Réflexions juridiques sur l’Open Data en France : perspectives et prospective

Soumis par Benjamin Jean le jeu, 26/07/2012 – 13:00

M’activant depuis 2007 autour des aspects juridiques de l’« Open Data communautaire » au sein deVVL (suivant des projets connus tels qu’OpenStreetMap, mais aussi d’autres moins visibles comme TelaBotanica ou dbpedia), depuis 2009 pour ce qui concerne l’« Open Data publiques » (avec des collectivités comme Brest, Paris, Nantes, etc.) et 2011 pour l’« Open Data privé » dans la cadre de ma structure inno³, c’est avec plaisir que j’ai rejoint fin 2011 le groupe de travail sur l’Open Data réunit sous l’égide du (à l’époque) tout récent Conseil National du Numérique.Work in progress

Ma participation fut l’occasion de tirer les fruits des expériences passées, mais aussi d’approfondir les réflexions quant aux évolutions du cadre légal et de formuler certaines préconisations destinées à accompagner cet élan d’ouverture. Pour ne pas perdre ce travail, j’ai eu envie de le partager plus largement au travers d’un billet informel qui se veut être à la fois une synthèse et une archive de mes contributions lors des échanges qui ont précédé l’avis du CNNumérique sur l’ouverture des données publiques publié le 5 juin dernier (la rédaction finale de l’avis étant volontairement synthétique pour porter l’attention sur les préconisations, de nombreuses coupes ou simplifications furent opérées). À ma charge ensuite de le compléter et préciser en fonction des opportunités et études à venir.

Confrontés à la « vague de l’Open Data », les services juridiques (sociétés, mais surtout collectivités) se sont trouvés devant la nécessité d’innover face à un cadre juridique qui n’avait pas été conçu dans l’idée d’une ouverture si large. Tout était à construire et la tâche était d’autant plus ardue pour le secteur public qu’ils étaient jusque-là habitués à raisonner uniquement en droit public (les licences Open Data étant des contrats, souvent internationaux, de droit privé) était relativement peu muni (le nombre de collectivités disposant de juriste spécialisé en propriété intellectuelle se compte sur les doigts d’une main).

Le premier chantier fut ainsi celui de l’articulation des droits de propriété intellectuelle avec la Loi de 1978 relative aux informations publiques. L’incompréhension initiale céda place à une construction commune (je garde à l’esprit les longues heures de discussion et débat qui accompagnèrent la conception de la Licence Ouverte d’Etalab) et mon sentiment est que cette phase de flottements et de doutes est achevée. Il devient ainsi possible de prendre de la hauteur afin d’évaluer les changements qu’emportent (et/ou requièrent) ces nouveaux usages sur notre système juridique.

Néanmoins, l’Open Data comporte encore, semble-t-il, deux volets principaux :

  • la nécessaire refonte du cadre législatif pour favoriser une ouverture des données dans une finalité conforme aux principes de l’”Open Government” : cela passant par une abrogation de loi de n°78-753 du 17 juillet 1978 et la définition d’une politique claire qui fixe les objectifs à atteindre (étendant ainsi les premières démarches qui se concentraient sur les moyens) ;
  • le besoin d’agir en amont, par l’accompagnement, afin de favoriser la diffusion de cette politique et d’assurer une harmonisation des usages (notamment en termes de licences Open Data utilisées).

1 Réécrire le cadre législatif relatif à l’ouverture des données

Aujourd’hui, les données (les textes parlent d’informations) publiques sont uniquement considérées par référence aux documents administratifs qui les contiennent et leur accès est régi par la loi du 17 juillet 1978 (devant l’absence de travaux parlementaires, je recommande fortement la lecture du dossier n°32 (1996) de « le Communicateur » : une véritable somme scientifique réunissant, sous la direction de Jean-Pierre Chamoux et Maurice Ronai, une dizaine d’auteurs sur le thème « exploiter les données publiques »).

Devant l’inadéquation d’une loi qui freine plus qu’elle ne favorise l’ouverture des données, il semblerait opportun de songer à un nouveau texte (abrogeant celui de 78) qui poserait comme principe l’ouverture des données et la notion d’« état ouvert » (pour ne pas dire Open Gov, un concept qu’il serait restrictif d’associer à Open Data). Un tel chantier ne pouvant être national, il devra être mené à l’échelle communautaire – l’actuelle révision de la directive européenne sur la réutilisation des informations du secteur public (PSI) étant propice pour y insérer ces idées.

