Annabelle Richard, Avocate – Pinsent Masons France LLP
1. Qu'est ce que l'Open Data ?
Il n'existe aucune définition de l'Open Data dans la Loi Lemaire alors même que cette notion a été employée à tous vents à l'occasion du processus de consultation ou lors des travaux parlementaires.
Les "données ouvertes" ont été définies le 3 mai 2014 par la Commission générale de terminologie et de néologie comme les "données qu'un organisme met à la disposition de tous sous forme de fichiers numériques afin de permettre leur réutilisation"[1].
Il s'ensuit que les données ouvertes peuvent aussi bien être des données produites par des entités privées que des données produites par des personnes publiques (e.g. l'Etat, les collectivités locales). Les données ouvertes ne sont donc pas nécessairement des "données publiques".
De même, les données ouvertes ne sont généralement pas des "données à caractère personnel" mais elles peuvent également répondre à cette qualification.
Pour être considérées comme des données ouvertes, il suffit que les données soient accessibles dans un format favorisant leur réutilisation et ce, même si cette réutilisation peut être soumise à conditions.
La Loi Lemaire s'est toutefois principalement intéressée à la question de l'Open Data sous l'angle des données publiques. C'est d'ailleurs la raison pour laquelle les principales dispositions ont été intégrées au sein du Code des relations entre le public et l'administration ("CRPA").
2. Quel est le nouveau périmètre du droit accès aux documents administratifs ?
Depuis 1978, toute personne dispose d'un droit d'accès aux "documents administratifs", c'est-à-dire aux documents qui sont produits ou reçus dans le cadre de leur mission de service public par l'Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une mission de service public[2].
La loi Lemaire a notamment élargi le champ d'application du droit d'accès aux documents administratifs en y intégrant :
- d'une part, les "codes sources"[3], suivant ainsi l'avis qui avait été rendu le 8 janvier 2015 par la Commission d'accès aux documents administratifs ("Cada")[4]; et
- les règles définissant le traitement algorithmique ainsi que les principales caractéristiques de sa mise en œuvre au bénéfice de l’usager qui a fait l’objet d’une décision individuelle prise sur le fondement de ce traitement algorithmique[5].
Sur ce dernier point, il semblerait que le législateur ait été inspiré par les dispositions du règlement dit "GDPR" (applicable à partir du 25 mai 2018) qui accorde le droit aux personnes physiques d'être informé de "l'existence d'une décision automatisée (…) et des informations utiles concernant la logique sous-jacente".
Par ailleurs, l'administration aura également l'obligation de communiquer les règles algorithmiques servant de fondement aux décisions individuelles[6], les "données et les bases de données collectées ou produites à l'occasion de l'exploitation d'un service public" par un délégataire, ainsi que les "données de référence", c'est-à-dire les données qui constituent "une référence commune pour nommer ou identifier des produits, des services, des territoires ou des personnes"[7].
Deux décrets d'application publiés le 14 mars 2017 sont venus d'une part, préciser les modalités de communication des règles algorithmiques servant de fondement aux décisions individuelles[8] et d'autre part, les modalités liées à la mise à disposition des données de référence[9].
Cependant, alors que le périmètre du droit d'accès aux documents administratifs a été élargi, le législateur a par ailleurs rallongé la liste des exceptions. En effet, outre les impératifs liés la "sécurité de l'Etat" et la "sécurité publique", l'administration pourra également opposer à l'administré des motifs tenant à la "sécurité des personnes" ou à la "sécurité des systèmes d'information des administrations", compromettant ainsi l'effectivité de l'accès aux codes sources[10].
Il n'existe aucune définition de l'Open Data dans la Loi Lemaire alors même que cette notion a été employée à tous vents à l'occasion du processus de consultation ou lors des travaux parlementaires.
Les "données ouvertes" ont été définies le 3 mai 2014 par la Commission générale de terminologie et de néologie comme les "données qu'un organisme met à la disposition de tous sous forme de fichiers numériques afin de permettre leur réutilisation"[1].
Il s'ensuit que les données ouvertes peuvent aussi bien être des données produites par des entités privées que des données produites par des personnes publiques (e.g. l'Etat, les collectivités locales). Les données ouvertes ne sont donc pas nécessairement des "données publiques".
