Messages les plus consultés

jeudi 24 novembre 2011

Cloud computing : la confiance des partenaires passe par un “bon” contrat

A l’ère du document numérique, les services en mode “cloud”, bien qu’en fort développement, se heurtent toujours à la méfiance des clients potentiels. Nombre de sociétés, qui seraient tentées, essentiellement pour des raisons de baisse des coûts et de flexibilité, de sauter le pas de l’externalisation en cloud, s’y refusent par manque d’assurance et/ou de transparence de la part des prestataires.

Plusieurs problèmes de fond demeurent, tels que failles de sécurité et perte de données, localisation des données impossible, problèmes d’accès aux documents, etc.

Le droit, même s’il ne résout pas les problèmes techniques, peut contribuer à établir un climat de confiance entre les partenaires, indispensable pour que les entreprises-clientes soient rassurées.

Client et prestataire, des professionnels responsables

Plusieurs éléments tendent vers l’établissement de cette confiance entre client et prestataire.

Le client, qui reste responsable juridiquement du traitement de ses données, qu’elles soient à caractère personnel, confidentielles, ou autre doit, dans un premier temps, définir ses besoins : périmètre des activités à externaliser vers le cloud, confidentialité ou non des données, nécessité d’un cloud privé, public ou hybride, durée de l’externalisation, etc. Dans un deuxième temps, le client devra comparer les propositions des prestataires, celles-ci étant souvent standardisées. S’il s’agit d’une première externalisation, il sera plus prudent de se limiter à une activité non essentielle de l’entreprise, sur des données non confidentielles, au moins pour tester le service sélectionné pendant une première période.

Le prestataire doit pour sa part miser sur l’information et la transparence afin de rassurer le client : informer sur le niveau de service, la disponibilité des documents, l’existence d’un plan de continuité de l’activité, la sécurité, la localisation des serveurs, les procédures de réversibilité et/ou l’interopérabilité de la plateforme cloud, etc.

Le contrat de prestation cloud comme document différenciateur
Le contrat doit être intégré à cette démarche. En effet, un contrat de service cloud aux termes clairs, avec des engagements réels mais réalistes, est essentiel. Enfin, si les propositions standard ne correspondent pas aux besoins du client, celui-ci ne devra pas hésiter à se tourner vers des propositions de service personnalisées et négociables.

Bénédicte DELEPORTE - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011



mercredi 16 novembre 2011

La collecte de données personnelles sur les réseaux sociaux soumise à la loi Informatique et Libertés

Les informations personnelles mises en ligne par les utilisateurs des réseaux sociaux ont une réelle valeur économique, pour les annonceurs et les prestataires de services notamment. Toutefois, l’utilisation de ces données par des tiers n’est pas libre, alors même que ces informations sont visibles par tous. En effet, la collecte et le traitement de ces données doivent respecter les principes définis par la loi Informatique et Libertés. C’est ce qu’a rappelé la CNIL dans une délibération rendue le 21 septembre 2011, sanctionnant la société PagesJaunes pour avoir mis en oeuvre un traitement de données non conforme à la loi.(1)


1. Le traitement mis en oeuvre par la société PagesJaunes pour enrichir ses annuaires

Début 2010, la société PagesJaunes, éditrice des services d'annuaires Pages Jaunes et Pages Blanches sur internet, a déclaré à la CNIL un nouveau service en ligne mettant en oeuvre une fonctionnalité de "web crawl", visant à enrichir le contenu de ses annuaires et bases de données. Ainsi, courant 2010, la société PagesJaunes a, par le biais d'un logiciel de collecte automatique de données sur internet, récupéré les données d’utilisateurs inscrits sur plusieurs réseaux sociaux (photo, établissements scolaires, profession, employeur, etc.) pour compléter les informations disponibles sur le site des pages blanches (identité, coordonnées téléphoniques, adresse postale). La société a ainsi indexé sur son site près de 34 millions de profils communautaires, issus de 6 réseaux sociaux : Facebook, Twitter, Viadeo, LinkedIn, Trombi et Copains d'avant.

