[PDF]
La CNIL remercie toutes les personnes qui ont répondu à ces questions.
Les principaux enseignements de la consultation :
Dans leur majorité, les acteurs de l’écosystème de l’open data ont déjà été confrontés à la question des données personnelles.
55% des répondants « responsables open data » et « gestionnaires de données publiques » se sont déjà demandés si certains jeux de données dont l’ouverture était envisagée, pouvaient contenir des données personnelles.
44% des réutilisateurs répondants se sont également posé cette question. Quant aux CILs et référents, seuls 15% disent ne jamais avoir été consultés concernant ces questions d’open data, la moitié d’entre eux ayant été consultés par des « responsables open data » et/ou des « gestionnaires de données publiques », et entre 20 et 25% l’ayant été par des réutilisateurs. Enfin, 1/3 des CILs ou référents Informatique et Libertés répondants ont déjà eu l’occasion de soulever un risque de diffusion de données à caractère personnel lorsqu’ils étaient consultés dans le cadre d’un projet d’open data.
Lorsque cette question se pose, les CILs et la CNIL constituent des interlocuteurs privilégiés.
Pour tous les publics, le CIL ou référent Informatique & Libertés et le référent pour l’accès aux documents administratifs semblent des recours assez naturels lorsqu’ils existent et sont connus. La CNIL est également citée dans entre 20 et 30% des réponses. En dehors de ces acteurs, les personnes ou entités consultées sont plus diverses : les pilotes et responsables open data ainsi que les réutilisateurs font ainsi appel à des réseaux informels d’experts et autres acteurs du domaine.
Le risque de présence de données personnelles est souvent pris en compte, sans pour autant bloquer la diffusion de données si des solutions simples peuvent être trouvées.
Près de 50% des gestionnaires de données publiques répondants ont indiqué avoir déjà fait part de leur opposition à l’ouverture de certaines données au motif d’un risque d’identification de personnes physiques. Avez-vous déjà fait part de votre opposition à l’ouverture de certaines informations/données détenues ou produites par votre organisme au motif d’un risque d’identification des personnes concernées par les données ?(en valeur absolue)
|
# (en nombre de réponses) |
% |
Oui souvent |
3 |
7 |
Oui parfois |
16 |
35 |
Non |
26 |
58 |
Total |
45 |
100 |
Un peu moins de 25% des réutilisateurs répondants ont également indiqué avoir déjà essuyé des refus d’ouverture d’informations détenues par un organisme au motif d’un risque d’identification des personnes (exemples : données concernant des professions libérales et artisans, décisions de justice, données géolocalisées, données INSEE, données de santé, données relatives aux marchés publics, liste des bans de mariage, noms d’élus, …).
Avez-vous déjà, suite à une demande précise, essuyé des refus d’ouverture d’informations détenues par un organisme au motif d’un risque d’identification des personnes concernées par les données ?
|
# (en nombre de réponses) |
% |
Oui souvent |
6 |
6 |
Oui parfois |
17 |
17 |
Non |
76 |
77 |
Total |
99 |
100 |
Lorsque les données contiennent ou semblent contenir des données personnelles, l’ouverture des données n’est pas nécessairement bloquée pour autant. Les CILs interrogés recommandent alors l’anonymisation des données (47 cas) ou le recueil du consentement (35 cas), et rarement l’abandon du projet d’ouverture (seulement 6 cas évoqués, en particulier pour des listes incluant des coordonnées de personnes).
Des solutions pratiques (anonymisation ou recueil du consentement) encore vagues
Peu de répondants ont su se positionner face aux questions concernant les techniques d’anonymisation ou de recueil du consentement. Souvent, les méthodes d’anonymisation évoquées sont sommaires (retrait des identifiants directs comme les noms et prénoms).
Au-delà de ces éléments, la CNIL poursuit ces réflexions en lien étroit avec les autres acteurs open-data.