement considérable à la notion d’« information publique ». Alors que la réglementation autorisait jusqu’à cette réforme l’accès à ces données mais en interdisait la libre réutilisation (4), il est à présent possible d’exploiter ces immenses gisements informationnels.
Nous pourrions également citer d’autres nouveautés d’une aide indéniable pour le développement de l’open data, comme l’obligation faite aux administrations de publier en ligne certains documents et informations, tels que les « bases de données, mises à jour de façon régulière, qu’elles produisent ou qu’elles reçoivent et qui ne font pas l’objet d’une diffusion publique par ailleurs » ou encore « les données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental » (5). De même, la contrainte faite aux administrations qui souhaitent soumettre la réutilisation gratuite à des licences de choisir parmi une liste fixée par décret permettra nécessairement une plus grande facilité de réutilisation (6), même
si les administrations conservent néanmoins la possibilité d’élaborer leurs propres licences, à condition néanmoins de les faire homologuer par l’Etat.
Mais qui trop embrasse mal étreint. Et à vouloir border textuellement tous les aspects de l’open data, la loi « République numérique » pourrait avoir offert aux administrations une nouvelle arme pour lutter contre la réutilisation de leurs données, grâce à leurs droits de propriété intellectuelle.

Opposition à la libre-circulation des data
Il existait depuis longtemps un débat sur la faculté pour les administrations d’opposer
à la libre réutilisation de leurs informations publiques leurs droits de propriété intellectuelles sur les documents dans lesquels ces précieuses données figuraient (bases de données, logiciels, etc.). Certes, la Commission d’accès aux documents administratifs ( CADA ) , a u torité administrative chargée de veiller à la liberté d’accès aux documents administratifs, avait eu l’occasion de répondre par la négative à cette question (7).

Propriété intellectuelle et droit d’auteur
Mais la doctrine d’une administration ne suffit pas à faire le droit et la cour administrative d’appel de Bordeaux, en 2015, avait justement jugé le contraire, en considérant que le conseil général du département de la Vienne pouvait opposer son droit sui generis de producteur de bases de données pour s’opposer à la réutilisation des archives publiques de la collectivité (8). Le Code de la propriété intellectuelle permet notamment d’interdire l’« extraction, par transfert permanent ou temporaire de
la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit [et la] réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme » (9). Saisi de la question, le Conseil d’Etat a rejeté l’argumentaire des magistrats bordelais par un arrêt du 8 février 2017 (10). En interdisant à l’administration d’opposer un quelconque droit de propriété intellectuelle, le Conseil d’Etat apportait ainsi sa pierre à l’édifice de l’open data. Sauf qu’entre-temps le législateur avait à tout prix souhaité légiférer sur le sujet.
Visiblement inquiets, si l’on en croit les discussions parlementaires, de l’arrêt de la
cour administrative de Bordeaux précité, les rédacteurs de la loi ont cru devoir écarter expressément la faculté pour l’administration d’opposer ses droits sui generis de producteur de base de données. Mais l’enfer est pavé de bonnes intentions et, apparemment obnubilés par cet arrêt d’appel, les rédacteurs se sont alors contentés d’interdire aux administrations d’opposer ce droit sui generis sans faire mention des autres droits de la propriété intellectuelle – notamment le droit d’auteur. Les administrations host i les à l’open data ne manqueront probablement pas d’exploiter cette maladresse pour opposer leurs autres droits de propriété intellectuelle. Tout
aussi contraire à l’esprit d’ouverture de la loi , celle-ci cantonne ce t te interdiction d’opposer le droit sui generis de producteur de bases de données à la réutilisation
des seuls contenus de « bases de données que ces administrations ont obligation de publier ». A savoir : les « bases de données, mises à jour de façon régulière, [que les administrations] produisent ou qu’elles reçoivent et qui ne font pas l’objet d’une diffusion publique par ailleurs » (11). Cette disposition ouvre encore ici la voie à une interprétation a contrario des administrations réticentes, puisque seules certaines bases de données doivent impérativement être publiées.
La CADA a eu beau s’émouvoir de ce dangereux excès de précision, la loi a été votée et promulguée en l’état (12). Il existe donc à ce jour une marge d’interprétation et, partant, une source d’inconnu quant à la faculté pour l’administration de s’opposer à la libre réutilisation de données lorsque celles-ci sont contenues dans des documents sur lesquels elle détient des droits de propriété intellectuelle : soit parce qu’elle invoque des droits de propriété intellectuelle autres que ceux du producteur de bases de données, soit parce qu’il s’agit de bases de données dont la publication n’est pas obligatoire.

