Cadre juridique

Selon la Directive 2013/37/UE, dite PSI (Public Sector Information), et la loi n°78-753 du 17 juillet 1978 (modifiée), dite CADA (Commission d’Accès aux Documents Administratifs), les données issues d’une activité de recherche financée au moins pour moitié par des dotations d’un Etablissement Public, de l’Etat, des collectivités, des subventions d’agences de financement nationales ou par l’Union européenne sont assimilées à des “documents administratifs”.

Dès lors qu’elles sont considérées comme achevées (notamment après une première publication volontaire, comme la publication scientifique) et si elles n’entrent pas dans le cadre des exceptions légales (cf. cas particuliers ci-dessous), elles doivent être :

  • communicables à toute personne qui en fait la demande,
  • librement réutilisables.

La Loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique va plus loin et modifie le code des relations entre le public et l’administration pour aller vers un principe d’ouverture et de diffusion spontanée des données sur internet (open data), et de libre réutilisation sans condition et à toutes fins (y compris à des fins commerciales et y compris pour les établissements publics).
Elle neutralise le droit des bases de données pour les administrations, dans son article 11 .

La loi Valter précise le principe de gratuité : la réutilisation est gratuite, non soumise à paiement de redevances

La réutilisation des informations publiques est soumise à la condition que ces dernières ne soient pas altérées, que leur sens ne soit pas dénaturé et que leurs sources (auteurs et date de dernière mise à jour) soient mentionnées.

Cas particuliers/Points de vigilance

Obligation de publication pour les données :

Publication sous conditions des données :

  • personnelles (toutes informations identifiant directement ou indirectement des personnes physiques ou ensembles de données qui, recoupées, peuvent permettre d’identifier des personnes). L’accord exprès des personnes avant le recueil, l’anonymisation des données avant publication ou à la fin du projet et l’accès des personnes à leur données durant le projet sont obligatoires (cf. RGPD, succédant en 2016 à la Loi Informatique et Liberté)
    _A l’IRD, contacter le DPO (dpo@ird.fr) pour toute précision concernant les données personnelles et s’autofromer sur le RGPD (lien intranet) : https://e-formation.ird.fr/course/view.php?id=148_
    En savoir plus sur le RGPD
  • personnelles de santé recueillies initialement avec un objectif de soin, de diagnostic, de prévention ou de suivi médico-social  : ces données demandent une évaluation particulièrement attentive (un logigramme peut vous y aider) et ne peuvent être déposées que chez un hébergeur certifié HDS (Hébergement des Données de Santé).
    _A l’IRD, contacter la cellule Recherches Impliquant la Personne Humaine : cellule.riph@ird.fr et demander l’ouverture d’un compte sur sur la plateforme certifiée HDS RedCap : redcap@ird.fr_
    En savoir plus sur l’hébergement des données de santé
  • concernant les ressources génétiques et les « connaissances traditionnelles » associées : le Protocole de Nagoya demande qu’elles aient été obtenues après « consentement préalable en connaissance de cause » des communautés locales autochtones, que les « connaissances, innovations et pratiques qu’elles ont développées » soient reconnues et que leurs conditions d’utilisation soient « convenues d’un commun accord ».
  • contenant des informations pouvant avoir un impact sur la conservation de la biodiversité (article L.124-4 du code de l’environnement), par exemple la localisation d’une espèce menacée,
  • relatives au « potentiel scientifique et technique de la nation »…
  • protégées par le droit d’auteur (cf. Code de la propriété intellectuelle), qui protège la structure de la base de données et les « œuvres de l’esprit » qu’elle peut contenir (textes, photographies,…), à condition qu’elles soient originales et expriment la personnalité de leurs auteurs.
    Pour utiliser ces éléments protégés, l’accord exprès (=écrit, clair et explicite) de tous les auteurs est obligatoire, sauf exceptions (courte citation, utilisation à des fin d’enseignement, de sécurité publique ou de procédure administrative ou juridictionnelle).
    Le titulaire de ce droit est l’auteur (personne physique), s’il est autonome dans sa production (cas des chercheurs et enseignants-chercheurs).
  • provenant de tiers (autorisation ou licence nécessaires), générées en collaboration avec des tiers (convention ou accord de consortium nécessaire) , ou rassemblées pour le compte d’un tiers (contrat nécessaire), en particulier lorsque ces tiers sont des entreprises privées ou appartiennent à des pays non-européens. Les documents contractuels cités entre parenthèse, rédigés avec l’aide de Services Juridiques, devront préciser la propriété, l’usage, le partage, la licence des données concernées.
    Si ce tiers est une entreprise privéele droit « sui generis«  (cf. Directive 96/9/CE concernant la protection juridique des bases de données), peut protéger, durant 15 ans à partir de sa publication, le contenu d’une base de données, même à défaut d’originalité, sous condition d’investissements substantiels (mise en œuvre de moyens financiers, techniques ou humains importants).
    La durée peut être renouvelée à chaque nouvel investissement substantiel effectué (modification, mise à jour).
    Le titulaire de ce droit est l’investisseur, en général l’organisme employeur.

