CONFORMITÉ

Hébergement

Cadre juridique

La circulaire du (Ouvre une nouvelle fenêtre) 8 novembre 2018 relative à la doctrine d'utilisation de l'informatique en nuage par l'Etat identifie le cloud comme l'un des chantiers prioritaires de la transformation numérique de l'État.
Elle encourage les acteurs publics à s'emparer du cloud et à s'appuyer sur son potentiel pour rendre un meilleur servicè public aux citoyens, tout en gardant la maîtrise des données sensibles.

Le Cloud

Doctrine pour DIE-1A

Données

Réutilisation de donnnées

Données non ouvertes

Dans le cadre de réutilisation de données non ouvertes (c'est-à-dire non proposées dans le cadre de l'open data), il faut respecter un certain nombre d'obligations:

• La mise en place d'une convention de partage de données précisant les modalités d'accès, les finalités du traitement, les mesures de sécurité.
  L'administration qui demande ces données doit indiquer a minima les motifs suivants:
  - Quelles données elle souhaite utiliser
  - Dans quel but
  - Quelle est la base légale d'utilisation de ces données: mission d’intérêt public, obligation réglementaire, utilisation exploratoire.
  - La durée et le mécanisme de conservation de ces données.
  - Le mécanisme de suppression de ces données.
• Le respect du Règlement Général sur la Protection des Données (RGPD), notamment en ce qui concerne la minimisation des données, la limitation des finalités, et la sécurité des traitements.
• L'utilisation de mécanismes sécurisés d'échange, tels que des API restreintes disponibles sur la plateforme PISTE, avec des contrôles d'accès stricts et des quotas d'utilisations

Données ouvertes (opendata)

Rappel du concept d'opendata

Ré-utilisation des données ouvertes

L'administration qui réutilise des données devient à son tour responsable de traitement
Dès lors le ré-utilisateur est soumis au cadre juridique de la protection des données et en particulier au RGPD.

À ce titre la réutilisation devra respecter les éléments suivants:

• Être licite : chaque réutilisation devra être fondée juridiquement sur l’une des bases légales mentionnées à l’article 6-1 du RGPD. S’agissant d’une réutilisation les bases légales suivantes pourront être mobilisées:
  • Le consentement des personnes
    
  • La nécessité de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
    
  • La nécessité aux fins des intérêts légitimes poursuivis par le responsable de traitement.
    Par exemple, une réutilisation à des fins de prospection commerciale à caractère professionnel (B to B) pourra être fondée sur l’intérêt légitime dès lors que celui-ci est démontré au regard de l’activité du responsable de traitement et des finalités poursuivies et que les intérêts des personnes concernées ne prévalent pas.
    
  • Poursuivre une finalité qui doit être déterminée explicite et légitime. En d’autres termes, le traitement doit pour- suivre un objectif clairement défini et légitime au regard de l’activité professionnelle du réutilisateur.
    
  • Porter sur des données adéquat pertinentes et proportionnées.
    Seules les données qui sont en lien avec la finalité poursuivie et qui sont strictement nécessaires à sa satisfaction doivent être traitées
    
  • Porter sur des données mises à jour : les réutilisateurs devront prendre toutes les mesures raisonnables pour veiller à ne pas traiter des données inexactes du fait de leur obsolescence.
    À cet égard le recours à des dispositifs techniques tels que des API pour rafraichir les données de manière régulière et automatisée est fortement encouragé (Ouvre une nouvelle fenêtre) https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence
  • Etre effectuée en toute transparence : tout traitement de donnée à caractère personnel issu d’une réutilisation devra être accompagné d’une information générale comprenant les mentions définies à l’article 14 du RGPD.
    Par ailleurs, lorsqu’elle est possible et qu’elle n’exige pas d’efforts disproportionnés, l’information devra être délivrée directement aux personnes concernées.
    Ainsi par exemple lorsque les données visées par la réutilisation ne permettent pas d’identifier directement les personnes concernées, une information générale pourra suffire
  • Etre effectuée dans le respect des droits des personnes : la réutilisation doit être conciliée avec le droit d’opposition des personnes concernées par les données faisant l’objet d’une réutilisation qui pourra être exprimée à tout moment.
    Le cas échéant, les réutilisateurs devront prendre en compte l’opposition des personnes à certaines réutilisations (notamment à des fins de prospection commerciale) telle qu’exprimée au moment de la collecte des données
    Par exemple les personnes physiques peuvent demander à ce que les données les concernant figurant sur la base SIRENE ne soient pas réutilisées à des fins de prospection commerciale par des tiers autres que les personnes habilitées. Les réutilisateurs devront également garantir un droit d’accès et de rectification aux personnes concernées. Par ailleurs les personnes concernées disposeront d’un droit à la limitation du traitement notamment lorsqu’elles contestent l’exactitude des données traitées et d’un droit à la portabilité de leurs don- nées lorsque le traitement est fondé sur le consentement57 ; respecter le principe de limitation de conservation des données : les données devront être conservées pour une durée déterminée en fonction de la finalité. A l’issue du traitement, les données devront être isolées pour être archivées dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public (conservation définitive en vertu des dispositions du code du patrimoine), à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve de la mise en œuvre de mesures techniques et organisation- nelles appropriées. A défaut de nécessité d’archivage, les données devront être détruites58 ; garantir la sécurisation des données : le réutilisateur est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées ou endommagées59 .

Faut-il recueillir une nouvelle fois le consentement des personnes lors de la réutilisation de données ?

Normalement, le consentement d'une personne doit être recueillir explicitement avant de collecter la donnée. Ce consentement implique la mise en exergue de la finalité du traitement. Or, dans le cadre de la réutilisation de donnée, il est plus que probable qu'une autre finalité préside à l'utilisation nouvelle de cette donnée.

Pour les documents dont la communication constitue un droit pour toute personne en application du titre Ier du livre III du CRPA ou d’autres dispositions législatives, et les informations qui ont fait l’objet d’une diffusion publique conforme aux prescriptions des articles L. 312-1 à L. 312-1-2 (Cf 2. supra), il n’est plus nécessaire de recueillir le consentement des personnes concernées, de procéder à leur anonymisation ou de s’appuyer sur une disposition. Par ailleurs, les traitements de données mis en œuvre par les réutilisateurs ne doivent pas aboutir à un degré d’identification des personnes concernées plus important que celui caractérisant le jeu de données mis à disposition dès lors que cette ré-identification n’est pas nécessaire à la finalité poursuivie ou qu’elle est susceptible de porter préjudice aux personnes concernées.

Autrement, le traitement devra reposer sur le consentement des personnes. En l’absence de consentement le réutilisateur sera tenu de procéder à l’anonymisation des données.