Des administrations peu enclines à partager
On sait que certaines administrations n’ont pas été particulièrement enchantées par
le mouvement l’ouverture des données publiques, pour diverses raisons : nécessaire surcharge d’activité induite par le travail de mise à disposition, refus de partager leurs précieuses données jalousement conservées depuis des décennies (ou pense notamment aux services publics industriels et commerciaux), manque à gagner puisque certaines administrations monétisaient – parfois fort cher ! – leurs données. Ces administrations ne manqueront certainement pas de s’engouffrer dans la brèche.
La grande razzia sur les données publiques que l’on nous avait annoncée se révèlera peut-être moins facile qu’on nous l’avait promise. @

ZOOM

Google, Microsoft, Orange ou encore Salesforce, partenaires d’Etalab
En France, la politique d’ouverture en ligne des données publiques (Open data) est pilotée par la mission Etalab, placée sous l’autorité du Premier ministre depuis février 2011 et, depuis octobre 2012, rattachée directement au Secrétaire général pour la modernisation de l’action publique. Etalab gère le portail unique interministériel Data.gouv.fr, lequel met « à disposition librement l’ensemble des informations publiques de l’Etat, de ses établissements publics et, si elles le souhaitent, des collectivités territoriales et des personnes de droit public ou de droit privé chargées d’une mission de service public ». Etalab rassemble en outre des acteurs de l’innovation en France au sein d’une communauté appelée Dataconnexions, dans laquelle l’on retrouve Google, Microsoft, Orange ou encore Salesforce parmi les partenaires. C’est dans ce cadre que sont organisés des concours pour encourager l’usage des données publiques et récompenser les projets les plus innovants. Six éditions ont déjà eu lieu. @

Charles de Laubier

Rapport « Numérique et Libertés » de l’Assemblée nationale : l’Etat est appelé à garder l’équilibre

La Commission de réflexion sur le droit et les libertés à l’âge du numérique avance – dans son rapport du 8 octobre 2015 – l’idée d’« infrastructures de données essentielles » et en appelle aussi à préserver « à tout prix » la liberté d’expression sur Internet, tout en s’opposant au changement de statut des hébergeurs.

Par Winston Maxwell, avocat associé, Hogan Lovells

La Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique, à l’Assemblée nationale*, a rendu son rapport le 8 octobre 2015. Ce rapport (1) a pour ambition
de poser quelques principes qui doivent guider la réflexion des parlementaires lorsqu’ils examinent différents projets de lois touchant au numérique. Plusieurs points forts ressortent de
ce rapport « Numérique et Libertés ».

 

Open Data et liberté d’expression
Le premier constat de la commission « Droit et Libertés à l’âge du numérique » est que la loi française est en retrait par rapport à la législation américaine ou britannique en matière d’accès aux documents administratifs. Elle préconise une transparence accrue de l’ensemble des documents administratifs. Même si la Commission d’accès aux documents administratifs (Cada) fait bien son travail, ses avis ne sont pas toujours suivis d’effets. Par ailleurs, la loi prévoit trop de dérogations permettant à l’administration de s’opposer à des demandes de communication de documents. La commission de l’Assemblée nationale préconise le développement d’une logique d’offre de données d’intérêt public au lieu d’une logique uniquement de demande. Elle évoque l’idée d’« infrastructures de données essentielles » qui seraient mises à la disposition du public afin de libérer toutes les potentialités de l’Open Data (2). La commission souligne que la protection des données à caractère personnel ne peut pas systématiquement faire obstacle à la communication de données intéressant la vie publique. En Suède, par exemple, les citoyens ont la possibilité de demander une
copie de la fiche de paie d’un ministre ainsi que ses dépenses de représentation en
se présentant directement auprès du ministère.
Le deuxième grand chapitre de ce rapport concerne la protection de la liberté d’expression à l’ère numérique. Le rapport « Numérique et Libertés » rappelle que la liberté d’expression protège la possibilité de s’exprimer mais également de recevoir et de trouver des informations sur Internet, sans considération de frontières. En France,
le « droit commun » de la liberté d’expression est la loi du 29 juillet 1881 sur la liberté de la presse. Cette loi ne se limite pas à la presse, mais s’applique à l’ensemble des propos tenus sur une place publique ou sur Internet. Elle prévoit des sanctions pour tout abus de la liberté d’expression, mais ces sanctions sont soigneusement encadrées afin de préserver l’essence de la liberté d’expression en France. Pour la commission,
ce régime de droit commun de la liberté d’expression doit être préservé à tout prix sur Internet. Le régime dérogatoire de l’audiovisuel ne doit pas être exporté vers l’Internet. La régulation audiovisuelle encadre la liberté d’expression de manière beaucoup plus forte, mais cet encadrement se justifie en grande partie par l’utilisation de fréquences hertziennes, ressources publiques rares (3).
Par ailleurs, la commission s’oppose à ce que la loi de 1881 soit limitée aux seuls journalistes professionnels (4) et estime au contraire qu’il n’existe pas de liberté d’expression à deux vitesses, et qu’avec Internet et les moteurs de recherche, chaque internaute et bloggeur non professionnel participe aujourd’hui au moins autant que les journalistes à la vitalité du débat démocratique et à l’information publique. Il faut donc éviter une liberté d’expression « réservée » aux journalistes professionnels.

