Messages les plus consultés

mardi 24 septembre 2013

Open data : un nouvel élan pour la politique d’ouverture des données publiques

La Charte pour l’ouverture des données publiques (ou open data) signée par les chefs d’état des pays du G8 lors du sommet des 17 et 18 juin 2013 en Irlande du Nord, associée à la directive du 26 juin 2013 concernant la réutilisation des informations du secteur public démontrent l’intérêt des politiques pour la promotion d’un réel essor dans ce domaine. (1)

Bien que le droit français dispose d’un cadre réglementaire relatif aux données publiques depuis 1978, avec la loi CADA, les initiatives et projets autour de la réutilisation de ces données restent encore en deçà des attentes. (2) C’est pourquoi il est intéressant de constater que les pays industrialisés (G8 et Etats-membres de l’Union européenne) ont réaffirmé leur engagement pour la promotion de la réutilisation des données publiques par ces deux textes, adoptés au mois de juin dernier.

L’étude de ces textes fait ressortir les principes fondamentaux communs à l’Open Data et à la réutilisation de ces données publiques. Si le premier principe d’ouverture par défaut est une réelle avancée pour affirmer l’importance de l’Open Data, toutes ces données n’ont cependant pas vocation à être librement accessibles et réutilisables. Les droits des personnes (protection des données personnelles et droit d’auteur) sont préservés et certaines catégories de données liées à la sûreté de l’Etat et à la sécurité publique ainsi que les informations commerciales sont exclues de ces dispositifs, comme elles l’étaient déjà de la loi CADA.


1. Charte du G8 et directive Open Data : des principes communs pour une politique de réutilisation des données publiques

La Charte du G8 pour l’ouverture des données publiques repose sur cinq principes, dont l’objet est de faciliter, de manière effective, la réutilisation des données publiques. (3)

    1.1 Les cinq principes de la Charte du G8

La Charte pose les cinq principes suivants : l’ouverture des données publiques par défaut ; des données publiques de qualité, en quantité, accessibles et réutilisables ; une ouverture des données pour améliorer la gouvernance et encourager l’innovation.

Principe n°1 : données ouvertes par défaut
Les données des organismes publics doivent être considérées comme étant, par défaut, des données ouvertes, pouvant être réutilisées. Leur accès doit être libre et leur réutilisation, en principe (mais pas obligatoirement), gratuit. Ce premier principe d’ouverture et de réutilisation est considéré comme étant d’importance majeure pour la société et l’économie.

Principe n°2 : de qualité et en quantité
Les données concernées doivent être “de qualité”, c’est-à-dire, à jour, complètes et exactes. En outre, ces données doivent être mises à disposition dans des délais raisonnables après leur production. Les organismes publics doivent utiliser et mettre à disposition des métadonnées fiables, dans un format uniforme pour faciliter la réutilisation des données, notamment transfrontières.

Principe n°3 : accessibles et réutilisables par tous
L’un des objectifs mis en avant par le G8 est le principe de la gratuité et la diffusion des données en formats ouverts afin que ces données soient lisibles, quels que soient le système d’exploitation, la plateforme ou le logiciel de lecture. Comme on le verra plus loin, le principe de gratuité des données publiques n’est pas une obligation. Les administrations peuvent demander le règlement d’une redevance pour couvrir le coût de mise à disposition des données, voire même d’une redevance d’utilisation des données.

Principe n°4 : ouvrir les données pour améliorer la gouvernance
Un autre objectif de l’open data souligné par le G8 est de favoriser l’exercice de la démocratie. En permettant un accès systématique aux données publiques, les organismes publics s’engagent pour plus de transparence sur les méthodes de collecte des données, sur les normes appliquées et sur les mécanismes de publication.

Principe n°5 : ouvrir les données pour encourager l’innovation
La Charte reconnaît que l’ouverture des données publiques pour leur réutilisation inclut les usages à des fins commerciales et non commerciales.

