Le CEPD demande des garanties de protection des données avant toute réutilisation des informations du secteur public contenant des données personnelles
Aujourd'hui, le Contrôleur européen de la protection des données (CEPD) a adopté son avis sur le paquet de mesures de la Commission relatif à l’ouverture des données publiques, qui comprend une série de mesures visant à faciliter une réutilisation plus large et innovante des informations du secteur public (ISP). L'avis souligne la nécessité de garanties spécifiques pour la protection des données à chaque fois que des ISP contiennent des données personnelles. Il recommande que les organismes publics adoptent une approche proactive lors de la mise à disposition de données à caractère personnel pour réutilisation. Cela permettrait de rendre les données accessibles au public, au cas par cas, sous réserve des conditions et garanties du respect des règles de protection des données.
Peter Hustinx, CEPD, déclare: "La réutilisation des ISP contenant des données personnelles peut présenter des avantages significatifs, mais implique également des risques importants pour la protection des données personnelles, en raison de la grande variété de données détenues par les organismes publics. La proposition de la Commission devrait dès lors définir plus clairement les situations et conditions dans lesquelles les informations contenant des données personnelles peuvent être appelées à être mises à disposition pour réutilisation."
Dans son avis, le CEPD recommande notamment que la proposition de la Commission:
- exige qu'une évaluation de la protection des données soit effectuée par l'organisme public concerné avant que toute ISP contenant des données personnelles puisse être mise à disposition;
- exige que les termes de la licence de réutilisation des ISP incluent une clause de protection des données, chaque fois que des données personnelles sont traitées;
- exige, le cas échéant, compte tenu des risques pour la protection des données personnelles, que les requérants démontrent que ces risques sont pris en compte de manière adéquate et que les requérants traitent les données en conformité avec la loi de protection des données applicable;
- exige, le cas échéant, que les données soient totalement ou partiellement anonymisées et que les conditions de licence interdisent expressément toute ré-identification de personnes et toute réutilisation de données à caractère personnel à des fins pouvant affecter individuellement les personnes concernées.
En outre, le CEPD suggère que la Commission élabore des orientations supplémentaires en matière d’anonymisation et d’octroi de licences, et consulte le Groupe de travail de l'Article 29 sur la protection des données, un organe consultatif composé des autorités de protection des données des États membres.
Informations générales
Le 12 décembre 2011, la Commission a adopté une proposition de directive modifiant la Directive 2003/98/CE sur la réutilisation des informations du secteur public (la Directive ISP). La proposition s'inscrit dans le cadre du paquet de mesures relatif à l’ouverture des données publiques. La Directive ISP vise à faciliter la réutilisation des informations du secteur public dans toute l'Union européenne en harmonisant les conditions de base pour la réutilisation et l'élimination des obstacles à la réutilisation dans le marché intérieur. Le CEPD a déjà recommandé également une approche proactive dans son document sur «l'accès du public aux documents contenant des données personnelles après l'arrêt rendu dans l’affaire Bavarian Lager», du 24 mars 2011 (voir le chapitre III aux pages 6-11).