Saisie de plaintes de particuliers ne parvenant pas à faire valoir leur droit d'opposition à la réutilisation des données les concernant, la CNIL a ordonné une mission de contrôle sur place, dans les locaux de la société. Lors de ce contrôle, la CNIL a notamment pu constater les éléments suivants :

- Les informations personnelles "aspirées" puis mises en ligne par la société PagesJaunes étaient collectées sans que les utilisateurs des réseaux sociaux aient donné leur consentement ni même en aient été informés. En outre, la collecte pouvait concerner des données relatives à des mineurs et à des personnes inscrites sur la liste rouge téléphonique.

- Pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France, PagesJaunes procédait à un filtrage des pages issues des réseaux sociaux. Pour ce faire, la société extrayait de son annuaire les nom et prénoms de ses abonnés pour les conserver dans un fichier intermédiaire puis les croiser avec la base de données contenant les profils des réseaux sociaux.

- Les personnes ne souhaitant pas apparaître sur le site des Pages Blanches avaient la possibilité de s'y opposer, a posteriori, en remplissant un formulaire en ligne. Or, l'intéressé devait remplir autant de formulaires que de profils détenus sur les réseaux sociaux et toute demande d'opposition imprécise n’était pas traitée.

- Les suppressions demandées par les personnes exerçant leur droit d'opposition n’étaient pas définitives puisque leurs profils pouvaient de nouveau être indexés automatiquement par le logiciel des PagesJaunes, en cas de changement d’URL d’un profil par exemple.

- Enfin, les informations figurant sur le site des Pages Blanches, résultant de l'indexation de profils communautaires, n’étaient pas à jour, car non régulièrement actualisées par la société PagesJaunes.

La CNIL a donc considéré que les procédés de collecte et de traitement des données personnelles, mis en oeuvre par la société PagesJaunes, n’étaient pas conformes à la loi Informatique et Libertés. En outre, bien que la société ait suspendu le traitement litigieux de "web crawl" avant la délibération de la CNIL, la Commission a prononcé à son encontre un avertissement rendu public.

Quels sont les manquements à la loi Informatique et Libertés reprochés à la société PagesJaunes ?


2. Une collecte et un traitement de données à caractère personnel jugés non conformes à la loi Informatique et Liberté

    2.1 Une collecte déloyale et illicite des données à caractère personnel

L'absence de consentement préalable des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit mettre en oeuvre une collecte loyale, par l’obtention notamment du consentement de la personne dont les données sont collectées.(2)

En l'espèce, le procédé mis en oeuvre par la société PagesJaunes consistait à collecter de façon massive, répétitive et indifférenciée, les données personnelles des utilisateurs inscrits sur les réseaux sociaux, sans leur consentement préalable.

La société PagesJaunes soutenait que les internautes publiant volontairement des informations les concernant sur les réseaux sociaux, et ne restreignant pas l'accès à leur profil, consentaient implicitement à la réutilisation de ces informations par des tiers. Cet argument a été rejeté par la CNIL, qui relève notamment que la collecte litigieuse concernait des données de mineurs "rarement conscients de la portée de diffusion de telles informations", et de personnes inscrites sur la liste rouge téléphonique.

La CNIL a jugé que ce type de collecte était déloyal. La Commission confirme ainsi que le fait que ces informations personnelles soient librement accessibles sur internet n'autorise pas les tiers à les collecter sans l'accord préalable des personnes concernées.

L'absence d'information des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit informer les personnes concernées par cette collecte et communiquer son identité, la finalité poursuivie par le traitement en cause, les destinataires des données, les droits dont bénéficient ces personnes à l’égard du traitement de données, le cas échéant, si les données seront exportées, etc.

En l'espèce, la société PagesJaunes ne fournissait pas ces informations. Pour justifier ce manquement, la société invoquait l'une des exceptions légales à l'obligation d'information, à savoir le fait que les personnes, dont les données étaient collectées puis publiées sur le site des Pages Blanches, avaient déjà été informées de la réutilisation de leurs données par le biais des conditions d'utilisation et de la politique de confidentialité des réseaux sociaux. Ces documents stipulent que les données à caractère personnel des utilisateurs peuvent être indexées par des moteurs de recherche.

