Décret anonymisation à la source avant réutilisation


#1

Bonjour,

L’article R. 322-3 du CRPA dispose : « Lorsque la réutilisation n’est possible qu’après anonymisation des données à caractère personnel, l’autorité détentrice y procède sous réserve que cette opération n’entraîne pas des efforts disproportionnés. »

Cet article a été créé par le décret n° 2016-308 du 17 mars 2016 relatif à la réutilisation des informations publiques et modifiant le code des relations entre le public et l’administration (dispositions réglementaires).

Ce décret venait en application de la loi n° 2015-1779 du 28 décembre 2015 relative à la gratuité et aux modalités de la réutilisation des informations du secteur public (loi Valter).

Cet article R. 322-3 du CRPA faisait référence à l’article L. 322-2 du CRPA en vigueur à l’époque et qui disposait :

« Les informations publiques comportant des données à caractère personnel peuvent faire l’objet d’une réutilisation soit lorsque la personne intéressée y a consenti, soit si l’autorité détentrice est en mesure de les rendre anonymes ou, à défaut d’anonymisation, si une disposition législative ou réglementaire le permet.

La réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Cela avait pour conséquence que pour la CADA c’était forcément à l’autorité détentrice d’effectuer l’anonymisation, et que celle-ci ne pouvait pas être déléguée à un réutilisateur.

Or, à la même époque où ce décret arrive, la loi pour une République numérique était en discussion au Sénat. Corinne Bouchoux, membre de la CADA, dépose alors un amendement avec le soutien de la CADA qui vise à supprimer le premier alinéa de L. 322-2 CRPA : http://www.senat.fr/amendements/2015-2016/535/Amdt_186.html

L’amendement est tombé car il est repris dans un autre, qui est adopté : http://www.senat.fr/amendements/2015-2016/535/Amdt_215.html

Si bien que depuis l’article L. 322-2 CRPA dispose uniquement : « La réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Cela avait été analyse de la sorte par le Service interministériel des Archives de France ( https://siafdroit.hypotheses.org/659 ) :

« Une simplification du droit en matière de données à caractère personnel

Le législateur a également révisé les conditions de réutilisation des documents comportant des données à caractère personnel. La loi pour une République numérique a supprimé le premier alinéa de l’article L. 322-2 du CRPA, anciennement article 13 de la loi CADA, qui stipulait que « les informations publiques comportant des données à caractère personnel peuvent faire l’objet d’une réutilisation soit lorsque la personne intéressée y a consenti, soit si l’autorité détentrice est en mesure de les rendre anonymes ou, à défaut d’anonymisation, si une disposition législative ou réglementaire le permet ». Ces conditions disparaissent, seul le respect de la loi Informatique et Libertés du 6 janvier 1978 étant désormais requis. Il s’agit d’une simplification du droit. Le détenteur des documents n’a donc plus de formalités à accomplir préalablement à la délivrance des licences de réutilisation (vérification d’une autorisation de la CNIL, de l’existence d’une disposition législative ou réglementaire spécifique, anonymisation ou recueil du consentement des personnes). La responsabilité du respect de la loi Informatique et Libertés incombe au réutilisateur, « personne responsable du traitement » des données dont il a obtenu la copie. Les services d’archives, tenus de satisfaire les demandes faites au titre du droit d’accès, donc de remettre, le cas échéant, des copies des documents dès lors qu’ils sont librement communicables, ne pourront pas être tenus pour responsables du non-respect par le réutilisateur des obligations prévues par la loi Informatique et Libertés. »

Ainsi, j’ai l’impression que l’article R. 322-3 du CRPA aurait dû faire l’objet d’un « toilettage » lors de l’adoption de la loi pour une République numérique et être supprimé. Qu’en pensez-vous ?


#2

Au vu de l’analyse que tu cites, je serais plutôt d’accord.

Ceci dit, la communication à un tiers de données personnelles est un traitement de données à caractère personnel d’après le RGPD. Il faut de toute façon recueillir le consentement de la personne concernée, non ? La portée pratique de tous ces articles me semble donc très limitée.


#3

Non absolument pas, le consentement n’est qu’une des conditions, il y a par exemple l’intérêt légitime aussi (article 6 et considérant 47).

De plus le RGPD ne s’applique pas pour un usage personnel (article 2 et considérant 18, par exemple si tu veux tweeter un document à titre perso).

Enfin le RGPD prévoit une conciliation entre accès aux documents officiels, liberté d’expression et droit d’accès à l’information d’une part et protection de la vie privée d’autre part (articles 85 et 86 et considérants 153 et 154).


#4

@Herisson Heureux hasard, cette interprétation est confirmée dans une question d’hier : http://www.senat.fr/questions/base/2018/qSEQ180605667.html

« en matière de réutilisation : l’article L. 322-2 rappelle que la réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect de la loi relative à l’informatique, aux fichiers et aux libertés. En tout état de cause, il incombe au réutilisateur des données de mettre en œuvre les obligations du Règlement général de protection des données. »

L’article R. 322-3 du CRPA n’est pas cité.


#5

C’est la différence entre un juriste du dimanche et un pro :stuck_out_tongue_closed_eyes: Du coup mon avis rejoint le tien, pour ce qu’il vaut :face_with_hand_over_mouth:.