L’accès à ces données par les entreprises doit permettre le développement de produits et services innovants, et ainsi contribuer au développement économique. Les données peuvent être diffusées libres de droits ou sous licence, de préférence ouverte. (4)

    1.2 La directive du 26 juin 2013

La directive européenne, publiée dans la lignée de la Charte du G8, vient modifier la directive de 2003 concernant la réutilisation des informations du secteur public. L’objet de cette modification est triple : (i) prendre en compte les évolutions technologiques intervenues depuis dix ans, (ii) réduire les disparités des règles en vigueur entre les différents Etats-membres en matière de politique Open Data afin de lever les obstacles aux offres transfrontalières de produits et services basés sur des données publiques, en imposant un degré minimal d’harmonisation communautaire, et (iii) imposer le principe de l’ouverture des données publiques et le droit de réutilisation, ce droit n’existant pas dans la directive de 2003. On remarquera donc que la plupart des dispositions de la directive de juin 2013 figurent déjà dans la loi française.

Principe des données ouvertes par défaut 
Comme la Charte du G8, la directive - version 2013 -, impose le principe des données ouvertes par défaut. Ces données doivent donc pouvoir être librement réutilisables, sous réserve des règles nationales applicables.

Le refus opposé à un demandeur pour accéder à des données doit être justifié. En cas de refus d’accès aux données, l’organisme public doit en communiquer les raisons au demandeur.

Par ailleurs, la directive précise l’extension de son champ d’application aux bibliothèques, bibliothèques universitaires, musées et archives, sous réserve du respect du droit d’auteur notamment (voir les exceptions ci-après).

Formats de fichiers ouverts et structurés 
La qualité des données publiques est rappelée par le biais de l’obligation de fournir les données en formats ouverts, lisibles par la machine, permettant l’interopérabilité, et comprenant une présentation précise des métadonnées.

Gratuité ou redevance 
La directive ne pose pas la gratuité comme un principe. En effet, les opérations de collecte, de production, de reproduction et de diffusion de ces données ont un coût pour les organismes publics. L’accès aux données publiques peut donc être payant, si possible limité à une redevance couvrant uniquement les coûts marginaux de la diffusion des données.

Toutefois, certains organismes publics doivent générer des recettes. La redevance applicable à leurs données pourra donc être supérieure aux coûts marginaux, sous réserve qu’elle soit fixée selon des critères objectifs, transparents et vérifiables.

Conditions de réutilisation  
La réutilisation des données peut être libre ou soumise à des conditions de licence, si possible ouverte.

La directive permet aux organismes publics d’accorder des droits d’exclusivité de réutilisation à des partenaires privés, notamment pour leur permettre d’amortir les investissements réalisés. Cependant, les accords d’exclusivité de réutilisation doivent rester limités, respecter les principes du droit de la concurrence, et être soumis à un réexamen régulier.

La directive du 26 juin 2013 doit être transposée dans les droits nationaux des Etats membres dans un délai de deux ans, à savoir avant le 18 juillet 2015.


2. Toutes les données ne sont cependant pas librement réutilisables


L’affirmation du principe des données ouvertes par défaut, par la Charte du G8 et la directive de juin 2013, ne signifie pas pour autant que toutes les données sont libres d’accès. Les droits des personnes sont notamment reconnus et justifient certaines exceptions au principe de l’Open Data.

Plusieurs catégories de données sont ainsi exclues de l’Open Data, justifiant le refus de communication par les organismes publics. Il s’agit de certaines données soumises à des droits spécifiques (propriété intellectuelle ou données personnelles), relatives à la sûreté de l’Etat et à la sécurité ou encore aux données protégées par la confidentialité. Ces données ne peuvent donc être librement réutilisées.

Les données protégées par le droit de la propriété intellectuelle  
Les données protégées par des droits de propriété intellectuelle ne sont pas libres, même si elles sont détenues par des administrations, collectivités ou autres organismes publics. Ces données ne sont donc pas réutilisables, sauf accord de leur titulaire.

Les données à caractère personnel
Dans le respect des dispositions de la loi Informatique et Libertés, les informations publiques comportant des données personnelles restent protégées. La loi française étend l’exception aux données couvertes par le secret médical. Ces données peuvent néanmoins être communiquées à l’intéressé à sa demande dans les conditions fixées par la loi. (5)

Les données relatives à la protection de la sécurité nationale, de la défense et de la sécurité publique 
Ces données sont exclues des informations publiques et ne peuvent être communiquées.