La CNIL considère que les sites des PagesJaune ne sont pas des moteurs de recherche. L’activité d'édition d'annuaires consiste en l’exploitation de bases de données, et non dans "la mise en œuvre d’une application permettant de retrouver des ressources extérieures à celles enregistrées dans ses bases."

La collecte de données à caractère personnel sur les profils communautaires, à l'insu des personnes concernées, est donc déloyale et illicite.

    2.2 Un traitement illicite de données personnelles


Le non-respect de la finalité déclarée du traitement
Un fichier de données personnelles ne peut être exploité à d'autres fins que celles initialement déclarées. La loi dispose ainsi qu'un traitement ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Les données ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités. 

En l'espèce, l’extraction des données des abonnés de l’annuaire Pages Blanches, à des fins de filtrage des profils des réseaux sociaux pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France n’avait pas de lien avec la finalité initialement déclarée pour le service des Pages Blanches.

La CNIL considère que ce procédé constitue un détournement de finalité et donc, un traitement illicite de données personnelles.

Le non-respect des droits des personnes concernées
La loi prévoit que les personnes concernées par un traitement de données à caractère personnel bénéficient des droits d'accès, de contestation, de rectification des données et d'opposition au traitement.

La CNIL a considéré que les procédures mises en oeuvre par la société PagesJaunes, afin que les personnes concernées puissent faire valoir leurs droits d'opposition et de rectification, étaient trop complexes et inefficaces : (i) la procédure de demande d'opposition était soumise à l’envoi d’un formulaire par profil. En outre, cette procédure ne garantissait pas que les données seraient définitivement supprimées (réindexation suite à une nouvelle collecte sur un profil modifié par exemple) ; (ii) Il appartenait aux intéressés de procéder directement aux modifications souhaitées sur leurs profils communautaires, du fait de leur indexation sur le site des Pages Blanches. Ces rectifications étaient souvent inopérantes, compte tenu de l'absence de mise à jour régulière des données issues des profils des réseaux sociaux.

Sur la base de ces divers manquements à la loi Informatique et Libertés, la CNIL a décidé d’émettre un avertissement public à l’encontre de la société PagesJaunes, sans pour autant aller jusqu’à demander l’application d’une sanction pécuniaire, la société ayant suspendu le traitement litigieux pendant la procédure.


Ce n'est pas la première fois que la CNIL se prononçait sur une affaire de collecte illicite par aspiration de données disponibles sur internet. En 2006, la Cour de cassation, confirmant la position de la CNIL, avait condamné le dirigeant d'une société à 3000€ d’amende, à la suite d’une collecte de données illicite, dont l’objectif était de constituer des fichiers de prospects. Cette société avait collecté des données personnelles au moyen d'un logiciel aspirant des informations sur internet, sans que les personnes concernées aient donné leur consentement, ni même en aient été informées. A ce titre, il convient de rappeler que toute personne réutilisant des données à caractère personnel en violation des dispositions de la loi Informatique et Libertés encourt des sanctions pénales pouvant aller jusqu’à 5 ans d'emprisonnement et 300.000€ d'amende.(4)
* * * * * * * * * * *

(1) Délibération de la formation restreinte de la CNIL n°2011-203 du 21 septembre 2011 portant avertissement à l'encontre de la société PagesJaunes et Loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
(2) Voir articles 6 (1°) et 32 de la loi Informatique et Libertés relatifs à la collecte loyale et à l'information des personnes concernées. Par ailleurs, le responsable de traitement est défini à l'article 3 de la loi comme étant la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. Enfin, l'article 7 dispose qu’”un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée (...)".
(3) Voir articles 6 (2°) et 38 à 40 de la loi Informatique et Libertés. De même, l'article 6 (4°) dispose que les données personnelles doivent être exactes et, si nécessaire, mises à jour ; il incombe au responsable du traitement de prendre les mesures appropriées pour que les données inexactes au regard des finalités pour lesquelles elles sont collectées ou traitées, soient rectifiées.
(4) Cass. crim., 14 mars 2006, n°05-83.423 et articles 226-16 et s. du Code pénal.


Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011

jeudi 10 novembre 2011

Cloud computing, données personnelles et sécurité : la CNIL consulte les professionnels

Pendant un mois, du 17 octobre au 17 novembre, prestataires et clients de services Cloud sont invités à faire part de leurs commentaires sur les solutions juridiques et techniques proposées par la CNIL pour améliorer l’encadrement juridique du Cloud computing.

Cinq séries de questions sont soumises aux parties, autour des thématiques suivantes : 1) qu'est-ce qui caractérise un service de Cloud computing ? 2) Le statut et les responsabilités du sous-traitant des données, applicables au prestataire Cloud, doivent-ils évoluer ? 3) Quels critères utiliser pour déterminer la loi applicable aux services Cloud ? 4) Quels outils juridiques permettraient de mieux encadrer les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat ? 5) Quelles mesures de sécurité devraient être adoptées (mesures techniques et gestion des accès aux données) pour garantir la confidentialité des données ?

Après analyse des contributions, la CNIL publiera des lignes directrices accessibles via son site web. Ces lignes directrices devraient fournir des éléments utiles pour faire évoluer les offres contractuelles et donc, améliorer la confiance des utilisateurs au moment de sélectionner une offre Cloud adaptée.

La consultation CNIL sur le Cloud computing est accessible sur le site de la CNIL (www.cnil.fr)


Bénédicte DELEPORTE
Avocat

* Article publié dans Le Nouvel Economiste, édition du 10 novembre 2011

vendredi 4 novembre 2011

Open Data : un plus large accès aux données publiques permettra t-il un véritable essor de leur réutilisation ?

Les administrations produisent une multitude de documents sur la base de données collectées dans des domaines divers, tels que l’économie, la géographie, la culture, la santé. A ce jour, cette richesse documentaire est encore relativement peu réutilisée par les entreprises privées, malgré le dispositif législatif et réglementaire existant.

Dans la lignée du plan France numérique 2012, le Gouvernement a créé la mission Etalab en février 2011, chargée du développement d'un portail de mise à disposition des données publiques. Ce portail internet, dénommé data.gouv.fr, doit être lancé avant la fin 2011.

La publication en octobre d’une nouvelle licence libre d’exploitation de données publiques par la mission Etalab donne l'occasion de rappeler les règles d’accès aux données publiques puis les conditions d'exploitation de ces données.


1. Faciliter l’accès aux données publiques

L’accès aux documents administratifs (données publiques) est encadré depuis la loi du 17 juillet 1978 visant à instaurer une relation de transparence entre les administrations et les citoyens (la loi CADA).(1)

Cette loi a été modifiée et complétée à plusieurs reprises. L’ordonnance du 6 juin 2005 relative à la liberté d’accès aux documents administratifs et à la réutilisation des informations publiques transpose en droit français la directive européenne de 2003 sur la réutilisation des informations du secteur public. Plus récemment, un décret et une circulaire du 26 mai 2011 sont venus compléter la réglementation sur la réutilisation des informations publiques. En sus du droit d'accès, les textes  de 2005 et de 2011 ont défini les conditions de réutilisation des informations publiques des administrations.(2)

Toutes les données publiques ne sont cependant pas accessibles. Quant aux données publiques effectivement accessibles, quelles sont les conditions de cette accessibilité ?

    1.1 Quelles sont les données publiques accessibles ?
La loi CADA de 1978 consacre, dans ses articles 1 à 9, un droit général d’accès aux données publiques par les personnes physiques et morales, sous réserve de certaines exceptions.

Les données accessibles
Sont considérés comme “données publiques” tous documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support (papier, numérique, image, son, vidéo), produits ou collectés par l'Etat, les collectivités territoriales dans le cadre de leur mission de service public, ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission.