De même, les données ouvertes ne sont généralement pas des "données à caractère personnel" mais elles peuvent également répondre à cette qualification.
Pour être considérées comme des données ouvertes, il suffit que les données soient accessibles dans un format favorisant leur réutilisation et ce, même si cette réutilisation peut être soumise à conditions.
La Loi Lemaire s'est toutefois principalement intéressée à la question de l'Open Data sous l'angle des données publiques. C'est d'ailleurs la raison pour laquelle les principales dispositions ont été intégrées au sein du Code des relations entre le public et l'administration ("CRPA").
2. Quel est le nouveau périmètre du droit accès aux documents administratifs ?
Depuis 1978, toute personne dispose d'un droit d'accès aux "documents administratifs", c'est-à-dire aux documents qui sont produits ou reçus dans le cadre de leur mission de service public par l'Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une mission de service public[2].
La loi Lemaire a notamment élargi le champ d'application du droit d'accès aux documents administratifs en y intégrant :
- d'une part, les "codes sources"[3], suivant ainsi l'avis qui avait été rendu le 8 janvier 2015 par la Commission d'accès aux documents administratifs ("Cada")[4]; et
- les règles définissant le traitement algorithmique ainsi que les principales caractéristiques de sa mise en œuvre au bénéfice de l’usager qui a fait l’objet d’une décision individuelle prise sur le fondement de ce traitement algorithmique[5].
Sur ce dernier point, il semblerait que le législateur ait été inspiré par les dispositions du règlement dit "GDPR" (applicable à partir du 25 mai 2018) qui accorde le droit aux personnes physiques d'être informé de "l'existence d'une décision automatisée (…) et des informations utiles concernant la logique sous-jacente".
Par ailleurs, l'administration aura également l'obligation de communiquer les règles algorithmiques servant de fondement aux décisions individuelles[6], les "données et les bases de données collectées ou produites à l'occasion de l'exploitation d'un service public" par un délégataire, ainsi que les "données de référence", c'est-à-dire les données qui constituent "une référence commune pour nommer ou identifier des produits, des services, des territoires ou des personnes"[7].
Deux décrets d'application publiés le 14 mars 2017 sont venus d'une part, préciser les modalités de communication des règles algorithmiques servant de fondement aux décisions individuelles[8] et d'autre part, les modalités liées à la mise à disposition des données de référence[9].
Cependant, alors que le périmètre du droit d'accès aux documents administratifs a été élargi, le législateur a par ailleurs rallongé la liste des exceptions. En effet, outre les impératifs liés la "sécurité de l'Etat" et la "sécurité publique", l'administration pourra également opposer à l'administré des motifs tenant à la "sécurité des personnes" ou à la "sécurité des systèmes d'information des administrations", compromettant ainsi l'effectivité de l'accès aux codes sources[10].
Guillaume Morat, Avocat – Pinsent Masons France LLP
3. Quelles sont les nouvelles modalités d'accès aux documents administratifs ?
La Loi Lemaire a consacré de nouvelles modalités d'accès aux documents administratifs.
En effet, l'accès aux documents administratifs peut désormais s'effectuer, dans la limite des possibilités techniques de l'administration, via une publication des informations en ligne[11].
Ne sont toutefois pas concernées les documents administratifs qui ne sont communicables qu'à l'intéressé en application de l'article L.311-6 du CRPA.
La communication en ligne des documents administratifs doit se faire "dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé"[12].
La notion de standard ouvert est déjà connue de la réglementation française puisque cette notion avait été définie par le législateur en 2004[13].
4. Quelles sont les nouvelles obligations liées à la diffusion publique ?
La loi Lemaire a particulièrement innové en consacrant l'ouverture sectorielle et "par défaut" de certains documents administratifs.
En effet, conformément aux articles L312-1-1 et suivants du CRPA, les administrations sont notamment tenues de :
- diffuser les principaux documents produits ou détenus par les administrations contenant des informations publiques et figurant dans un répertoire mis à jour chaque année;
- diffuser les bases de données produites ou reçues par chaque administration ;
- diffuser les données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental.
