Open Data, protection des données personnelles et de la vie privée
1. Le contenu de cette formation est la propriété exclusive de CIL CONSULTING et fait l’objet d’une protection au titre des droits de propriété intellectuelle. Toute copie, reproduction, modification,
distribution, affichage ou vente, par quelque procédé ou forme que ce soit, en tout ou partie, de tout élément du contenu de cette formation, et pour toute autre finalité y compris à titre
commercial, sans l’autorisation préalable de CIL CONSULTING, s'apparente à de la contrefaçon et pourra donner lieu à des poursuites.
Un « OPEN DATA » respectueux de la
vie privée
La protection des données personnelles dans le cadre de la
publication et de la réutilisation des données publiques
12 juin 2014
2. Les compagnies de Big Data traitent
jusqu’à 75000 données par pers.
Source http://rt.com/usa/158968-
big-data-companies-mine-points/
Introduction: Au-delà de l’open data, savoir comprendre
les risques liés aux Big Data
Effet mosaïque du Big Data
@DavidSimplotRyl
OPEN DATA
3. Dès lors qu’une donnée a été associée à
l’identité d’une personne , toute association
à une identité virtuelle brise l’anonymat des
autres données.
(source : Texas researchers Arvind Narayanan and Vitaly Shmatikov)
Vous + Big Data
=
Zéro anonymat
Période de 6 mois 2012-2013 –vélib-info publiques- Londres
http://qz.com/199209/londons-bike-share-program-unwittingly-revealed-its-cyclists-
movements-for-the-world-to-see/
Possibilités de « dés-anonymisation »:
-Par croisement de données internes
anonymes.
-Par croisement avec des fichiers externes.
Introduction: Contexte
Ex. données de transport- tant que le RT a
accès aux données brutes et pas uniquement
aux données agrégées on considère qu’il y a
des risques
4. Open Data: deux principes
Publication des données détenues par les administrations ;
Libre réutilisation par les citoyens ou les entreprises des données
ainsi publiées.
Mais pas encore de loi:
Pas de définition juridique de l’ Open data/donnée publique
Directive ISP 2003/98/CE concernant la réutilisation des
informations du secteur public (doit être transposée avant le
18/07/2015)→ à des fins commerciales ou pas
Exception: protection des DCP
Le 1er Chief Data Officer dans un pays européen
→ droit de « data perquisition »
Un cadre juridique protecteur des données personnelles et
de la vie privée:
Loi « Informatique et libertés » du 6 janvier 1978
(transposition directive UE 95/46)
Convention n° 108 - Conseil de l’Europe- traitement
automatisé des données à caractère personnel
Art.6,7,13 Loi « CADA » du 17 juillet 1978 sur l’accès aux
documents administratifs (droit d’accès et libre
réutilisation)
Art. 8 CEDH et art. 9 code civil
Un projet de règlement européen de protection des
données (2014?)
Avis G29 – Sont considérées comme des données à caractère
personnel, les données ayant trait aux caractéristiques ou au
comportement d’une personne
ou si cette information est utilisée pour déterminer ou
influencer la façon dont cette personne est traitée ou évaluée».
Données à caractère personnel:
-informations qui permettent d’identifier directement une
personne
-Ou indirectement (ex : un numéro de sécurité sociale)
-ou par recoupement (ex: une date de naissance associée à
une commune de résidence).
1- Quel cadre juridique pour les « données publiques »?
5. Conséquences:
Principe: les données personnelles ne peuvent être mises en ligne par
l’administration ni faire l’objet d’une réutilisation par un tiers.
Trois exceptions :
- Consentement de l’intéressé à cette diffusion,
- Obligation légale de publication,
- Anonymisation des données publiées
Risques:
Violation des règles de protection des données (cas d’une loi ou du
consentement de la personne)
Détournement de finalité ou réutilisation incompatible avec la finalité initiale
Ré-identification
Pouvant aboutir à ….
Usurpation d’identité, discrimination, stratification sociale,
exclusion/inclusion, perte d’un droit, atteinte aux libertés,
préjudice physique et moral, stigmatisation liés aux
techniques d’analyse et au « Profiling » …
Certaines données personnelles sont
communicables et réutilisables,
D’autres peuvent être
communicables mais non
réutilisables
ou soumises à des règles de
réutilisation.
Ex. les données d’annuaire de
service public
Ex. Les données contenues dans des
listes électorales, de diplômés…
1- Quel cadre juridique pour les « données publiques »?
6. Public : personnes en
charge ou impliquées
dans la mise en oeuvre
d’une plateforme ou
d’une politique d’open
data dans mon organisme
1- Quel cadre juridique pour les « données publiques »?
