Réutilisation des informations du secteur public

Résumé de l’avis du Contrôleur européen de la protection des données (CEPD) sur le paquet de mesures de la Commission européenne relatif à l’ouverture des données, qui comprend une proposition de directive modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public (ISP), une communication sur l’ouverture des données et la décision 2011/833/UE de la Commission sur la réutilisation des documents de la Commission.

La proposition fait partie du paquet de mesures relatif à l’ouverture des données, qui comprend également deux autres documents adoptés le même jour: i) une communication de la Commission intitulée «L’ouverture des données publiques: un moteur pour l’innovation, la croissance et une gouvernance transparente» et ii) une décision de la Commission sur la réutilisation des documents de la Commission.

Contrairement à ce que prévoit l’article 28, paragraphe 2, du règlement (CE) n° 45/2001, le CEPD n’a pas été consulté. Il juge cela d’autant plus regrettable que le volume de données à caractère personnel potentiellement concerné est important. Le présent avis est par conséquent basé sur l’article 41, paragraphe 2, dudit règlement.

Le CEPD rappelle que la directive ISP vise à faciliter la réutilisation des informations du secteur public dans toute l’Union européenne en harmonisant les conditions fondamentales relatives à leur réutilisation et en éliminant les obstacles qui s’y opposent dans le marché intérieur. La proposition fait expressément obligation aux États membres de veiller à ce que les documents existants soient réutilisables à des fins commerciales et non commerciales.

Recommandations du CEPD : la réutilisation des ISP contenant des données à caractère personnel peut apporter des avantages significatifs, mais aussi faire planer des risques considérables sur la protection des données à caractère personnel. À la lumière de ces risques, le CEPD recommande de définir plus clairement, dans la proposition, les situations dans lesquelles des informations contenant des données à caractère personnel peuvent être mises à disposition en vue de leur réutilisation, et moyennant quelles garanties. En particulier, la proposition devrait:

• établir plus clairement le champ d’application de la directive ISP aux données à caractère personnel ;
• imposer qu’une évaluation soit effectuée par l’organisme du secteur public concerné avant que toute ISP contenant des données à caractère personnel puisse être mise à disposition en vue de sa réutilisation ;
• le cas échéant, imposer que les données soient intégralement ou partiellement anonymisées et que les conditions des licences interdisent expressément la ré-identification des personnes physiques et la réutilisation des données à caractère personnel pour des finalités susceptibles d’affecter individuellement les personnes concernées ;
• imposer que les conditions des licences de réutilisation des ISP contiennent une clause de protection des données, chaque fois que des données à caractère personnel sont traitées ;
• lorsque cela s’avère nécessaire, imposer aux demandeurs de prouver (par une analyse d’impact sur la protection des données ou autrement) que tout risque pour la protection des données à caractère personnel est géré de manière adéquate et qu'ils traiteront les données conformément à la législation en vigueur en matière de protection des données ;
• préciser que la réutilisation peut être subordonnée à la finalité pour laquelle elle est effectuée, par dérogation à la règle générale permettant la réutilisation à toute fin commerciale et non commerciale.

En outre, le CEPD suggère : i) d’envisager d’autoriser que les coûts de prétraitement (comme la numérisation), d’anonymisation et d’agrégation soient facturés aux titulaires des licences lorsque cela s’avère approprié et ii) que la Commission élabore des lignes directrices supplémentaires, centrées sur l’anonymisation et l’octroi des licences, et qu’elle consulte le groupe de travail «Article 29» à ce sujet.