Pas touche au statut d’hébergeur
La liberté d’expression sur Internet est également garantie par le régime de responsabilité limitée des hébergeurs. La commission s’est déclarée hostile à tout changement dans le statut d’hébergeur. Reconnue aux Etats- Unis et en Europe, la responsabilité limitée des hébergeurs contribue à la liberté d’expression sur Internet. Le choix politique fait au début des années 2000 était de privilégier la liberté d’expression en permettant aux plateformes d’héberger toutes sortes de contenus fournis par les utilisateurs, sans crainte de voir leur responsabilité engagée. Les abus sont signalés et traités a posteriori. Certes, la distinction entre hébergeur et éditeur n’est pas toujours facile à tracer dans un environnement aussi évolutif que le numérique. Les tribunaux ont fait preuve d’une grande adaptabilité et ont su faire vivre la distinction hébergeur/éditeur et l’appliquer à de nouveaux business models. Par ailleurs, le statut d’hébergeur n’enlève rien au pouvoir du juge d’ordonner des mesures appropriées pour limiter la diffusion de contenus illicites. En résumé, la commission « Droit et Libertés à l’âge du numérique » a estimé que changer les règles sur les hébergeurs pourrait mettre en danger l’équilibre délicat trouvé au début des années 2000 entre la liberté d’expression et la protection contre des contenus illicites.

