Bonjour,
L’article R. 322-3 du CRPA dispose : « Lorsque la réutilisation n’est possible qu’après anonymisation des données à caractère personnel, l’autorité détentrice y procède sous réserve que cette opération n’entraîne pas des efforts disproportionnés. »
Cet article a été créé par le décret n° 2016-308 du 17 mars 2016 relatif à la réutilisation des informations publiques et modifiant le code des relations entre le public et l’administration (dispositions réglementaires).
Ce décret venait en application de la loi n° 2015-1779 du 28 décembre 2015 relative à la gratuité et aux modalités de la réutilisation des informations du secteur public (loi Valter).
Cet article R. 322-3 du CRPA faisait référence à l’article L. 322-2 du CRPA en vigueur à l’époque et qui disposait :
« Les informations publiques comportant des données à caractère personnel peuvent faire l’objet d’une réutilisation soit lorsque la personne intéressée y a consenti, soit si l’autorité détentrice est en mesure de les rendre anonymes ou, à défaut d’anonymisation, si une disposition législative ou réglementaire le permet.
La réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »
Cela avait pour conséquence que pour la CADA c’était forcément à l’autorité détentrice d’effectuer l’anonymisation, et que celle-ci ne pouvait pas être déléguée à un réutilisateur.
Or, à la même époque où ce décret arrive, la loi pour une République numérique était en discussion au Sénat. Corinne Bouchoux, membre de la CADA, dépose alors un amendement avec le soutien de la CADA qui vise à supprimer le premier alinéa de L. 322-2 CRPA : http://www.senat.fr/amendements/2015-2016/535/Amdt_186.html
L’amendement est tombé car il est repris dans un autre, qui est adopté : http://www.senat.fr/amendements/2015-2016/535/Amdt_215.html
Si bien que depuis l’article L. 322-2 CRPA dispose uniquement : « La réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »
Cela avait été analyse de la sorte par le Service interministériel des Archives de France ( https://siafdroit.hypotheses.org/659 ) :
« Une simplification du droit en matière de données à caractère personnel
Le législateur a également révisé les conditions de réutilisation des documents comportant des données à caractère personnel. La loi pour une République numérique a supprimé le premier alinéa de l’article L. 322-2 du CRPA, anciennement article 13 de la loi CADA, qui stipulait que « les informations publiques comportant des données à caractère personnel peuvent faire l’objet d’une réutilisation soit lorsque la personne intéressée y a consenti, soit si l’autorité détentrice est en mesure de les rendre anonymes ou, à défaut d’anonymisation, si une disposition législative ou réglementaire le permet ». Ces conditions disparaissent, seul le respect de la loi Informatique et Libertés du 6 janvier 1978 étant désormais requis. Il s’agit d’une simplification du droit. Le détenteur des documents n’a donc plus de formalités à accomplir préalablement à la délivrance des licences de réutilisation (vérification d’une autorisation de la CNIL, de l’existence d’une disposition législative ou réglementaire spécifique, anonymisation ou recueil du consentement des personnes). La responsabilité du respect de la loi Informatique et Libertés incombe au réutilisateur, « personne responsable du traitement » des données dont il a obtenu la copie. Les services d’archives, tenus de satisfaire les demandes faites au titre du droit d’accès, donc de remettre, le cas échéant, des copies des documents dès lors qu’ils sont librement communicables, ne pourront pas être tenus pour responsables du non-respect par le réutilisateur des obligations prévues par la loi Informatique et Libertés. »
Ainsi, j’ai l’impression que l’article R. 322-3 du CRPA aurait dû faire l’objet d’un « toilettage » lors de l’adoption de la loi pour une République numérique et être supprimé. Qu’en pensez-vous ?