Ces documents comprennent notamment les dossiers, rapports, études, procès-verbaux, statistiques, directives, instructions, circulaires, avis, décisions. Ces données concernent des domaines très divers : économique, géographique, social, culturel, etc. Il peut s'agir par exemple d’informations relatives aux biens (cadastre, hypothèques, titre de propriété, permis de construire), d'images d’archives, de données topographiques, fiscales ou démographiques.

Sont donc potentiellement accessibles toutes les données détenues par l’administration, dans le cadre de sa mission de service public.

Les limites à l'accessibilité aux données
Toutes les données publiques ne sont cependant pas accessibles, pour des raisons diverses, ou sont accessibles sous certaines conditions :

    - Ne sont pas accessibles (i) les documents dont la consultation porterait atteinte au secret de la défense nationale, à la sûreté de l'Etat, à la sécurité publique, à tous les secrets protégés par la loi, etc. et (ii) les informations sur lesquelles des tiers détiendraient des droits de propriété intellectuelle.

    - Ne sont accessibles que par l’intéressé, les documents dont la consultation porterait atteinte à la protection de sa vie privée, au secret médical et au secret en matière commerciale et industrielle.

    - Ne sont accessibles que sous conditions, les documents administratifs qui comportent des données personnelles. Ces documents ne peuvent être rendus publics qu’après avoir fait l’objet d’un traitement afin d’occulter ces mentions ou de rendre impossible l’identification des personnes physiques nommées, l’objet étant de protéger leur vie privée.

    1.2 Les conditions d'accès aux données publiques
L'accès aux données publiques peut s'exercer de diverses manières : au choix du demandeur et sous réserve des possibilités techniques de l'administration, par consultation gratuite sur place, par la délivrance d'une copie, aux frais du demandeur ou par courrier électronique, sans frais si le document est disponible sous forme électronique, ou encore, par consultation en ligne.

Ainsi, l’accès aux données publiques est facilité par la création de portails internet, à l'initiative de communes, de collectivités locales, du gouvernement, mais également de sociétés commerciales. Plusieurs sites web de mise à disposition de données publiques existent déjà.

Par exemple, les villes de Rennes et de Paris ont créé des portails internet donnant accès aux données publiées par leurs différents services. Ces données recouvrent plusieurs thèmes, tels que citoyens, urbanisme (liste des parcs et jardins publics), équipements (liste des équipements sportifs), transports, finance (données budgétaires), services (données sur les bornes vélo en libre-service), environnement, sport et culture.(3)

Dans le cadre du déploiement de sa politique d'ouverture des données publiques, le gouvernement a créé en février 2011 la mission Etalab, chargée de la mise en oeuvre d’un portail interministériel destiné à rassembler et à mettre à disposition du public l'ensemble des informations publiques détenues par les administrations de l'Etat. Le portail internet data.gouv.fr doit être lancé avant la fin de l'année 2011 ; il proposera un moteur de recherche permettant d'accéder aux différentes informations produites par l'administration.(4)

Des initiatives privées existent également, tel le portail data-publica.com, exploité par la société Data Publica. Le site propose un annuaire référençant les données publiques françaises dans des domaines tels que l’économie et la finance, l’énergie, la santé, la démocratie, la démographie, l’agriculture, permettant leur réutilisation sous différentes licences, dont une licence commerciale.


2. Améliorer l’exploitation des données publiques par les entreprises privées

    2.1 Le principe de libre réutilisation des données publiques
La loi CADA définissait la notion de données publiques et les conditions d’accès à ces données, mais ne prévoyait pas expressément les conditions de leur réutilisation. L’ordonnance de 2005 complète ce dispositif en posant les conditions de la réutilisation des données.

