Open data : une nouvelle directive européenne modifie le cadre juridique

Publiée le 27 juin 2013, une nouvelle directive européenne va renforcer l’attractivité des données publiques pour les entreprises.

Le 27 juin 2013, la directive 2013/37/UE du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation d'informations détenues par le secteur public a été publiée au Journal officiel de l'Union européenne.
Le secteur public produit ou recueille un volume considérable de données qui, dans notre économie de l’information, présentent pour les entreprises un intérêt considérable.
Depuis la loi n°78-753 du 17 juillet 1978, toute personne peut avoir accès aux documents détenus par une administration dans le cadre de sa mission de service public.
Modifiée en 2005 pour transposer en droit français une directive de 2003, cette loi permet également  depuis cette date la réutilisation des informations publiques à d’autres fins que celles pour lesquelles elles sont élaborées ou recueillies.

C’est ce second volet de la loi qui devra être modifié pour le rendre conforme à la nouvelle directive de 2013.

Que faut-il connaître de la règlementation applicable pour en mesurer l’impact commercial ?

1. Donnée publiques/Données privées

Seules sont concernées par le dispositif les informations figurant dans des documents produits ou reçus dans le cadre de leur mission de service public par l’Etat, les collectivités territoriales et par les autres personnes de droit public ou les personnes de droit privé chargées d’une telle mission.
Encore faut-il que ces informations n’aient pas été produites ou reçues dans l’exercice d’une mission de service public à caractère industriel ou commercial. Dans ce cas, le droit à réutilisation ne pourra être invoqué.
Cette exclusion peut potentiellement concerner des informations publiques à haut potentiel commercial. Par exemple, dans la mesure où le transport de voyageurs est qualifié de service public industriel et commercial par la loi, les données qui s’y rapportent ne sont, en principe, pas réutilisables.
Par ailleurs, le droit français ne définit pas avec une précision satisfaisante la notion même de service public industriel et commercial. Une marge d’incertitude existe donc.
Une même administration peut d’ailleurs exercer deux missions distinctes, l’une de service public administratif et l’autre de service public industriel et commercial. La frontière entre les deux faces de son activité est parfois délicate.
On cite couramment l’exemple de l’office national des forêts, service public administratif dans son activité de protection des forêts et service public industriel et commercial dans son activité d’exploitation.
Sur l’ensemble de ces questions, la nouvelle directive ne devrait pas faire avancer la réflexion.

2. Liberté ne veut pas dire gratuité

La loi de 1978 permet le versement de redevances en contrepartie de la réutilisation d’informations publiques.
Pour élaborer son tarif, l’administration doit tenir compte des coûts de mise à disposition des informations et notamment, du coût de leur anonymisation. Elle peut aussi tenir compte des coûts de collecte et de production et inclure dans l’assiette de la redevance une rémunération raisonnable de ses investissements.
La loi prévoit explicitement que lorsque l’administration utilise ces mêmes informations dans le cadre d’une activité commerciale, elle n’est pas autorisée à en facturer la réutilisation à un coût supérieur à celui qu’elle s’impute.
Lorsque des redevances sont perçues, une licence est obligatoirement délivrée, et elle n’est en principe pas accordée à titre exclusif à un opérateur privé.
Elle ne doit pas contraindre la liberté d’exploitation du cocontractant, sauf pour des motifs d’intérêt général. L’administration ne peut donc, en principe, revendiquer un droit de regard sur l’utilisation qui sera faite par l’opérateur privé des informations qu’elle lui fournit.
La nouvelle directive accroît ses obligations de transparence en prévoyant que les bases de calcul utilisée pour la fixation des redevances seront fixées à l’avance et publiées.
Lorsqu’il ne s’agira pas de redevances type mais d’accords négociés, l’administration devra d’emblée informer son cocontractant des facteurs qu’elle aura pris en compte pour leur évaluation. L’apport de la directive est donc ici majeur.