L’inadéquation de la Loi de 78

Dans sa destination et sa mise en œuvre, la Loi n ° 78-753 du 17 juillet 1978 « portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal » apparaît comme difficilement conciliable avec le mouvement de l’Open Data.

Rédigée pour conférer un contrôle sur certaines informations (une sorte d’exclusivité, limitée, qui permet de contrôler certains actes tels la modification au motif de dénaturation) en même temps qu’elle organise leur diffusion, la Loi de 78 n’est pas une loi d’ouverture, mais une « loi d’encadrement » qui vient distinguer ce qui peut être demandé et communiqué par l’administration (et les conditions de cette communication) et ce qui n’a pas lieu de l’être. À cet égard, les différentes circulaires et l’ordonnance de 2005 n’ont apporté que des rectifications et lignes de conduite, mais en gardant la logique initiale de contrôle. Ainsi, plutôt que d’ouvrir les données de l’état et alors même que le principe du bénéfice de la propriété intellectuelle aux productions de l’État est sujet à controverses, cette loi a servi de fondement à la reconnaissance d’une quasi-propriété de l’État sur des informations (par nature inappropriable par la propriété intellectuelle) que lesdites productions contiendraient (voir sur les créations elles-mêmes ainsi qu’on peut le voir dans le domaine des institutions culturelles). Or s’il semble nécessaire que celui qui récupère un document administratif ne puisse le réutiliser (en tant que tel) librement qu’à certaines conditions (comme la mention de la source et de la date de la dernière mise à jour), cet encadrement ne devrait pas s’étendre à la seule réutilisation des informations contenues (qu’elles soient reprises en l’état, modifiées, remplacées ou complétées). Une clarification relative au statut de libre réutilisation des informations contenues dans les documents administratifs est donc impérative (par exemple en précisant que toute information modifiée est une nouvelle information qui doit être dissociée de la précédente), tout en précisant éventuellement les modalités permettant d’attribuer des données à une personne publique (par exemple en précisant « à partir de la base de données modifiée de X » – une logique en quelque sorte semblable à ce qu’on peut voir en matière de gestion de marques dans le secteur privé).

En conclusion, le dispositif législatif actuel semble organiser un système qui n’est plus nécessairement adapté aux objectifs sous-jacents à l’ouverture des données. Afin de donner aux citoyens, aux administrations et communautés toute la mesure de l’ouverture des données, il est nécessaire de concevoir une politique d’Open Data claire et assumée (sur la base des principes de l’Open Government) qui permettent à tous de connaître les objectifs (de manière à penser aux moyens pour y parvenir).

L’édiction d’une Loi définissant l’orientation d’ouverture.

Il s’agirait donc de consacrer une véritable loi de la donnée publique fondée sur un principe simple :toute donnée produite dans le cadre d’une mission de service public doit être accessible et réutilisable par tous (système similaire au régime américain où tous les travaux créés ou financés par le gouvernement fédéral des États-Unis sont dans le domaine public). Ce principe doit être respecté quel que soit le producteur de la donnée (État, collectivité territoriale, entité privée, EPA/EPIC…) et quel que soit l’utilisateur (public/privé, français/étranger, etc.). Il s’agirait donc d’aller plus loin que les différents textes actuels qui ne sont que des moyens pour des finalités inexprimées (transparence, innovation, etc.).

Cette loi, si elle n’emporte pas la renonciation à tout droit de propriété intellectuelle relatif à ces données (en elles-mêmes ou au sein de bases de données : droit d’auteur, droits voisins, droit sui generis des bases de données, etc.), doit a minima consacrer un statut supérieur aux principes de l’Open Data (de sorte que lesdits droits de propriété intellectuelle soient exploités dans cette démarche d’ouverture au travers de licences Open Data). Pour être en capacité d’une telle diffusion, tous les marchés publics relatifs à une mission de service public doivent contenir une clause de cession de tous les droits de propriété intellectuelle au profit de l’acheteur public.

Par ailleurs, le statut des œuvres des agents de l’État doit aussi être remis en cause puisque la cession dont bénéficie l’employeur d’un agent de l’État est strictement limitée à l’accomplissement d’une mission de service public et ne devient qu’un simple droit de préférence en cas d’usages commerciaux. Toute diffusion en Open Data de telles œuvres demandera une nouvelle cession de l’agent de l’État au profit de son employeur puisque la licence Open Data permettra à des tiers d’exploiter en dehors de l’accomplissement de mission de service public et cela pour des usages éventuellement commerciaux.