7. 2- Des lois protectrices des données personnelles & de la vie privée
8. Art. 6 II. CADA- Ne sont communicables qu’à l’intéressé les documents administratifs :
« - dont la communication porterait atteinte à la protection de la vie privée, au secret médical (…) ;
« - portant une appréciation ou un jugement de valeur sur une personne physique (…)facilement identifiable ;
« - faisant apparaître le comportement d’une personne, dès lors que la divulgation de ce comportement
pourrait lui porter préjudice.
Art.7 CADA- (…) sauf dispositions législatives contraires, les documents administratifs qui comportent (…) des
données à caractère personnel ne peuvent être RENDUS PUBLICS qu'après avoir fait l'objet d'un traitement
afin d'occulter ces mentions ou de rendre impossible l'identification des personnes qui y sont nommées.
Art.13 CADA Les informations publiques comportant des données personnelles peuvent faire l’objet d’une
REUTILISATION dans 3 hypothèses :
-consentement de la personne concernée,
-anonymisation des données par l’autorité détentrice,
-ou, si une disposition législative ou réglementaire le permet.
(licence obligatoire si redevance mais recommandée pour informer les ré-utilisateurs sur leurs obligations)
PRADA: personne responsable de l’accès aux documents administratifs et des questions relatives à la
réutilisation des informations publiques
Le fait que des
données
personnelles aient
été rendues
publiques en vertu
de l’Art.7 ne vaut
pas autorisation
pour une
réutilisation
2- Des lois protectrices des données personnelles & de la vie privée
2.1. La protection des données personnelles dans la loi du 17 juillet 1978 (CADA)
9. A RETENIR
Sauf à ce que les données soient anonymisées, les règles de protection des données personnelles s’appliquent
La divulgation de données commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de
100 000 € d’amende (article 226-22 du code pénal).
Qui doit anonymiser les données personnelles?
- L’administration (Article 13 al.1 « loi CADA »)
- sous réserve que cela n’entraîne pas des efforts disproportionnés (Article 40 du décret n° 2005-1755 du 30
décembre 2005)
Comment? Intervention humaine ou logiciel
Gestion d’incident: Savoir remédier rapidement à
la diffusion accidentelle d’informations
personnelles
2- Des lois protectrices des données personnelles & de la vie privée
10. Formalités préalables auprès de la CNIL
Réutilisation → Notification du traitement à la CNIL
Par le responsable de traitement → par le ré-utilisateur
Ex. AU 029- données contenues dans les archives publiques
Base légale à la collecte des données personnelles
Consentement (manifestation de volonté libre, spécifique et informée)
Ou loi
Ou autre base légale (ex. mission de service public).
Information préalable des personnes (Art. 32 LIL):
Par le ré-utilisateur
Principe de proportionnalité (art.6 LIL)
……. vers un principe de « minimisation de la collecte »
Qualité des données (art.6 LIL et art.12 CADA)
Durée de conservation limitée (art.6 LIL)
Interdiction des transferts de DCP en dehors de l’UE…sauf exception prévue par la loi
2- Des lois protectrices des données personnelles & de la vie privée
2.2. La « loi informatique et libertés » du 06 janvier 1978 (LIL)
11. Droit d’opposition (article 38 LIL)
Sauf exception légale, toute personne physique a le droit de s'opposer, pour des motifs
légitimes, à ce que des DCP la concernant fassent l'objet d'un traitement.
Droit d’accès (article 39 LIL)
Toute personne physique a le droit d’obtenir des informations sur le traitement des données
le concernant et a le droit d’en obtenir la communication.
Droit de rectification (art.40 LIL)
Toute personne physique peut exiger, sans frais, que soient rectifiées, complétées, mises à
jour, verrouillées ou effacées les DCP la concernant.
2- Un cadre juridique protecteur des données personnelles & de la vie privée
A SAVOIR:
Projet de règlement UE-
horizon 2015
- Des sanctions à hauteur
de 100 M €?
- Notification des failles de
confidentialité
12. Obligation de sécurité : Art.34 et 35 Loi du 06/01/1978
« le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès » (Art.34)
Processus d’amélioration continue: Vérifier régulièrement la méthode d’anonymisation et si elle doit être adaptée
(ex. conséquences de l’introduction de nouvelles données dans la base, mise à disposition de nouvelles bases de
données, progrès des techniques ).
Sous-traitance: Il est possible de passer un marché public pour procéder aux opérations d’anonymisation. La
prestation doit être encadrée par un contrat.
Le ré-utilisateur est tenu à la même obligation de sécurité en tant que responsable de traitement.