Les informations commerciales confidentielles (secrets d’affaires, secret professionnel)  
Les informations confidentielles échangées entre des entreprises privées et l’administration, par exemple dans le cadre d’appel d’offres et de l’exécution de marchés publics, restent couvertes par la confidentialité.

Les données statistiques confidentielles
Toutes les données statistiques ne sont pas des données publiques. Certaines statistiques peuvent en effet comprendre des données permettant d’identifier des personnes, directement ou indirectement ; d’autres peuvent être directement liées à la sécurité publique, etc.

La frontière entre données publiques et données protégées, et donc le droit de réutilisation, n’est pas toujours aisée à tracer. Il existe à ce sujet quelques décisions de justice venant préciser le contour de la protection de la vie privée ou des droits de propriété intellectuelle et du producteur de base de données. (6)


Que ces nouveaux textes soient un véritable pas en avant ou la réaffirmation de droits déjà définis dans la loi, peu importe. Il nous paraît que l’engagement des principaux pays industrialisés sur des principes communs à l’Open Data démontre une volonté réelle de participer à l’essor de la réutilisation de ces données par le secteur privé, que ce soit à des fins d’intérêt général ou commerciales.

Même si l’administration française est de plus en plus active dans ce domaine (voir le site www.data.gouv.fr qui affiche un accès à plus de 350 000 jeux de données publiques), sans oublier l’engagement de certaines collectivités locales et des organismes culturels (musées du Louvre ou du quai Branly par exemple), le domaine de la réutilisation des données publiques paraît bien encadré juridiquement, afin de permettre aux entrepreneurs de développer de nouveaux produits et services.

A cette fin, l’annexe à la charte du G8 liste utilement des catégories de données à forte valeur ajoutée. On retiendra par exemple les catégories suivantes : données d’environnement, données d’observation de la Terre et données géospatiales ; données d’éducation ; données relatives aux finances et aux marchés ; données de santé ; ou données dans les domaines de la science et de la recherche. On peut donc comprendre que l’Open Data n’est pas qu’un débat théorique. Si l’on considère ces données brutes comme une matière première à transformer, il existe de réelles opportunités en matière de développement de projets dans un environnement réglementaire qui tend à se préciser.

                                                            * * * * * * * * * * *

(1) Charte du G8 pour l’Ouverture des Données Publiques - 18 juin 2013, accessible sur le site etalab.gouv.fr ; Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public

(2) Loi n°78-753 du 17 juillet 1978, dite loi CADA, portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. A noter que la loi CADA distingue entre “document administratif” et “information publique”, les documents administratifs étant définis à l’article 1er de la loi, et les informations publiques (à savoir, les données contenues dans les document administratifs, sous réserve d’exceptions) sont définies à l’article 10..

(3) Pour rappel, les pays du G8 sont l’Allemagne, le Canada, les Etats-Unis, la France, l’Italie, le Japon, le Royaume Uni et la Russie
 
(4) A ce titre, voir par exemple la licence ouverte (ou Open licence) publiée par Etalab en décembre 2011

(5) voir article 6 de la loi CADA du 17 juillet 1978

(6) Voir par exemple les précisions apportées par la jurisprudence “notrefamille.com” :
- Respect de la loi Informatique et Libertés du 6 janvier 1978 : C. Adm. d’Appel de Lyon du 4 juillet 2012, Département du Cantal c/ notrefamille.com
- Droit du producteur de base de données : Trib. Adm. de Poitiers du 31 janvier 2013, notrefamille.com c/ Département de la Vienne ; C. Adm. d’Appel de Nancy du 18 avril 2013, notrefamille.com c/ Conseil général de la Moselle



Bénédicte DELEPORTE - Avocat

Septembre 2013

mardi 10 septembre 2013

Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles


Avec l’arrêt Nikon du 2 octobre 2001, la cour de cassation rappelait que le salarié avait droit, même sur le lieu et pendant le temps de travail, au respect de l'intimité de sa vie privée, y compris le respect du secret des correspondances. Dès lors, l'employeur ne pouvait, sans violer cette liberté fondamentale, prendre connaissance des messages personnels émis et reçus par le salarié grâce à l’ordinateur mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur. (1)

Cependant, même si le principe général du respect de l'intimité de la vie privée du salarié sur le lieu et pendant le temps de travail a été reconnu, plusieurs décisions de justice sont venues en préciser les contours depuis cet arrêt de 2001, notamment trois décisions rendues par la Cour de cassation en 2013.


