Protection des données à caractère personnel dans le domaine juridique : « le risque de ré-identification est réel »

Système réseau connexion (Source : Pixabay CC0)
Système réseau connexion (Source : Pixabay CC0)

Perspectives historiques de la protection des données à caractère personnel dans le domaine juridique. Un sujet d’actualité brûlante dont il est pourtant nécessaire d’appréhender l’histoire afin de bien en cerner les enjeux.

« On était à une époque charnière entre le minitel et Internet »

Bonjour. Merci de nous accorder cet entretien. Pouvez-vous nous dire en quelques mots quel est votre parcours universitaire et professionnel ?

Juriste de formation « Sciences Po », j’ai un DESS d’informatique documentaire réalisé avant Internet en 1993. Étant le seul juriste de la promotion, j’ai alors pris part à une aventure très surprenante !

Suite à cela, j’ai été recruté en tant que gestionnaire de système d’information au Conseil constitutionnel. J’ai dû tout créer (toutes les bases de données par exemple) dans un contexte particulier. En effet, il s’agissait d’une époque pendant laquelle un monopole très strict de diffusion de l’information existait ce qui rendait le travail bien plus complexe.

On entend parler de l’open data depuis quelques années. Mais quelle est la genèse, la tradition française en matière d’accès et de diffusion à l’information juridique ?

Quelques repères historiques :

Discours d’Hourtin du 25 août 1997 : Préconisations de Lionel Jospin à propos de la diffusion gratuite des données publiques essentielles. Il s’agit en réalité de l’acte de création de Légifrance. La plupart des parties prenantes étant contre (éditeurs juridiques, avocats…), de nombreuses difficultés sont donc apparues. Un recours a même été déposé par l’Ordre des avocats à la cour d’Appel de Paris.

2002 : Décret n° 2002-1064 du 7 août 2002 relatif au service public de la diffusion du droit par l’internet

Directive PSI 2003 (directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 sur la réutilisation des informations du secteur public): Possibilité d’imposer la diffusion gratuite du droit, les notions de « Favoriser l’accès au droit et sa réutilisation » commençant ainsi à prendre forme.

Tout ce processus appartenait à un ensemble cohérent largement aidé par certains juges. C’est le cas notamment de ceux du Conseil Constitutionnel auxquels on doit la création de l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi (Décision n° 99-421 DC du 16 décembre 1999).

Ainsi, le Conseil Constitutionnel a porté le droit d’accès au même niveau qu’un droit de l’Homme, la France devenant le premier pays au monde à le concevoir de cette manière.

En pratique, dès le 12 avril 2000 la loi relative aux droits des citoyens dans leurs relations avec les administrations et plus précisément dans son article 2 impose la gratuité de l’accès du droit.

Il s’agit d’une époque où personne ne parle encore de big data et d’open data. Pourtant cette chronologie oubliée est importante car elle constitue la base du processus permettant « la mise à disposition et surtout l’encadrement de la réutilisation du droit ».

Quelle est la tradition française de la diffusion du droit ?

En France, une structure forte existe en matière de diffusion juridique. Les bases de données juridiques françaises sont les plus anciennes du monde, notre pays bénéficiant par conséquent de fondations solides en matière de données juridiques.

Ainsi, la base de référence du Journal Officiel a été créée en 1936, et informatisée en 1978 (bases LEX et LEGI).

Déjà à l’époque, l’hypertexte était inventé pour les textes appliquant un autre texte ou en citant un autre puisqu’il était possible de passer d’un texte de loi à l’autre grâce à une ontologie. Tout cela prenait place dans un cadre de relations définies (RDF) créé à ce moment-là, d’ailleurs toujours utilisé dans le XML actuel.

L’accompagnement juridique et institutionnel était très fort, corrélé d’une forte volonté des juges :

Dès 1997, le Conseil d’État a établi que « le service public des bases de données est un service public par nature » (Conseil d’Etat, 17 décembre 1997, N° 181611). Cette décision est très importante, elle signifie que ce n’est pas privatisable comme le sont les routes ou les écoles par exemple.

Aujourd’hui, la loi pour la République numérique (LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique) pose la mise à disposition de l’ensemble des décisions sous réserve du respect des droits des personnes.

Cette actualité fait écho à d’autres actualités :

Le décret du 7 août 2002 (Décret n° 2002-1064 du 7 août 2002 relatif au service public de la diffusion du droit par l’internet), l’ensemble de la jurisprudence des cours suprêmes essentiellement ainsi qu’une sélection des jurisprudences des cours d’appels et des cours administratives d’appel ont été mises en « accès libre et gratuit ». Observons que la notion de sélection posait problème. Toutefois, tentons de percevoir qu’à l’époque il s’agissait d’une petite révolution car auparavant tout était payant et uniquement destiné à être diffusé commercialement.

Qu’en est il de l’anonymisation des données personnelles?

L’anonymisation a fait l’objet d’une recommandation de la CNIL :

  1. non anonymisation quand la diffusion se fait de façon payante ;
  2. anonymisation quand la diffusion se fait de manière gratuite.

Cependant, il s’agit seulement d’une recommandation. Notons que les lois en matière de protection des données personnelles restent applicables.

Comment est géré le risque de ré-identification des personnes passées en jugement ?

Jusqu’en 2010/2012, il y avait environ 150 demandes d’anonymisation par an dans Légifrance.

Toutefois, la modification du Journal Officiel n’est pas possible étant donné qu’il est signé. La concordance entre la publication papier et informatique reste en effet primordiale.

Cependant, les données ne sont plus « recherchables ». En réalité, ce qui est modifié c’est une des bases de données Légifrance qui est en fait un portail interrogeant des bases qui ne sont que des numérisations des données officielles.

L’information ne disparaissant pas, nous ne pouvons donc pas parler d’anonymisation mais de « droit au déréférencement ».

Quelle est l’actualité de l’anonymisation ?

En ce moment, nous sommes préoccupés par le caractère ambitieux et très large du RGPD (règlement général de la protection des données) qui sera complètement d’application, y compris avec des amendes, dès mai 2018.

Il suppose l’établissement d’études d’impacts sur les risques des données à caractère personnel, et impose une analyse de risque à toutes les bases des administrations. Analyse qui devra aussi être effectuée par Légifrance.

A noter que ce qui est visible du grand public ce sont les bases de diffusion, a contrario des bases de production.

Concrètement, ces dernières sont des outils pouvant être utilisés par 3 500 personnes qui ont notamment la possibilité de « signer ». Et ce ne sont pas moins de 400 000 personnes susceptibles d’accéder à la procédure normative.

Même si ce n’est pas public, l’impact pour les données nominatives et les données personnelles reste fort. Soulignons ici la possibilité de traiter grâce à l’anonymisation ou la pseudonymisation.

Quel est le problème et risque de ré-identification ?

Ce qui pose problème avec le big data, c’est la ré-identification. Les risques sont importants.

Même avec une anonymisation, les données pourront être facilement retrouvées en les croisant grâce aux techniques du big data.

Prenons l’exemple d’une affaire de pédophilie concernant un psychiatre dans une petite ville bien avant le big data. Bien qu’anonymisée, cette décision était facilement retrouvable, cette ville ne comptant en effet qu’un seul psychiatre.

Pour le moment, aucun logiciel n’est en capacité de régler ces problèmes. Les risques pour l’administration ainsi que les contentieux sont pourtant considérables. Malgré l’anonymisation des données personnelles, le risque de ré-identification est donc bien réel.

 

Soyez le premier à commenter

Poster un Commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.