L’Open Data est un mouvement issu du monde anglosaxon et permet, comme son nom l’indique, l’ouverture mais aussi la réutilisation de certaines données rendues publiques.

Cette pratique s’est accélérée ces dernières années notamment avec l’essor de l’Intelligence Artificielle qui brasse des quantités astronomiques de données publiques. Bon nombre d’entreprises l’utilisent aujourd’hui via notamment le data scrapping (dit « moissonage » en français) pour alimenter leurs services.

Si l’Open Data présente incontestablement des avantages pour la transparence et l’innovation de nos sociétés, cela ne se fait pas sans danger. En effet, qui dit données « ouvertes », dit risque qu’elles soient détournées, transformées, ou utilisées à mauvais escient.

La cybersécurité, qui est au cœur des préoccupations actuelles, a-t-elle un rôle à jouer dans ce cas ?

Dans une première partie, nous présenterons le cadre juridique de l’Open Data et les propres limites qu’il pose. Puis nous évoquerons dans une seconde partie les enjeux croissants de la cybersécurité et de la protection des données, en mettant l’accent sur les obligations nouvelles imposées aux responsables de traitements et la régulation progressive des pratiques telles que le data scraping, qui illustre les tensions entre libre accès à l’information et mise en jeu des responsabilités.

 

Cadre juridique de l’Open Data – Un droit pour les citoyens, une obligations pour les entités publiques

 

L’Open data désigne deux droits distincts :

 

• Un droit d’accès : Le droit concédé aux citoyens d’accéder à certains documents administratifs produits par les services publics (administrations, collectivités locales…).
• Un droit de réutilisation : le droit de réutiliser des informations du secteur public

 

Si ce mouvement est réalisé sur la base du volontariat dans le secteur privé, il s’agit d’une obligation légale dans le secteur public.

 

Dans le secteur public, la Loi du 17 juillet 1978 (n°78-753) a prévu pour la première fois un droit général d’accès aux documents administratifs. Ce droit d’accès sera complété par un droit de réutilisation à partir de 2005 (Ordonnance n°2005-650 du 6 juin 2005).

Une étape marquante à cette évolution réglementaire est la transformation profonde de nos sociétés avec l’avènement d’Internet et des nouvelles technologies.

En 2016, la loi Lemaire (Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) érige l’Open Data comme un principe clé de la gestion publique et introduit le principe du libre accès des documents administratifs.

Aujourd’hui, la majorité des obligations liées à l’Open Data sont consignées dans le Code des Relations entre le Public et l’Administration. L’autorité compétente sur les questions d’Open Data est la Commission d’accès aux documents administratifs (CADA), crée en 1978.

 

Ce droit à la transparence se trouve cependant limité par la loi dans plusieurs situations, notamment lorsque cela porte atteinte à la sécurité nationale, à la vie privée, ou encore aux droits de propriété intellectuelle.

 

 

Open Data confronté à la Cybersécurité : toujours plus de protection pour les données

 

Les préoccupations liées à la cybersécurité explosent ces dernières années, proportionnellement aux nombres de cyberattaques, toujours plus nombreuses et importantes.

L’un des premiers textes européens à imposer une obligation de cybersécurité générale est le règlement UE n°2016/679 dit « RGPD », qui impose, à l’article 32, à tout « responsable de traitement de données » (Data controller) de mettre en place des mesures de sécurité proportionnelles aux risques estimés.

 

D’autres règlements et directives européennes, spécifiques à certains secteurs, viennent également renforcer les obligations en matière de cybersécurité, comme la Directive NIS 2 (Network and Information Security), 2022/255 du 14 décembre 2022, ou encore le règlement DORA UE 2022/2554 pour le secteur de la finance.

 

Ces législations mènent à la multiplication des obligations de cybersécurité à la charge des entités qui manipuleraient des données, soit en tant que « fournisseurs de données » ou de « réutilisateurs ».

 

La CNIL a dans ce contexte publié en juin 2024 plusieurs fiches pratiques à destination de ces organismes, du secteur privé majoritairement, pour les inciter à penser à la protection des données personnelles qui seraient impliquées dans le cadre de l’Open Data.

Le data scraping, technique d’extraction automatique des données publiquement accessibles sur Internet, est également indirectement visé par la législation. L’appréhension de son cadre juridique se heurte à des incertitudes liées à la définition de certaines notions de bordures, telles que celle de « système de traitement automatisé de données », dont la loi Godfrain ne donne pas de définition précise.

En cas de data scrapping, des lois existantes peuvent mener à engager la responsabilité des utilisateurs de ses données, notamment l’article 323-3 du Code pénal, qui sanctionne l’extraction frauduleuse de données, ou encore l’article 226-19 pour collecte déloyale. Il sera également possible dans certains cas de rechercher la responsabilité contractuelle de ces utilisateurs, puisque ce data scrapping ne doit pas contrevenir aux fameuses « CGU » (conditions générales d’utilisation) établies par l’éditeur d’un site web.

 

En conclusion, l’Open Data, symbole d’une nouvelle ère de transparence et de démocratisation de l’accès à l’information, ne saurait être considéré comme un espace de totale liberté. Si les données ouvertes constituent un levier puissant d’innovation, leur utilisation soulève des problématiques juridiques et sécuritaires majeures, en particulier dans un contexte où la frontière entre données publiques et données personnelles peut rapidement s’estomper.

Le développement des technologies d’extraction automatique, tel que le data scraping, et l’émergence d’usages intensifs par l’IA imposent une vigilance accrue. Le droit doit donc continuer à s’adapter pour répondre à ces nouvelles pratiques, tout en garantissant un équilibre entre libre accès à l’information et protection des droits fondamentaux.

Dans ce paysage mouvant, les acteurs publics comme privés ont tout intérêt à intégrer une démarche de conformité, en s’appuyant sur les recommandations des autorités compétentes telles que la CNIL, et en anticipant les évolutions réglementaires. La sécurisation des données ouvertes devient alors non seulement une nécessité juridique, mais également un impératif éthique et stratégique.