L’impact d’une réelle politique d’Open Data aura aussi un impact non négligeable sur la Loi informatique et libertés de 1978 (loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, modifiée par le décret du 4 novembre 1991 et par la loi du 6 aout 2004 transposant la directive 95/46/CE) actuellement utilisée, de bonne ou mauvaise foi, pour limiter la diffusion des informations publiques. Dans ses mécanismes, la Loi informatique et libertés impose aux « responsables de traitement » une série de contraintes lors de la collecte, du traitement ou du transfert de telles données (avec pour principe l’autorisation préalable et la déclaration à la CNIL).

Il semblerait que le mouvement d’ouverture sous couvert d’Open Data et les préoccupations de la CNIL en matière de données à caractère personnelles soient actuellement matériellement difficilement conciliables. En effet, la CNIL considère justement que le croisement de jeux de données qui ne seraient pas proprement « à caractère personnel » est susceptible de permettre l’identification d’un individu (et doit à ce titre respecter la Loi informatique et libertés), ce qui reviendrait potentiellement à soumettre un nombre croissant de jeux de données au régime et à requalifier a posteriori certains traitements [des informations publiques] par des tiers comme étant soumis aux règles de la CNIL (ce qui est probablement contraire à la prévisibilité qui doit être attachées aux actions du secteur public). Cela porte directement atteinte aux principes directeurs de l’Open Data et de l’Open Innovation selon lesquels il est préférable d’accompagner la création de produits et services non prévus plutôt que de limiter la sphère d’innovation à quelques axes prédéfinis. Ainsi, deux difficultés apparaissent : la finalité du traitement n’étant pas connu par avance, il est impossible de remplir les obligations habituelles du consentement éclairé de toute personne concernée (relatif à l’existence du traitement, les finalités de celui-ci et tout risque généraux) ni même le devenir lorsqu’elles sont combinées à d’autres données dans la même situation ; n’étant pas au contact des personnes potentiellement concernées, celui qui réalise de nouveaux produits ou services à partir de ces données libérées sera dans l’impossibilité de les contacter, ni même de retrouver les personnes ayant initialement collecté les informations.

La multiplication des données accessible et le développement des politiques Open Data établissent progressivement un cadre qui rend moins pertinents les mécanismes actuels de la CNIL. De nouvelles méthodes doivent donc ainsi être imaginées afin de répondre au développement de ces usages tout en remplissant les missions de la commission. Un contrôle a posteriori, par exemple, au moyen de labels, pourrait ainsi peut-être utilement remplacer le formalisme actuel (voir aussi à ce sujet l’initiative Design your privacy qui cherche à régler ces questions par la voie contractuelle).

Une réflexion poussée sur les moyens pouvant être mis en œuvre pour assurer simultanément la protection des données à caractère personnel et une plus grande ouverture et circulation des données est donc nécessaire.

2 Accompagner les usages

L’accompagnement est aussi nécessaire pour favoriser une réelle bascule en faveur d’un régime de diffusion par principe des données publiques. Cela passe notamment par la formation des équipes en place, par une remontée et mutualisation systématique des bonnes pratiques (voire l’établissement de politiques de conduite du changement locales et/ou globale). Des institutions existantes telles l’APIE pourraient avoir cette mission (pour autant qu’une large diffusion des données soit conçue comme une valorisation), ainsi que la CADA. Une initiative « bottom-up » remarquable doit être citée : la plate-forme http://opendatafrance.net qui regroupe au sein d’une démarche de mutualisation la majeure partie des collectivités française ayant entrepris une démarche d’OpenData. Il est aussi possible d’évoquer les réunions autour de l’Open Glam (ouverture des données culturelles) qui devrait prochainement donner lieu à la publication d’un rapport sur le sujet visant à accompagner les institutions désireuses d’ouvrir leurs données. Il est ainsi indispensable que tous les acteurs associés à une démarche comprennent l’intérêt que peut avoir pour eux l’OpenData : rendre un meilleur service aux administrés, favoriser un accès égal à certaine donnée et ainsi renforcer la concurrence entre les entreprises, rationaliser son propre SI et intégrer l’Open Data au sein de son architecture (gain en termes de performance et absence de cout supplémentaire), mutualiser entre personnes publiques – d’autant plus que les personnes publiques sont généralement les premières utilisatrices (souvent payantes) de ces informations publiques… Certaines associations et structures communautaires françaises (je pense notamment à Regards CitoyensLiberTICOpen Street Map France ou encore Wikimedia France) ont joué un rôle déterminant façonnant le paysage actuel de l’Open Data, il est primordial qu’elles continuent à être écoutées et impliquées dans les mutations privées et publiques qu’entraînent l’extension de l’Open Data.