Cette diffusion est toutefois limitée aux seuls documents qui existent sous forme électronique[14], ce qui exclut ainsi l'ensemble des documents non disponibles sous forme électronique. De même, cette diffusion ne s'applique pas (i) aux documents qui font l'objet d'une protection par un droit de propriété littéraire et artistique et (ii) à ceux qui ne sont pas des archives publiques ayant fait l’objet d’une conservation à l’issue des opérations de sélection prévue par le Code du patrimoine[15]. Enfin, cette diffusion est également exclue pour (i) les collectivités territoriales de moins de 3 500 habitants et (ii) les personnes morales chargées d’une mission de service public dont le nombre d’agents ou de salariés est inférieur à un seuil fixé par le pouvoir réglementaire[16].
5. Quelle réutilisation par les administrés ?
La loi Lemaire a eu pour ambition de favoriser et faciliter la réutilisation gratuite des documents administratifs notamment en uniformisant leur régime de communication et de réutilisation.
Ainsi, les documents qui ont été communiqués doivent par la suite pouvoir être réutilisables "à d'autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus[17]".
Les administrés pourront ainsi accéder et réutiliser données produites par des personnes privées exerçant une mission de service public à caractère industriel ou commercial (e.g. la RATP, la SNCF, etc.) et pourront, par exemple, compiler/analyser des statistiques, développer des applications mobiles, etc. Les administrés ne devront toutefois pas altérer ou dénaturer le sens des données publiques[18].
La réutilisation d'informations publiques donnera obligatoirement lieu à l'établissement d'une licence lorsque cette réutilisation est soumise au paiement d'une redevance[19]. Si une administration met à disposition ses données gratuitement et qu'elle décide de conditionner leur réutilisation au respect d’une licence, celle-ci devra être « choisie parmi celles figurant sur une liste fixée par décret » ou à défaut, cette licence devra être préalablement homologuée par l'Etat dans des conditions fixées par décret, ce qui devrait permettre d'assurer une certaine harmonisation.
Les dispositions de la Loi Lemaire liées à la publication en ligne des données publiques n'entreront en vigueur qu'au mois d'octobre 2018[20] et l'Etat s'est engagé à assister les collectivités locales dans l'ouverture de leurs données.
Quoi qu'il en soit, il nous semble dès à présent nécessaire pour les personnes publiques et parapubliques de mettre en œuvre l'ensemble des mesures nécessaires afin de définir une véritable politique de gouvernance des données et ce, en parallèle avec le chantier lié à la mise en conformité avec le règlement "GDPR".
La Loi Lemaire a consacré de nouvelles modalités d'accès aux documents administratifs.
En effet, l'accès aux documents administratifs peut désormais s'effectuer, dans la limite des possibilités techniques de l'administration, via une publication des informations en ligne[11].
Ne sont toutefois pas concernées les documents administratifs qui ne sont communicables qu'à l'intéressé en application de l'article L.311-6 du CRPA.
La communication en ligne des documents administratifs doit se faire "dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé"[12].
La notion de standard ouvert est déjà connue de la réglementation française puisque cette notion avait été définie par le législateur en 2004[13].
4. Quelles sont les nouvelles obligations liées à la diffusion publique ?
La loi Lemaire a particulièrement innové en consacrant l'ouverture sectorielle et "par défaut" de certains documents administratifs.
En effet, conformément aux articles L312-1-1 et suivants du CRPA, les administrations sont notamment tenues de :
- diffuser les principaux documents produits ou détenus par les administrations contenant des informations publiques et figurant dans un répertoire mis à jour chaque année;
- diffuser les bases de données produites ou reçues par chaque administration ;
- diffuser les données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental.
Cette diffusion est toutefois limitée aux seuls documents qui existent sous forme électronique[14], ce qui exclut ainsi l'ensemble des documents non disponibles sous forme électronique. De même, cette diffusion ne s'applique pas (i) aux documents qui font l'objet d'une protection par un droit de propriété littéraire et artistique et (ii) à ceux qui ne sont pas des archives publiques ayant fait l’objet d’une conservation à l’issue des opérations de sélection prévue par le Code du patrimoine[15]. Enfin, cette diffusion est également exclue pour (i) les collectivités territoriales de moins de 3 500 habitants et (ii) les personnes morales chargées d’une mission de service public dont le nombre d’agents ou de salariés est inférieur à un seuil fixé par le pouvoir réglementaire[16].