La notion de libre réutilisation
La Directive européenne de 2003 (transposée en droit français par l’ordonnance du 6 juin 2005), a posé le principe de libre réutilisation des données publiques. Les informations figurant dans des documents produits ou reçus par les administrations peuvent être utilisées par toute personne qui le souhaite, à d'autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus.(5) En outre, lorsque la réutilisation de documents publics est autorisée, ces documents doivent pouvoir être réutilisés à des fins commerciales ou non commerciales.(6)

Réutilisation à titre gratuit ou payant
La réutilisation des données publiques peut donner lieu au versement d’une redevance à l’administration, dont le calcul est encadré par la loi. Toutefois, la redevance reste du domaine de l’exception, les dernières dispositions législatives ayant modifié le cadre légal afin de généraliser autant que possible le principe de gratuité de réutilisation des données publiques.

Précédemment, les différentes administrations de l'Etat pouvaient décider souverainement des données dont l'exploitation par des tiers était soumise au paiement de redevances. Dorénavant, cette décision devra être justifiée par des circonstances particulières (ex: la production de ces données nécessite des investissements particuliers). Ces informations doivent être au préalable inscrites sur une liste fixée par décret après avis du COEPIA (Conseil d’orientation de l’édition publique et de l’information administrative). Cette liste est rendue publique sur un site internet créé sous l'autorité du Premier ministre. En l'absence d'inscription sur cette liste, les données sont réputées gratuites.(7)

Les entreprises privées peuvent par ailleurs développer des produits ou services à valeur ajoutée à partir des données publiques, et soumettre leur utilisation au paiement d’une redevance.

    2.2 Les conditions de réutilisation des données publiques

Les conditions généralement applicables à la réutilisation de données publiques
Il existe trois conditions d’ordre général applicables à la réutilisation de toute donnée publique :
    - La préservation de l'intégrité des données : sauf accord de l'administration, les données publiques ne doivent pas être altérées. Leur sens ne doit pas être dénaturé et leurs sources et la date de dernière mise à jour doivent être mentionnées ;

    - La protection des données personnelles : les informations publiques comportant des données à caractère personnel peuvent uniquement faire l'objet d'une réutilisation si la personne concernée y a consenti, ou si l'autorité détentrice de la donnée est en mesure de les rendre anonymes ou, à défaut, si une disposition législative ou réglementaire le permet. La réutilisation de ces données est soumise au respect des dispositions de la loi Informatique et Libertés ;

    - Un droit de réutilisation non-exclusif : les données publiques sont accessibles et disponibles à tous. Elles ne peuvent faire l'objet d'un droit d'exclusivité lors de leur réutilisation par un tiers, sauf si l’exclusivité est nécessaire à l'exercice d'une mission de service public.

Les licences de réutilisation des données publiques
Les portails diffusant des données publiques soumettent leur réutilisation à des conditions de licence Open Data, libres ou commerciales.

Ainsi, dans le cadre de la politique du Gouvernement en faveur de l’ouverture des données publiques, Etalab vient de publier une nouvelle Licence Ouverte ou "Open Licence". Cette licence libre a pour objet de simplifier l'exploitation des données publiques, accessibles gratuitement via le futur portail data.gouv.fr. La Licence Ouverte est valable dans le monde entier et pour une durée illimitée. L'utilisation des données est soumise à la condition de mentionner la source et la date de leur dernière mise à jour (“paternité” de la donnée). Cette licence est compatible avec les principales licences libres Open Data développées à l’étranger telles que l'Open Government Licence (OGL), la licence Creative Commons Attribution 2.0 (CC-BY 2.0) et la licence Open Data Commons Attribution (ODC-BY).

Pour son portail Open Data, la ville de Paris a choisi de soumettre les conditions d’exploitation de ses données à la licence ODbL (Open Database Licence), qui impose notamment à l'utilisateur de citer la source et de laisser la base ouverte, qu’elle ait été enrichie ou non. Quant à la ville de Rennes, elle soumet la réutilisation des données publiques accessibles sur son portail data.Rennes-metropole à une licence libre spécifique.


La politique d’ouverture de l’accès et des conditions de réutilisation des données publiques n’est pas exclusive à la France. Elle s’inscrit en effet dans une démarche commune à plusieurs pays occidentaux, dont les Etats-Unis, le Royaume-Uni, l’Allemagne, l’Australie.