2- Un cadre juridique protecteur des données personnelles & de la vie privée
13. La réutilisation d’informations publiques
comportant des données personnelles est
subordonnée au respect des dispositions de la
loi du 06/01/1978 et du 17/07/1978
→ Licence ou CGU
Réutilisation : utilisation « à d’autres fins que
celles de la mission de service public en vue de
laquelle les documents ont été élaborés ou
sont détenus »
Les données sont collectées pour des finalités déterminées,
explicites et légitimes,
Et elles ne sont pas traitées ultérieurement de manière
incompatible avec ces finalités.
(Exception: traitement ultérieur à des fins statistiques ou à des
fins de recherche scientifique ou historique est considéré
comme compatible→ accès limité)
En principe pas de réutilisation des données personnelles,
sauf:
-Anonymisation
-Loi
-Consentement « spécifique »+ mesures de sécurité et respect
des dispositions de la loi informatique et libertés
Le principe de finalité spécifique des traitements de données personnelles
Réutilisation = Nouvelle finalité
2- Un cadre juridique protecteur des données personnelles & de la vie privée
14. Après anonymisation les données perdent leur caractère personnel et ne sont plus soumises
à la loi du 06/01/1978
Comment déterminer s’il y a anonymisation?
CNIL: l’anonymisation est un procédé irréversible
La CNIL n’impose pas de méthode mais estime la conformité du procédé (article 8-III)
Démarche au cas par cas- selon « moyens probables et raisonnables » de ré-identification- par RT et tiers
Critères: coût de l'identification, temps nécessaire à celle-ci, fonction des technologies disponibles au moment du
traitement et de leur évolution, intérêt pour les utilisateurs, bénéfice public.
3- la réutilisation des données personnelles
15. 3- la réutilisation des données personnelles
Pseudonymisation ≠ anonymisation irréversible
« Pseudonymisation » (Repose sur la sécurité du secret)
- Table de correspondance- réversible- niveau faible
- Chiffrement- réversible-niveau faible
- Hachage-irréversible-niveau moyen (on peut reconstituer par réitération)
« Masquage » ou suppression ou ajout de bruit,
Agrégation:
- Dépend du niveau d’agrégation
Principale faille = liens
initiaux entre les données
Avis G29: 3 critères pour évaluer l’anonymisation
-Risque d’individualisation: possibilité d’isoler un/des enregistrement(s) sur une personne
-Risque de corrélation des informations relatives à une personne ou à un groupe de personnes (linkibility),
-Risque d’inférence- déduction des valeurs (ex. 2013)/informations relatives à une personne
16. Recommandations du G29 (groupe des CNIL UE)
'data protection by design’ et ‘by default'
Obligation de mener une Etude d’Impact sur la Vie Privée & les Libertés avant toute réutilisation des données
Avant de rendre les données disponibles pour réutilisation , évaluation de:
- La possibilité de réutilisation des données,
- Conditions de réutilisation,
- Mesures de protection
- Evaluation du risque de ré-identification ( avec tests d’intrusion )
-Par croisement de données internes anonymes
-Par croisement avec des fichiers externes
Conseils
Auprès de Etalab,
Associer le PRADA et le CIL s’il en existe un.
4- Quelle démarche mettre en œuvre pour protéger les données personnelles?
17. Etude d’impacts sur la vie privée
Analyse de
risques
• Niveau de détail de l’EIVP
• Inventaire des catégories de
données
• Cartographie des flux
Art. 17 CADA: Les administrations qui produisent ou
détiennent des informations publiques tiennent à la
disposition des usagers un répertoire des principaux
documents dans lesquels ces informations figurent.
Pas de publication (=exception)
Publication mais droits restreints de
réutilisation (risque mais bénéfice social)
Publication et réutilisation
4- Quelle démarche mettre en œuvre pour protéger les données personnelles?
18. « Data protection by Design »
Intégration des principes de protection des
données et de la vie privée:
- dès la conception
- Par défaut
- Tout au long du cycle de vie
Concevoir la base dans la perspective d’une
éventuelle anonymisation
Ex. Prévoir le marquage des données (suivi)
4- Conclusion: Intégrez les règles de protection des données et de la vie
privée en amont des projets
Ex. empêcher les téléchargements massifs de données,
Limiter les possibilités de recherche…
Art. 23 du projet de règlement européen de
protection des donnés
19. Open data et protection des données personnelles et de la vie privée
Merci de votre attention
Florence BONNET – florence.bonnet@cil-consulting.com
CIL CONSULTING – www.cil-consulting.com
171 avenue Charles de Gaulle – 92200 NEUILLY SUR SEINE
@FlorenceBonnet