1. La délimitation des sphères vie privée / vie professionnelle en matière d’accès aux contenus des ordinateurs professionnels


L'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Le contrôle par l’employeur doit néanmoins être réalisé pour des motifs légitimes et être justifié, par exemple pour vérifier que le salarié n’utilise pas son ordinateur professionnel d'une manière qui serait susceptible de porter atteinte à l'image de l'entreprise ou pour exercer une activité professionnelle concurrente. Dans ce cas, conformément à la jurisprudence, un tel contrôle ne saurait porter atteinte aux droits du salarié au respect de sa liberté d'expression et de sa vie privée sur son lieu de travail et pendant son temps de travail.

Toutefois, sans pour autant remettre en cause ces libertés fondamentales, la jurisprudence tend, depuis quelques années, à préciser les contours de la sphère vie privée en affirmant que l'outil informatique mis à la disposition du salarié, par l'employeur, pour l’exécution de son travail ne doit pas être détourné de son objet professionnel.

La règle est désormais la suivante : tous les fichiers et emails créés, adressés ou reçus par un salarié à l'aide de son ordinateur professionnel sont présumés professionnels. L’employeur peut donc y accéder hors sa présence et s'en servir, notamment en cas d’action disciplinaire. (2)

Aussi, afin de limiter les accès à des documents relevant de la sphère privée, il appartient au salarié d'apposer un signe distinctif sur les documents et messages personnels. De récentes décisions de la Cour de cassation illustrent parfaitement cette tendance jurisprudentielle.


2. Le principe de présomption du caractère professionnel des échanges

Dans une décision du 16 mai 2013, la Cour de cassation a affirmé que l’employeur pouvait prendre connaissance des messages personnels émis et reçus par le salarié, grâce à son l’ordinateur professionnel mis à sa disposition. Ces emails, même s'ils ne comportaient pas le nom de la société dans l’adresse, sont présumés professionnels. (3)

En l’espèce, une société avait assigné l’un de ses anciens salariés, et son nouvel employeur, pour détournement de clientèle et concurrence déloyale pendant l’exécution du préavis du salarié. Au cours de la procédure, les défendeurs ont invoqué le fait que le constat d’huissier versé aux débats par la société demanderesse, ne constituait pas un mode de preuve licite. Ce constat avait été réalisé à partir de la boîte email de l’ancien salarié, dont l’adresse électronique ne comportait pas le nom de la société, et en l’absence du salarié concerné. Si le salarié utilisait cette messagerie dans un cadre professionnel, il recevait également des messages personnels, protégés par le secret des correspondances et le droit au respect de la vie privée.

La Cour de cassation a cependant jugé que "les courriels adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme personnels."

En conséquence, tous les fichiers et emails édités et reçus par un salarié, à l’aide de son ordinateur professionnel, peuvent être consultés par l’employeur, sauf s’ils sont identifiés comme “personnels” (dans leur intitulé ou placés dans un dossier “personnel”).


3. Les emails envoyés depuis la messagerie personnelle, stockés sur l’ordinateur professionnel sont présumés de nature professionnelle

La Cour de cassation, dans cette décision du 19 juin 2013, a étendu la règle de l’identification “personnel” aux emails émis depuis l’ordinateur personnel du salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel. (4)

En l'espèce, le directeur artistique d'une agence de publicité avait été licencié pour faute grave, à savoir pour concurrence déloyale. Une expertise de son disque dur professionnel avait révélé l'échange de nombreux emails, depuis son ordinateur et adresse de messagerie personnels, avec des salariés d’une agence concurrente portant sur les produits d’un client de son employeur. Ces emails avaient ensuite été transférés sur son ordinateur professionnel. Or, ces emails ne portaient pas la mention “personnel” dans leur objet et ne figuraient pas dans un dossier identifié comme personnel dans son ordinateur professionnel. Par ailleurs, plusieurs dossiers et fichiers expressément nommés “perso” ou “personnel” découverts sur le disque dur, avaient été exclus du rapport d'expertise.

