OPEN DATA ET PROTECTION DES DONNÉES PERSONNELLES : UN COMBAT PERDU D’AVANCE ? Micheline Ferran, Responsable du service propriété intellectuelle et gestion des marques à la CCI de Paris Anne-Clémence Buttner, Avocat à la Cour, collaboratrice chez Granrut Avocats

OPEN DATA / DONNÉES PERSONNELLES ET VIE PRIVÉE : LA POURSUITE DE DEUX OBJECTIFS DISTINCTS Comment concilier ces objectifs opposés? Open Data Mouvement d’ouverture et de partage des données publiques Données à caractère personnel Toute information identifiant directement ou indirectement une personne physique  Protection de la vie privée domicile / secret professionnel et secret médical / droit à l’image / intimité Les documents sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique L’apport de la loi Lemaire La position de la CADA La place des droits de propriété industrielle

Open Data & Données personnelles UNE TENTATIVE DE CONCILIATION OPÉRÉE PAR LA LOI Open Data & Vie privée Open Data & Données personnelles

LA CONCILIATION OPEN DATA & VIE PRIVEE Protection de la vie privée Un document peut être communiqué à toute personne qui en fait la demande sous réserve de l’occultation et/ou disjonction des données Un document peut être diffusé sous réserve de l’occultation et/ou disjonction des données Article L.311-6 du CRPA Article L.311-7 du CRPA Article L.312-2 du CRPA

LA CONCILIATION OPEN DATA & DONNÉES PERSONNELLES Protection des données personnelles Un document peut être diffusé si : Une disposition législative le prévoit ; La personne concernée a donné son accord ; Un traitement permet de rendre impossible toute identification Article L.311-3 du CRPA Article L.312-1-2 du CRPA

UNE REUTILISATION FACILITEE DES INFORMATIONS PUBLIQUES Fusion des régimes de l’accès et de la diffusion des documents administratifs et de la réutilisation des informations publiques Un document peut être réutilisé sous réserve du respect de la loi Informatique et libertés Article L.322-2 du CRPA

LES FAILLES ET LACUNES DE LA CONCILIATION OPÉRÉE PAR LA LOI Une anonymisation aux contours non définis avec précision voire impossibles à atteindre Selon la CNIL : une approche très restrictive « l’anonymisation consiste à utiliser un ensemble de techniques de manière à rendre impossible toute identification ou ré-identification des personnes, par quelque moyen que ce soit et de manière irréversible »

Affaire Laboratoire le Roche LES FAILLES ET LACUNES DE LA CONCILIATION OPÉRÉE PAR LA LOI Délibération CNIL n° 2015-255 du 16 juillet 2015 Affaire JC Decaux confirmée par le CE 8 février 2017 Délibération CNIL n°2016-047 du 25 février 2016 Affaire Laboratoire le Roche Délibération CNIL n°2017-145 du 9 mai 2017 Affaire Rétency Délibération n° 2016-344 du 17 novembre 2016 sur un avis sur un projet de décret relatif à la mise en œuvre «Système d'information du compte personnel d'activité» Certification et homologations des référentiels ou des techniques d'anonymisation en attente

DE LA CONCILIATION OPÉRÉE PAR LA LOI LES FAILLES ET LACUNES DE LA CONCILIATION OPÉRÉE PAR LA LOI Selon la CADA : une approche pragmatique en fonction de l’évolution des techniques mais qui reste imprévisible CADA AVIS n° 20041039 1ER AVRIL 2004 CADA AVIS N° 2013438 DU 21 NOVEMBRE 2013 CADA AVIS N° 20094046 DU 3 DÉCEMBRE 2009 CADA AVIS N° 20121488 DU 7 JUIN 2012

LES FAILLES ET LACUNES DE LA CONCILIATION OPÉRÉE PAR LA LOI Selon la CADA : une approche pragmatique en fonction de l’évolution des techniques mais qui reste imprévisible CADA AVIS N° 20094046 DU 3 DÉCEMBRE 2009 CADA AVIS n° 20080241 7 FEVRIER 2008 CADA AVIS n° 200104478 17 FEVRIER 2011

Patrick Breyer c/ Bundesrepublik Deutschland LES FAILLES ET LACUNES DE LA CONCILIATION OPÉRÉE PAR LA LOI Selon la CJUE : une approche réaliste selon les moyens raisonnablement accessibles au responsable de traitement 19 oct. 2016, aff. C-581/14 Patrick Breyer c/ Bundesrepublik Deutschland Selon l’avis du G29 n° 052014 du 10 avril 2014 : une approche de nature technique en fonction du risque, de sa gravité et de sa probabilité, mais qui reste exigente

Existence de législations contraires ANONYMISATION COMPLÈTE OU ABSOLUE QUI COMPORTE DE NOMBREUSES EXCEPTIONS Existence de législations contraires Contraintes imposées à certaines catégories de personnes du fait des exigences de la transparence de la vie publique (loi n°2013- 907 du 11 octobre 2013) Loi du 20 avril 2009 modifiant l’article L.330-5 du Code de la route autorisant l’utilisation commerciale des données personnelles figurant sur les cartes grises Elargissement des exceptions par décret L’article L.312-1-2 du CRPA : interrogations sur les données visées et les critères choisis

Par le Big Data et le foisonnement des données ANONYMISATION BATTUE EN BRECHE Par le Big Data et le foisonnement des données Non nécessaire dans tous les cas de figure

DE NOMBREUSES QUESTIONS SE POSENT ENCORE Sur qui pèse la charge et de la responsabilité de l’anonymisation ? Quid de l’accompagnement des collectivités/administrations pour mener à bien cette politique d’ouverture par défaut des données publiques ? Quel dispositif alternatif mettre en place pour concilier protection des données à caractère personnel et l’Open Data ?

Merci pour votre attention Micheline Ferran: mferran@cci-paris-idf.fr Anne-Clémence Buttner: a.buttner@granrut.com