Intervention de Paul Hébert

Le Stic entre dans l'autre catégorie : le droit d'accès indirect, qui concerne les fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique - fichiers de police judiciaire, fichier Schengen, fichiers des détenus ou même fichier national des comptes bancaires et assimilés (Ficoba), tenu par la direction générale des finances publiques par exemple. Chacun a le droit de savoir s'il y est référencé, de corriger, voire de se voir communiquer - en accord avec le responsable du traitement et si elles ne mettent pas en cause la sécurité de l'Etat - les informations qui y figurent. Avec 4 305 demandes, nous assistons à une hausse de 17 % en 2013, due en grande partie à des demandes concernant le Ficoba, suite à une décision du Conseil d'Etat du 29 juin 2011.

Le droit d'accès est un sujet mineur pour la Cnil qui s'intéresse d'abord à la personne publique productrice des données, et non à leur réutilisation. Mais des problèmes d'articulation surviennent lorsque les données publiques contiennent des données personnelles, car elles entrent dans le champ de l'article 13 de la loi Cada. Une demande de consultation d'un document d'archive, par exemple, ne relève pas de la Cnil, mais du code du patrimoine et de la Cada, sauf s'il est mis en ligne ou numérisé par une entreprise : il y a alors traitement de données à caractères personnel et cela requiert l'autorisation de la Cnil si cette utilisation est faite à d'autres fins qu'historiques ou statistiques. C'est pourquoi elle a émis une recommandation qui trace un cadre pour ce cas et mis en place une autorisation unique. Dès qu'un document est sur Internet, les moteurs de recherche peuvent l'indexer, ce qui équivaut à une publication.

Il ne faut pas surestimer les difficultés techniques de ces cas. La Cnil a mené en juillet dernier un séminaire sur les enjeux de l'open data, dont le compte rendu détaillé, mis en ligne, a donné lieu à une consultation dont l'analyse vient d'être mise en ligne. Les constats ont été les suivants : les jeux de données ouverts comptent rarement d'informations à caractère personnel, et lorsque c'est le cas, elles présentent peu de risques pour les individus, quoiqu'indirectement identifiantes. En revanche, les acteurs ne sont pas très au fait de la problématique de la vie privée : ils ne savent pas ce qui est identifiable ni comment l'anonymiser. On constate même une certaine frilosité, voire une instrumentalisation de la législation de protection des données personnelles pour en mettre le moins possible en ligne. Nous manquons également d'outils didactiques et de techniques d'anonymisation. Un sous-groupe du G29, l'organisme qui regroupe la Cnil et ses homologues européens, travaille sur la question. Nous avons encore besoin de guidelines pratiques pour encadrer ce mouvement qui revêt un intérêt économique important.