Contestant son licenciement, le salarié a saisi la juridiction prud'homale. Il affirmait que les emails litigieux avaient un caractère personnel puisqu'ils avaient été envoyés depuis son adresse de messagerie personnelle. Aussi, le salarié considérait que l'accès à ses messages, effectué par un expert mandaté par l'employeur, hors sa présence, constituait une atteinte au respect de sa vie privée Les constatations effectuées par l'expert lui étaient donc inopposables. Selon le salarié, l’employeur ne pouvait ni lire, ni se servir des emails comme preuve d’une faute ; le licenciement était donc dépourvu de cause réelle et sérieuse.

La Cour de cassation n'a pas suivi l'argumentation du salarié. Les juges ont rappelé le principe de base concernant la qualité “professionnelle” des emails se trouvant dans l’ordinateur professionnel du salarié, en précisant que "des courriels et fichiers, intégrés dans le disque dur de l'ordinateur mis à disposition du salarié par l'employeur, ne sont pas identifiés comme personnels du seul fait qu'ils émanent initialement de la messagerie électronique personnelle du salarié".

En conclusion, tout le contenu du disque dur de l’ordinateur professionnel, y compris la messagerie, est présumé à caractère professionnel. Dans ce cas, l’employeur y a librement accès et peut consulter l’ensemble de son contenu, pour le cas échéant, l’utiliser contre le salarié.

De même, dès lors qu’un lien avec l'ordinateur mis à disposition du salarié peut être établi, les messages, dossiers, et autres fichiers sont présumés avoir un caractère professionnel. C'est ainsi que la Cour de cassation a, dans une décision du 12 février 2013, poussé le raisonnement jusqu’à considérer qu’une clé USB, même personnelle, connectée à l'ordinateur professionnel était présumée utilisée à des fins professionnelles. L’employeur peut donc avoir accès aux fichiers contenus sur la clé USB, hors la présence du salarié. (5)

Ainsi, seule la mention précise et clairement identifiable du caractère personnel d'un fichier est susceptible de protéger sa libre consultation par l’employeur. Pour rappel, dans un décision du 10 mai 2012, la Cour de cassation avait jugé que la seule dénomination "Mes documents" donnée à un fichier ne lui conférait pas un caractère personnel. L'employeur pouvait donc librement consulter ce fichier. (6)


On assiste depuis plusieurs années à une porosité accrue entre vie personnelle et vie professionnelle, tendance facilitée par une demande de flexibilité des salariés et par l’évolution des équipements informatiques.

Si les salariés ont tendance à utiliser leur ordinateur professionnel à des fins personnelles (utilisation de la messagerie, stockage de documents, consultation d’internet, etc.), la pratique du BYOD, par laquelle les salariés peuvent être autorisés à utiliser leur propre équipement informatique à des fins professionnelles, implique d’appliquer des règles de conduite strictes pour maintenir une ligne claire entre sphère privée et sphère professionnelle. La première règle consiste à distinguer entre dossiers “personnels” et dossiers “professionnels”.

Les tribunaux considèrent que les documents et emails se trouvant sur un ordinateur professionnel sont d’ordre professionnel par défaut. Cela revient-il à considérer que, pour une entreprise tolérant ou encourageant la pratique du BYOD, les documents et emails se trouvant sur un équipement  informatique personnel sont d’ordre personnel par défaut ? (7) Les chartes informatiques doivent permettre aux entreprises de rappeler à leurs collaborateurs les règles de base en matière d’utilisation des outils informatiques et de distinction privé / professionnel.

* * * * * * * * * *

(1) Cour de cassation, chambre sociale, 2 oct. 2001, n°99-42.942, Nikon France

(2) Les courriels constituent des preuves admissibles et ont force probante devant les Conseils de prud'hommes.

(3) Cour de cassation, chambre sociale, 16 mai 2013, N°12-11866

(4) Cour de cassation, chambre sociale, 19 juin 2013, N°12-12138

(5) Cour de cassation, chambre sociale, 12 février 2013, No 11-28.649

(6) Cour de cassation, chambre sociale, 10 mai 2012, N°11-13.884

(7) BYOD (Bring your own device) consiste pour les salariés à utiliser leur propre équipement (ordinateur, tablette, smartphone) à des fins professionnelles



Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2013