Le rôle du juge doit être réaffirmé
En matière de lutte contre les contenus illégaux sur Internet, la commission souligne
la nécessité d’impliquer un juge à chaque fois. L’autorité judiciaire est seule légitime
à sanctionner des abus à la liberté d’expression et notamment ordonner le retrait de contenus illicites. La commission met en garde contre le contournement du pouvoir
des autorités judiciaires par la création d’autorités administratives chargées de réguler des contenus sur Internet. Elle préconise en revanche un renforcement des moyens d’action de la justice, notamment par la création de procédures judiciaires accélérées, d’un parquet spécialisé et d’un pôle de compétences numériques au sein du ministère de la Justice. En matière de protection des données à caractère personnel, les recommandations de la commission vont dans le sens du futur règlement européen,
à savoir une conception très large de ce qu’est une donnée à caractère personnel, l’encouragement des techniques de privacy by design, et de gouvernance (accountability). La commission est favorable à la reconnaissance d’un droit au déréférencement, mais souligne la nécessité de prévoir une procédure contradictoire permettant notamment à l’éditeur du site dont le déréférencement est demandé de
faire valoir ses observations. Le rôle du juge doit être réaffirmé en matière de déréférencement puisqu’il s’agit d’une limitation de la liberté d’expression. Les modalités d’application du droit au déréférencement, et notamment son étendue territoriale, doivent obéir au principe de proportionnalité et tenir compte de la nécessité de maintenir un niveau élevé de protection de la liberté d’expression sur Internet au niveau mondial.
La commission « Droit et Libertés à l’âge du numérique » n’a pas dégagé un consensus en matière de la régulation des plateformes. Pour la majorité de ses membres, les potentiels abus commis par les plateformes numériques justifient la création d’une nouvelle obligation de loyauté. Pour certains de ses membres, dont l’auteur de cet article, le Code de la Consommation et le Code du Commerce prévoient déjà des obligations de loyauté et de transparence, et il est donc inutile de créer une nouvelle couche de législation visant spécifiquement les plateformes numériques. Par ailleurs, l’idée de créer une réglementation spécifique pour les « plateformes majeures » ferait double emploi avec le droit de la concurrence, qui est déjà bien outillé pour traiter diverses formes d’abus. Certains souhaitent transposer aux plateformes numériques la réglementation en matière de communications électroniques et le concept d’opérateur
« puissant ». Or, pour l’auteur de cet article, la réglementation des communications électroniques ne peut pas être transposée aux plateformes numériques car nous ne sommes pas dans un contexte de transition d’un monopole vers l’introduction de la concurrence, mais plutôt dans un domaine où la concurrence a toujours été vive (5). Enfin, la commission « Droit et Libertés à l’âge du numérique » souligne les contradictions entre d’une part les exigences de la Cour de Justice de l’Union européenne (CJUE) et d’autre part des lois françaises sur le renseignement. Après l’arrêt « Digital Rights Ireland » du 8 avril 2014 de la CJUE, la loi française concernant la conservation des données de connexion semble contraire à la Charte européenne des Droits fondamentaux. Cependant, la France n’a pas essayé de modifier sa loi et au contraire a renforcé les pouvoirs des services de renseignement prévoyant notamment la possibilité d’examiner des données de connexion de l’ensemble des citoyens afin
de détecter des signaux faibles. Après les attentats du 13 novembre 2015, le gouvernement et le Parlement introduiront probablement de nouvelles mesures pour renforcer les pouvoirs des services de la police et du renseignement. Le rapport de la commission aura sans doute peu d’effet dans ce débat compte tenu de la nécessité absolue de combattre le terrorisme. Cependant, le rapport montre qu’en matière de protection des données à caractère personnel, la France n’est pas un bon élève lorsqu’il s’agit des pouvoirs de ses services de renseignement. La législation française permet la collecte et le traitement massif de données sans l’intervention d’un juge,
ce qui est exactement reproché aux Etats-Unis. Certaines entorses aux droits fondamentaux sont nécessaires dans une société démocratique pour faire face à des menaces graves pour la sécurité publique.

Contre la surveillance généralisée
Le rapport « Numérique et Libertés » de la commission met en garde contre un glissement irréversible vers un régime de surveillance généralisée. Selon la commission, à chaque fois qu’une loi exceptionnelle donne de nouveaux outils aux services de renseignements, cette démarche est en pratique irréversible. Ce qui est donné aux services de renseignements n’est jamais retiré par la suite. Dans ce sens, l’évolution de la loi est à sens unique, et les parlementaires doivent en tenir compte. @

* La Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique, à l’Assemblée nationale, a été présidée par Christiane Féral-Shuhl, avocate et ancienne bâtonnière de Paris, et par Christian Paul, député de la Nièvre. En plus des deux co-présidents, cette commission a rassemblé 13 parlementaires issus de différents groupes politiques, ainsi que 13 personnalités qualifiées, dont l’auteur de cet article.

République numérique et démocratie participative : la donnée en débat

Après un exercice inédit – pour un projet de loi – de démocratie participative, le gouvernement ajuste son texte, attendu en Conseil des ministres le 9 décembre prochain et au Parlement en janvier 2016, sur l’ouverture des données publiques et la protection des données personnelles. Le plus dur sera de passer de la théorie à la pratique.

Par Ariane Samson-Divisia, avocate au barreau de Paris, cabinet K&L Gates

C’est sous l’URL www.republique-numerique. fr, pleine
de promesses, qu’a été lancée le 26 septembre dernier,
la consultation sur le projet de loi « pour une république numérique », dit « Lemaire », du nom de la secrétaire d’Etat chargée du Numérique. Au 18 octobre, date de clôture de la consultation, le site Internet faisait état des chiffres de cette démocratie participative à la française : 147.710 votes et 8.501 contributions (1), parmi lesquelles des centaines de propositions d’articles (2).