5. Quelle réutilisation par les administrés ?
La loi Lemaire a eu pour ambition de favoriser et faciliter la réutilisation gratuite des documents administratifs notamment en uniformisant leur régime de communication et de réutilisation.
Ainsi, les documents qui ont été communiqués doivent par la suite pouvoir être réutilisables "à d'autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus[17]".
Les administrés pourront ainsi accéder et réutiliser données produites par des personnes privées exerçant une mission de service public à caractère industriel ou commercial (e.g. la RATP, la SNCF, etc.) et pourront, par exemple, compiler/analyser des statistiques, développer des applications mobiles, etc. Les administrés ne devront toutefois pas altérer ou dénaturer le sens des données publiques[18].
La réutilisation d'informations publiques donnera obligatoirement lieu à l'établissement d'une licence lorsque cette réutilisation est soumise au paiement d'une redevance[19]. Si une administration met à disposition ses données gratuitement et qu'elle décide de conditionner leur réutilisation au respect d’une licence, celle-ci devra être « choisie parmi celles figurant sur une liste fixée par décret » ou à défaut, cette licence devra être préalablement homologuée par l'Etat dans des conditions fixées par décret, ce qui devrait permettre d'assurer une certaine harmonisation.
Les dispositions de la Loi Lemaire liées à la publication en ligne des données publiques n'entreront en vigueur qu'au mois d'octobre 2018[20] et l'Etat s'est engagé à assister les collectivités locales dans l'ouverture de leurs données.
Quoi qu'il en soit, il nous semble dès à présent nécessaire pour les personnes publiques et parapubliques de mettre en œuvre l'ensemble des mesures nécessaires afin de définir une véritable politique de gouvernance des données et ce, en parallèle avec le chantier lié à la mise en conformité avec le règlement "GDPR".
Sources
[1] JORF n°0103 du 3 mai 2014
[2] CRPA, art. L.300-2
[3] CRPA, art. L300-2, alinéa 1er : "Constituent de tels documents notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions, codes sources et décisions."
[4] Cada, avis n°20144578 du 8 janvier 2015
[5] CRPA, art. L.311-3-1
[6] CRPA, art. L.311-3-1
[7] CRPA, art. L. 321-4
[8] Décret n° 2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l'objet de décisions individuelles prises sur le fondement d'un traitement algorithmique
[9] Décret n° 2017-331 du 14 mars 2017 relatif au service public de mise à disposition des données de référence
[10] CRPA, art. L.311-5, 2°
[11] CRPA, art. L311-1 et L.311-9
[12] CRPA, art. L300-4
[13] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), art 4: " On entend par standard ouvert tout protocole de communication, d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en œuvre."
[14] CRPA, art. L312-1-1
[15] CRPA, art. L311-4
[16] CRPA, art. L312-1-1
[17] CRPA, art. L.321-1
[18] CRPA, art. L.322-1
[19] CRPA, art. L323-1
[20] Loi n°2016-1321 du 7 octobre 2016, art. 8
[2] CRPA, art. L.300-2
[3] CRPA, art. L300-2, alinéa 1er : "Constituent de tels documents notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions, codes sources et décisions."
[4] Cada, avis n°20144578 du 8 janvier 2015
[5] CRPA, art. L.311-3-1
[6] CRPA, art. L.311-3-1
[7] CRPA, art. L. 321-4
[8] Décret n° 2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l'objet de décisions individuelles prises sur le fondement d'un traitement algorithmique
[9] Décret n° 2017-331 du 14 mars 2017 relatif au service public de mise à disposition des données de référence
[10] CRPA, art. L.311-5, 2°
[11] CRPA, art. L311-1 et L.311-9
[12] CRPA, art. L300-4
[13] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), art 4: " On entend par standard ouvert tout protocole de communication, d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en œuvre."
[14] CRPA, art. L312-1-1
[15] CRPA, art. L311-4
[16] CRPA, art. L312-1-1
[17] CRPA, art. L.321-1
[18] CRPA, art. L.322-1
[19] CRPA, art. L323-1
[20] Loi n°2016-1321 du 7 octobre 2016, art. 8