Pour en revenir aux aspects plus « juridiques », les usages (choix, utilisations, etc.) en matière de licence demeurent relativement importants et nécessitent un accompagnement global. En effet, une absence de concertation pourrait aboutir à des usages incompatibles, c’est-à-dire susceptibles d’empêcher la combinaison d’informations publiques ouvertes par différentes personnes publiques (entre elles ou vis-à-vis de projets privés ou communautaires).

Cette mission a été en partie réalisée au travers la rédaction de la Licence Ouverte par la commission Etalab. Cette licence très permissive qui permet tout type de réutilisation des données et l’Open Database License rédigée par l’Open Knowledge Foundation (licence dite copyleft ou « share alike » qui impose le maintien de la licence sur les bases de données dérivées/modifiées) sont les deux principales licences utilisées en France. Elles s’inscrivent dans un panorama contractuel global assez simple composé des licences de l’OKF, des licences de Creative Commons et de quelques licences spécifiques (voir à ce sujet l’ouvrage « Option Libre. Du bon usage des licences libres » aux éditions Framabook, http://framabook.org).

Leur nombre restreint rend néanmoins envisageable un second travail de « perfectionnement » et d’harmonisation entre les institutions publiques :

  1. face aux licences des projets communautaires (notamment la licence OdbL utilisée par le projet Open Street Map) qui restent peu adaptées à une reprise en l’état par le secteur public. Cela d’autant plus que ces projets sont à l’origine et maintiennent des bases de données essentielles (notamment géographiques) avec lesquels une action commune ou, à minima, complémentaire est essentielle.
  2. à l’échelle communautaire, voire internationale. Faisant acte de leur souveraineté, de nombreux pays ou collectivité ont rédigé leur propre licence (basée ou non sur des versions existantes). La multiplication des licences obscurcit la compréhension du statut juridique de données ainsi libérées (et donc globalement à l’Open Data) et peut aussi entraîner de véritables situations d’incompatibilités entre les licences (véritable obstacle juridique à la combinaison de diverses bases de données puisqu’il est alors impossible de respecter cumulativement les deux licences incompatibles).

Deux solutions pourraient être étudiées :

  1. la rédaction d’une ou plusieurs « licences globales » qui seraient conformes à la fois : 1) aux principes de l’Open Data, aux législations applicables dans les différents pays (a minima l’Europe), aux obligations des personnes du secteur public (l’aspect contractuel/Open Data (avec l’édiction de grands principes, une sorte de soft law) ; 2) au droit privé relatif à l’objet que sont les données et bases de données (avec notamment des contraintes relatives au formalisme des cessions que prévoit le code de la propriété intellectuelle) ; 3) au droit public en ce qu’il impose certaines obligations particulières aux personnes morales de droit public et personnes privées dans l’exercice d’une mission de service public). L’exemple de l’European Union Public Licence (EUPL) rédigée pour les logiciels sur la base des textes européens, disponible dans toutes les langues de l’Union Européenne, compatible avec les principales licences libres logicielles et notamment utilisée par la Commission Européenne rend imaginable de tels projets ;
  2. une seconde solution, plus souple, pourrait être de s’entendre sur une norme commune (sur la base des trois mêmes exigences) afin d’assurer une compatibilité entre les différents projets publics face aux projets communautaires. Il s’agirait alors d’identifier les spécificités (ne serait-ce qu’en terme de contraintes) publiques et considérer les modifications nécessaires face à d’autres travaux comme l’Open Definition (dans la forme, il est possible de songer à travail de normalisation « classique »). On peut d’ailleurs s’étonner au passage que la France ne figure pas parmi les signataires de l’Open Government Declaration publiée par l’Open Government Partnership.

Cette recommandation s’appuie sur le contexte particulier de l’Open Data, qui est à la fois un mouvement encore naissant et une source d’intérêt inattendu par les politiques. La période semble idéale pour un tel chantier d’harmonisation, prévenant ainsi une évolution similaire à celle des licences Open Source (avec aujourd’hui plusieurs centaines de licences, des milliers de variations et de nombreuses incompatibilités) et devançant toute initiative similaire (qui viendrait certainement de la sphère industrielle et non plus publique – ce qui est à la fois positif et négatif). Un tel travail pourrait aboutir à la proposition d’une « famille de licences » (qui seraient compatible entre elles – un peu comme les licences logicielles françaises CeCILL) et la licence ouverte serait certainement une bonne base de travail (pour autant que l’ensemble des acteurs intéressés soit impliqué dans cette démarche).

Crédit photographie : Work in Progress, by blumpy, CC By 2.0