Open data : les questions en suspens
La question de l’ouverture des données publiques (open data) a particulièrement retenu l’attention des citoyens, entraînant dans son sillage la question de la protection des données personnelles, traitée dans le projet de loi quelques articles plus loin, et plus largement dans le projet de règlement européen (3) sur la protection des données
à caractère personnel (« Privacy »), actuellement en discussion. Le projet de loi
« Lemaire » s’ouvre sur un chapitre premier intitulé « Economie de la donnée », qui parle assez peu d’économie(s) et beaucoup de données. Il retient pour principe de mettre à disposition – sur un « standard » en ligne ouvert – des documents administratifs et données produites et reçues par les administrations, en ce compris
les services publics industriels et commerciaux (Spic), doublé d’un principe de facilitation de la réutilisation des données « de référence » (base nationale des adresses, cadastre, base Sirene des entreprises Insee, etc) dans le cadre d’un nouveau « service public de la donnée ». Certains ont pu y reconnaître un outil de transparence financière : « la donnée de l’économie et des économies ! ». D’autres,
un nouveau souffle pour l’innovation numérique. D’autres encore y voient une porte ouverte à une exploitation lucrative de ces données par les GAFA (4) et autres géants du Web. Comment, demandent-ils, protéger ou rentabiliser ce patrimoine collecté,
trié et mis à disposition aux frais du contribuable français ? Légitime question d’un encadrement à l’ère de la circulation instantanée et mondiale des données, à laquelle
le projet de loi ne répond pas, en l’état. Si le projet d’ouverture des données publiques recueille une large majorité de votes positifs, les citoyens se posent néanmoins des questions bien concrètes sur sa mise en oeuvre :
• 1-Quelle ouverture technique des données publiques ?
L’utilisation d’un format standard, commun à tous les services publics industriels et commerciaux ou administratifs, serait plus efficace et permettrait une mise à disposition effective et sans discrimination. Mais cela pourrait engendrer des coûts de matériels et humains de production non prévus dans les budgets des acteurs publics concernés. Le vote d’un budget supplémentaire est-il prévu pour financer la diffusion gratuite du patrimoine informationnel de l’Etat ?
• 2-Quel encadrement de l’ouverture des données publiques ?
Certains souhaitent une ouverture totale et sans discrimination. D’autres préfèreraient que la loi opère une distinction entre bénéficiaires publics et bénéficiaires privés des données. En cause, les grands acteurs du Big Data en ligne, mais également l’ensemble des entreprises privées, qui pourraient réaliser des bénéfices grâce à l’exploitation de ces données qu’elles ont obtenu gratuitement, et par là même se positionneraient en tant que concurrents des services publics grâce aux bases de données financées et publiées gratuitement par ces derniers.

Laisser les GAFA à la porte de l’Hexagone numérique ?
Rappelons ici que l’ouverture des données a pour but annoncé de permettre, dans le meilleur des mondes, de redonner un souffle à l’innovation française et de réaliser pleinement son potentiel en matière de technologies et de numérique. Dans le meilleur des mondes ? Ou dans la meilleure des France ? Plusieurs contributeurs ont suggéré de limiter l’accès aux données publiques aux personnes physiques et morales situées en France. On en comprend bien la raison : laisser les géants américains du Web à la porte de l’Hexagone numérique. Quid, alors, du marché unique européen et de la libre circulation des données ? On sent ici le manque de profondeur de la réflexion stratégique. Rendre accessible ou diffuser mondialement, ce n’est pas la même chose. Dans un cas, on observe les usages et on peut les réguler. Dans l’autre, on observe les dommages et on peut les regretter.