Interdiction de publication pour les données :

  • relatives à la sécurité publique ou au secret défense (y compris celles impactant la sécurité des biens de l’établissement ou des personnes)
  • relatives aux secrets professionnels (dont le secret des procédés, le secret médical, le secret de l’instruction, le secret bancaire, le secret des affaires, dont les contrats et marchés,…)
  • personnelles sensibles : relatives aux origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale,  la santé ou la vie sexuelle, ainsi que les données biométriques et génétiques personnelles permettant d’identifier une personne physique de manière unique, les mots de passes, les informations bancaires ou financières,…
    La collecte et le traitement de ces données sont interdits sauf justification (dans l’intérêt public,  pour la recherche médicale,…).
    L’autorisation de la CNIL doit être demandée via le Data Protector Officer (DPO) ou Délégué à la Protection des Données (DPD) de votre organisme.
    _A l’IRD, contacter le DPD à la Direction des affaires juridiques (DAJ)_.

Mesures de protection des données personnelles ou sensibles

  • Gérer les accès aux données (authentification et habilitation)
  • Sauvegarder dans des répertoires séparés
  • Chiffrer les données lors des transits et chiffrer les supports de stockage (utilisation de protocole de chiffrement, de container sécurisé tel que Zed!, Veracrypt ou Keepass ou d’autres logiciels adaptés comme Bitlocker, FileVault,…)
  • Mettre en place un système de contrôle d’intégrité
  • Mettre en place un système de traçabilité (accès, modification …).
  • Pseudonymiser les données
  • Flouter les données en les agrégeant
  • Anonymiser les données
  • Utiliser un hébergement certifié (HDS pour les données de santé)
  • … (listing non exhaustif)

Aides à la décision

Des outils en ligne permettent de se poser les bonnes questions :

Des logigrammes vous aideront visuellement à repérer ce que vous pouvez et devez faire avec vos données :

Le guide “Ouverture des données de recherche. Guide d’analyse du cadre juridique en France”, publié en 2016 par un collectif de juristes issus de l’Enseignement Supérieur et de la Recherche, à la demande du Comité pour la Science Ouverte (CoSO) :

  • précise les modalités de communication des données, selon leur nature,
  • explicite les principes à respecter en matière de diffusion des données,
  • rappelle les critères techniques à satisfaire pour atteindre la qualification de “données ouvertes”,
  • oriente sur le choix de la licence de diffusion,
  • fournit un logigramme d’aide à la décision et une série de fiches pratiques.

Choix de licence

En sus du cadre réglementaire, il est recommandé de diffuser ses données accompagnées d’un contrat de licence adapté.

Le décret 2017-368 du 27 avril 2017 précise les licences gratuites pouvant être utilisées pour les données publiques :

Par ailleurs, l’entrepôt dans lequel vous souhaitez déposer votre jeu de données peut imposer une licence de diffusion particulière et, si les données sont liées à un article scientifique, la revue peut exiger une licence de diffusion dans les instructions aux auteurs.
Un examen attentif de ces recommandations est nécessaire pour éviter de céder trop de droits sur ses données : le type de licence préconisé est un critère de sélection important pour choisir un entrepôt ou un éditeur.

Aide au choix d’une licence Creative Commons (en restant aussi ouvert que possible) : https://creativecommons.org/choose/?lang=fr 

Pour en savoir plus