Les objectifs de cette politique Open Data sont divers, depuis la mise en oeuvre d’une plus grande transparence de l’information du citoyen, jusqu’au développement d’applications mobiles de proximité.

Cette politique doit notamment permettre aux entreprises privées et développeurs de créer de nouveaux produits et services dans des domaines comme la mobilité, les services de proximité (équipements, transports, urbanisme), l’information statistique (santé, impôts, scolaire).

Le cadre juridique de l’accès et de la réutilisation des données publiques est désormais en place, via un corpus réglementaire et des licences d’utilisation définissant les droits et obligations des utilisateurs de ces données. Les conditions techniques, avec d’une part la mise à disposition des données dans des formats intelligibles et structurés, d’autre part le déploiement de sites web permettant un accès en ligne doivent permettre un véritable essor de l’exploitation de cette richesse informationnelle. Une question demeure cependant : existe t-il une réelle opportunité économique pour les entreprises privées dans la réutilisation et l’exploitation des données publiques ? Peut-être pas pour des applications de base. Cependant, plus le traitement de données brutes, hétérogènes apportera de la valeur (par exemple via leur organisation en bases de données exploitables, leur analyse et la production d’études et autres documents réexploitables), plus les débouchés économiques, donc commerciaux seront justifiés.

* * * * * * * * * * * * * * * * *

(1) Loi n°78-753 du 17 juillet 1978 (dite “loi CADA”) portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. Certains documents ou informations font l’objet de régimes particuliers prévus, par exemple, dans le Code du patrimoine et le Code général des collectivités territoriales.
(2) Les différents textes applicables, en sus de la loi CADA de 1978 comprennent la Directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public ; L’Ordonnance n°2005-650 du 6 juin 2005 relative à la liberté d'accès aux documents administratifs et à la réutilisation des informations publiques ; Le Décret n°2011-577 du 26 mai 2011 relatif à la réutilisation des informations publiques détenues par l'Etat et ses établissements publics administratifs ; La Circulaire du 26 mai 2011 relative à la création du portail unique des informations publiques de l'Etat data.gouv.fr par la mission Etalab et l'application des dispositions régissant le droit de réutilisation des informations publiques - NOR: PRMX1114652C.
(3) Les portails Open Data de Rennes et de Paris sont accessibles à http://www.data.rennes-metropole.fr/ et http://opendata.paris.fr/
(4) Voir le Décret n°2011-194 du 21 février 2011 portant création d'une mission Etalab chargée de la création d'un portail unique interministériel des données publiques
(5) Le droit d’accéder aux données n’entraîne pas automatiquement le droit de les réutiliser. L’article 10 de la loi CADA dispose que ne sont pas considérées comme des informations publiques réutilisables: “les informations contenues dans des documents : a) dont la communication ne constitue pas un droit en application du chapitre 1er ou d’autres dispositions législatives, sauf si ces informations font l’objet d’une diffusion publique; b) ou produits ou reçus par les administrations mentionnées à l’article 1er dans l’exercice d’une mission de service public à caractère industriel ou commercial; c) ou sur lesquels des tiers détiennent des droits de propriété intellectuelle.” Dans ces trois cas, l’administration peut s’opposer à une demande de réutilisation de ses données publiques, sauf autorisation expresse.
(6) Voir articles 2 et 3 de la Directive 2003/98/CE du 17 novembre 2003.
(7) Voir la liste des textes applicables au point (2) ci-dessus. A préciser que ne sont concernées par ce nouveau régime que les redevances instituées postérieurement au 1er juillet 2011. Les redevances instituées avant cette date ne sont pas remises en cause, sous réserve que l'autorité compétente pour délivrer les licences de réutilisation demande leur inscription sur la liste au plus tard le 1er juillet 2012. A défaut, les redevances deviennent caduques et les titulaires de licences pourront réutiliser les informations gratuitement.




Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011