Appliquer une redevance d’exploitation ?
Au-delà d’un encadrement technique par la localisation de l’utilisateur, un encadrement contractuel complémentaire paraît souhaitable. Une licence « open data » permettrait en effet de contrôler en amont la mise à disposition des données et d’éviter que celle-ci ne devienne contre-productive. Elle fixerait des limites volumétriques d’extraction et/ou un système d’enrichissement automatique des données par le bénéficiaire afin de préserver le secret des affaires tout en maintenant une concurrence saine entre Spic et acteurs privés. Elle permettrait également de définir une redevance raisonnable, basée principalement sur les bénéfices réalisés avec l’exploitation de cette matière première du XXIe siècle.
• 3-Quelle sécurité pour les données ?
Il s’agit notamment d’éviter que des informations stratégiques sur les infrastructures essentielles de la France ne tombent dans de mauvaises mains. Il s’agit aussi d’éviter que les données personnelles des citoyens, résidents et assurés sociaux ne tombent dans toutes les mains. L’article 1er du projet prévoit bien l’anonymisation des données personnelles, « sauf si une disposition législative ou réglementaire autorise leur diffusion sans autorisation préalable ou si la personne intéressée y a consenti ».
Cette exception particulièrement vague, lue à l’aune de la loi sur le renseignement promulguée en juillet dernier (5), devra être réécrite pour être conforme à la protection européenne des données personnelles. Concernant cette fois la donnée personnelle, élément du patrimoine immatériel du citoyen, l’article 16 du projet de loi propose d’ajouter à l’article 1 – à vocation introductive – de la loi du 6 janvier 1978 dite
« Informatique et Libertés », le droit pour toute personne « de décider des usages
qui sont faits de ses données à caractère personnel et de les contrôler, dans les conditions et limites fixées par les lois et règlements en vigueur ». Comme les participants à la consultation, on ne pourra que s’interroger sur l’intérêt de cette disposition particulièrement large, qui semble n’être destinée qu’à venir compléter la déclaration qui constitue actuellement l’article 1er de la loi « Informatique et Libertés », selon laquelle l’informatique ne doit pas porter atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, ou aux libertés individuelles ou publiques. Au-delà d’un droit d’être informé des usages qui sont faits de ses données et à s’y opposer, voire
d’y consentir explicitement, droits déjà consacrés par la loi « Informatique et Libertés » et la directive européenne de 1995 sur la protection des données (6), de quel nouveau « droit de décider des usages qui sont faits de ses données » parle-t-on ici ? L’exemple fourni par le gouvernement sur le site de la consultation vise les conditions générales d’utilisation (CGU) des sites web affirmant leur droit de propriété sur les données des utilisateurs. Avec ce simple ajout, l’individu serait seul propriétaire de ses données personnelles, qu’elles aient été ou non mises en ligne par celui-ci. Les données personnelles seraient donc des biens immatériels du patrimoine de l’individu, attachées à un droit de la personnalité inaliénable mais démembrable, l’usage en étant partagé entre l’individu et des centaines ou milliers d’entités dans le monde, et les fruits presque exclusivement entre ces centaines ou milliers d’entités.
Si l’on comprend bien l’idée d’un refus de l’appropriation des données personnelles
par les acteurs de l’Internet, on comprend moins la portée concrète de cet article. Comment et dans quelle mesure le contrôle de l’individu sur ses données sera-t-il
accru ? A défaut de précisions complémentaires, cette disposition semble déjà dépassée par le projet de règlement européen « Privacy », qui prévoit de poser en règle le consentement explicite de l’individu à la collecte et aux utilisations de ses données. Dans la même veine, le projet de loi offre à l’individu la possibilité de régler
le sort des données personnelles qu’il a mises en ligne après son décès, autrement dit d’organiser sa « mort numérique ». Si cet article, qui prend sur cet aspect une avance certaine sur le droit européen, est nettement plus détaillé que les précédents, on imagine mal comment il pourra être mis en oeuvre simplement et efficacement en pratique.

Enfin, pour mieux protéger ce patrimoine, la Commission nationale de l’informatique
et des libertés (Cnil) verrait ses pouvoirs de contrôle étendus… envers celui qui s’y soumet volontairement. Dans le cadre de l’approche « Privacy by Design » soutenue par le projet de règlement européen, le législateur pourrait soumettre à l’avis de la
Cnil les propositions de loi concernant la protection ou le traitement des données personnelles. Quant aux entreprises, elles pourraient demander à bénéficier d’un
« accompagnement à la mise en conformité », à travers la délivrance par la Cnil d’un
« certificat de conformité ». Ces dispositions vont dans le sens du futur droit européen. Une question demeure et se répète parmi les contributions à la consultation : les moyens financiers et humains de la Cnil seront-ils accrus en conséquence ?

Dans le cadre du règlement européen
Ces projets de dispositions – qu’ils soient relatifs aux données publiques ou aux données personnelles – partent certainement d’une bonne intention, mais ils se positionnent dans un cadre technologique et règlementaire européen en pleine évolution. Gageons que la démocratie participative permettra de rendre ce projet moins théorique, si le gouvernement veut bien sortir des principes et écouter ceux qu’il a sollicités. @

Montée en puissance des projets « smart city » : la question de la protection des données reste posée

Les projets smart city dans le secteur des communications électroniques sont
de plus en plus nombreux et illustrent une tendance qui ne paraît pas prête de s’inverser : la coopération entre le secteur public et le secteur privé, et l’utilisation partagée des différents réseaux et données.