3. Open data et propriété intellectuelle

Les informations publiques contenues dans des documents sur lesquels des tiers détiennent des droits de propriété intellectuelle sont exclues du dispositif par l’article 10 de la loi du 17 juillet 1978.
Ce tiers peut être un agent public dont les droits n’auraient pas été transmis à son administration mais l’hypothèse de la titularité des agents publics devrait être marginale.
Ce peut être aussi un opérateur privé qui aurait répondu à un appel d’offres et remis à cette occasion un dossier complet de plans, photographies, notes,…
Le droit de la propriété intellectuelle étant particulièrement accueillant, il est ici vraisemblable que la plupart de ces réalisations échapperaient au droit de réutilisation.
Toujours pour protéger les droits de propriété intellectuelle, l’article 11 de la loi du 17 juillet 1978 a été interprété comme excluant du régime général de la réutilisation, les établissements d’enseignement et de recherche ainsi que les musées, les bibliothèques, les orchestres, les opéras, les ballets et les théâtres.
En ce sens, tous ces établissements auraient la faculté d’autoriser ou non la réutilisation des informations qu’ils détiennent et dans ce cas, de définir leurs propres conditions.
Les services d’archives ont par ailleurs été assimilés à ces établissements bénéficiaires de cette exception par la Commission d’accès aux documents administratifs (CADA).
Cette analyse a été remise en cause par un arrêt de la Cour administrative d’appel de Lyon du 4 juillet 2012 qui  étend clairement le principe général de libre réutilisation aux données culturelles et spécialement aux données archivistiques.[1]
Quoi qu’il en soit, la nouvelle directive est en ce sens, puisqu'elle intègre dans ce principe de liberté tous les documents détenus par les bibliothèques, les musées et les archives. Ces derniers seront désormais tenus eux aussi de permettre la réutilisation de leurs données. L’open data est donc clairement étendu au secteur culturel.

4. Open data et données personnelles

L’article 13 de la loi du 17 juillet 1978 prévoit que les informations publiques comportant des données à caractère personnel peuvent être réutilisées si l’intéressé y a consenti, ou si l’autorité détentrice est en mesure de les rendre anonymes ou encore, à défaut d’anonymisation, si une disposition législative ou règlementaire le permet.
Elle précise aussi que cette réutilisation est subordonnée au respect des dispositions de la loi n°78-17 du 6 janvier 1978 dite « Informatique et libertés ».
La nouvelle directive ne remet pas en cause ce principe, bien au contraire. Elle écarte en effet explicitement du droit à réutilisation les documents dont l’accès est exclu ou limité pour des motifs de protection des données à caractère personnel ou dont la réutilisation a été définie par la loi interne de l’Etat membre comme incompatible avec la législation protégeant les données à caractère personnel.

La conciliation de ce régime de protection avec celui de la réutilisation des données publiques est loin d’être claire. Elle a d’ailleurs déjà fait l’objet d’une discussion devant la Cour administrative d'appel de Lyon déjà évoquée.
Pour la Cour dans l’hypothèse qu’elle a examinée, un service d’archives départementales était  légalement autorisé à refuser à un opérateur privé le droit de réutiliser les carnets de recensement dont il est le détenteur, car cette réutilisation était de nature à violer les dispositions de la loi du 6 janvier 1978.
La Cour considère notamment que le demandeur aurait dû justifier, au moment de sa demande, avoir obtenu de la CNIL l’autorisation de transférer, comme il le prévoyait, sur un territoire situé hors de l’Union Européenne, les données personnelles en cause.
La nouvelle directive de 2013 devrait encore renforcer la primauté de la protection de la vie privée des individus. Les sociétés commerciales veilleront donc à présenter aux administrations un dossier complet de nature à leur permettre de vérifier que dès la demande qui leur est faite, les prescriptions de la loi informatique et libertés sont respectées et notamment qu’ils ont accompli auprès de  la CNIL toutes les démarches nécessaires.
Les Etats membres de l’Union Européenne disposent d’un délai de deux ans pour transposer cette directive.

--------------
[1] Cour administrative d'appel de Lyon, 3ème chambre, 4 juillet 2012, n°11LY02325-11LY02326, Département du Cantal.