Par Michel Matas, avocat associé, et Katia Duhamel (photo), avocat of counsel, cabinet Bird & Bird

Inspiré par une littérature abondante, dont le dernier livre
de Jeremy Rifkins (1), lequel a conseillé de nombreuses collectivités territoriales, institutions et gouvernements (2),
le concept de « smart city » s’est aujourd’hui étendu et globalisé. Il vise, par l’interopérabilité des réseaux et des données rendue possible grâce aux nouvelles technologies, à rendre les villes plus utiles et plus efficaces.

 

Coopérations public-privé
Selon un rapport du think tank Institut de l’Entreprise, le potentiel en termes de marché des technologies est estimé à 15 milliards d’euros en 2020. Rien qu’à Paris, 36 %
des investissements internationaux en 2012 étaient concentrés sur le secteur des technologies de l’information et des télécommunications (3).
Au-delà des différences entre secteur public et secteur privé, il est une caractéristique invariante qui caractérise l’ensemble des projets smart city : une coopération systématique entre secteur public et secteur privé. Cette participation du secteur public est néanmoins plus ou moins marquée selon les projets. A son degré le plus élevé se situe la commande publique : il s’agit, pour une entité publique, d’utiliser ce levier afin de piloter elle-même un projet smart city. Si de très nombreux projets ont déjà vu le jour ou sont en préparation il paraît difficile de ne pas citer l’un des plus emblématiques : Vélib, lancé en 2007, dans le cadre d’un partenariat entre JCDecaux et la Ville de Paris et dont l’objet consiste à mettre à disposition des usagers environ 17.000 bicyclettes
sur plus de 1.200 stations réparties à Paris et dans la petite couronne, pour près de 100.000 trajets quotidiens. Son modèle économique est également remarquable : à l’instar de l’expérience lyonnaise sur laquelle Paris s’est appuyée, la municipalité a
en effet couplé l’attribution de l’affichage publicitaire urbain avec l’installation et l’exploitation de Vélib permettant non seulement à la ville de Paris de faire installer
et exploiter le réseau Vélib sans bourse délier, mais également de dégager des ressources issues de l’exploitation du mobilier urbain. Il est impossible de passer
en revue l’ensemble des projets liés à la commande publique dans la catégorie smart city, mais les projets peuvent aussi bien concerner le déploiement de réseaux de communications locaux, comme l’installation et l’exploitation de « data centers », l’éclairage public, la distribution d’eau, de gaz ou d’électricité, voire des projets liés à des services dans diverses villes (Bordeaux, Strasbourg, …), et permettant aux usagers disposer de services interactifs voire de souscrire et payer lesdits services au moyen de smartphone via la technologie sans contact NFC (Near Field Communication).

A un degré plus intermédiaire, le secteur public – sans être à l’initiative du projet lui-même mais grâce aux moyens mis à disposition des acteurs privés – permet l’émergence d’une série de projets smart city. Si traditionnellement la mise à disposition de moyens s’entend comme les aides ou subventions que la commune peut consentir, comme c’est par exemple le cas de divers incubateurs de start-up avec l’aide de partenaires privés, une partie essentielle de l’assistance fournie aux opérateurs privés consiste aujourd’hui dans la mise à disposition de données publiques dans le cadre de l’Open Data. Dans ce cadre, et au-delà des divers standards en vigueur en France tels que ODBL ou Etalab (4), la mise à disposition de dizaines de milliers de fichiers permet par exemple aujourd’hui d’extraire et d’utiliser les trajets de nombreux transports en commun, les horaires d’une multitude services, les quantités de plans et milliers d’autres données publiques (payantes ou non).

Multiples services, locaux ou nationaux
Cela permet au secteur privé d’offrir de multiples services, du plus local (les emplacements de stationnement libres à Nice) au plus national (les horaires des trains intégrés à des plateformes plus larges d’information).

A un degré plus faible, il est rare que les acteurs publics – même lorsqu’ils ne le sont pas directement – ne soient pas concernés en leur qualité de gestionnaire du domaine public, voire d’autorité délégante. En effet, l’interopérabilité des réseaux et des données aboutit à une collaboration croissante entre des acteurs privés dans laquelle la puissance publique aura son mot à dire in fine, lorsqu’elle n’est pas consultée en amont. Ainsi, par exemple, en sera-t-il dans le cas où un gestionnaire de mobilier urbain conclurait avec un opérateur mobile un accord visant à permettre à ce dernier de déployer sur son mobilier urbain des antennes WiFi de faible portée. Et ce, afin de permettre à l’opérateur mobile en question de sécuriser par redondances son réseau principal et d’améliorer le débit disponible dans une zone densément peuplée (5).

Données et anonymisation : risques
Dans la mesure où les projets smart city impliquent à la fois des acteurs publics et
le secteur privé, l’une des premières caractéristiques de ce type de projet est qu’ils associent en général le droit public au droit privé et que bien souvent – mêmes s’ils relèvent intégralement du droit privé lorsque seuls des acteurs privés sont concernés
– une connaissance approfondie des règles applicables aux contrats publics ou aux occupations du domaine public est nécessaire.
Au-delà de cet aspect « organique », la question de la protection des données constitue en général l’une des problématiques les plus fréquentes, que cela soit pour la protection des données publiques utilisées pour fournir le service basé sur l’Open Data, et pour la protection des données personnelles des utilisateurs du service. En effet, bien souvent la collecte des données des utilisateurs est faite aux fins d’amélioration du service (par exemple, pour déterminer les heures de pointe ou non, les embouteillages, les temps de trajet, etc). Dans d’autres cas, les utilisateurs peuvent avoir à rentrer eux-mêmes leurs informations ou leurs données afin de renseigner les autres utilisateurs ou le fournisseur du service concerné, à moins d’être amenés à enrichir le service en tant que tel.
Outre les limites physiques liées au stockage de ces données collectées, demeure l’obstacle de leur anonymisation. Suite à une consultation menée au début de l’année 2014 et intitulée « Open Data et données personnelles », la Commission nationale de l’Informatique et des Libertés (Cnil) révèle que près de 50 % des gestionnaires de données publiques ont indiqué avoir déjà fait part de leur opposition à l’ouverture de certaines données au motif d’un risque d’identification de personnes physiques (6). Ainsi, les solutions pratiques permettant l’anonymisation des données étant parfois sommaires, elles sont un enjeu important face au risque d’identification des données amplifié par les possibilités de croisement des informations.

La sécurité est également une problématique inhérente au développement de certains services tels que l’utilisation de la technologie NFC. La Cnil a déjà émis des réserves concernant la sécurité des paiements par cartes bancaires sans contact : l’accessibilité à certaines données bancaire et l’existence d’un « risque de piratage » sont préoccupantes. La Cnil préconise un « chiffrement des échanges » et une meilleure information des utilisateurs, ainsi que la possibilité pour ceux-ci d’activer ou désactiver le service (7). L’intégration de cette technologie à la téléphonie mobile crée de nouveaux défis en matière de sécurité des moyens de paiements.
Lors de l’expérimentation à Nice de la ville Cityzi, développant une multitude de services sans contact (achats, validation de titres de transports, accès à des informations contextuelles, etc), la Cnil a pu constater que les communications entre la puce NFC et les « valideurs » sont sécurisées par un chiffrement apportant une sécurité particulière lors des transactions effectuées via cette technologie. Elle veille à ce qu’il y ait une attribution d’un alias différent pour chaque fournisseur de services, de façon à ce que le recoupement d’informations sur les services utilisés ne puisse être effectué. En outre, dès lors que les réseaux et services fournis au public sont concernés, plusieurs réglementations viennent en général s’ajouter les unes aux autres. Ainsi, par exemple dans le cas de l’installation d’un réseau télécoms sur un autre réseau public (électrique, éclairage, mobilier urbain, …), il conviendra de concilier les obligations de continuité et les contraintes techniques et réglementaires de part et d’autre.

Complexité accrue et inéluctable
Aussi complexe soient-elle, l’utilisation mutualisée des données et des réseaux n’en
est aujourd’hui qu’à ses prémisses et il semble que les années à venir marqueront une nette accélération des projets smart city. Il paraît en effet inéluctable que l’ensemble des infrastructures, équipements et données publiques soient, à terme, interconnectés les uns aux autres, interactifs et utilisables par le plus grand nombre. @