Par Émilie Guiraud, Chercheure, Chaire Justice sociale et IA
Et Anne-Sophie Hulin, Titulaire, Chaire Justice sociale et IA
L’ouverture des données pour en libéraliser l’accès et le partage constitue une problématique majeure dans le monde du numérique. Accentuée par le développement de l’intelligence artificielle, l’ouverture des données est, en effet, directement corrélée à la capacité d’innovation des acteurs publics comme privés.
Cependant, si l’ouverture des données répond d’un fort besoin en pratique, celle-ci est à contre-courant de la prémisse sur laquelle repose le droit des données : la protection de l’information par les personnes qui la détiennent et/ou la génèrent. Dans cette perspective, le droit aborde l’ouverture des données comme une exception – et ce même si, ceci renvoie à une pluralité de situations -, laquelle qui puise son fondement dans la poursuite de l’intérêt public.
Ce faisant, ce billet est porté par un premier objectif d’information et de partage de la connaissance relative aux hypothèses et conditions d’ouverture des données pour un motif d’intérêt public. Plus largement, ce billet répond d’un objectif de systématisation et d’accessibilité du droit des données identifiant les contours et enjeux de l’actuelle « politique d’ouverture des données ».
Pour cela, nous envisagerons les principaux motifs d’ouverture des données à des fins d’intérêt public (1) avant de nous intéresser aux principales modalités d’ouverture des données existantes (2).
- Les motifs de l’ouverture des données
Au travers des enjeux de l’ouverture des données, nous retrouvons, notamment, la volonté de préserver une plus grande transparence (1.1) et la volonté de favoriser un plus grand partage (1.2.).
-
- Un objectif de transparence
Un « carrefour collaboratif en données ouvertes québécoises » [1], sur le site « données Québec », invite les municipalités, les organismes publics du gouvernement du Québec et les autres organisations à diffuser des données présentant un intérêt pour le public. Les données ouvertes concernent des domaines tels que l’environnement ; les ressources naturelles et l’énergie ; les infrastructures ; la loi, la justice et la sécurité publique ; le transport et le gouvernement ; et les finances [2]. Le principal objectif d’une telle initiative est d’encourager à la réutilisation secondaire des données collectées, principalement à des fins de transparence (volonté de rendre compte) et de fiabilité des données [3].
Le principe de transparence qui en ressort représente l’un des principes fondamentaux dans l’univers de l’administration publique [4] et peut être rattaché à l’article 44 de la Charte des droits et libertés de la personne [5]. Il s’agit d’un principe central dans l’ordonnancement juridique.
Ce principe de transparence se retrouve également dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels [6] (« Loi sur l’accès », ci-après) qui intègre l’intérêt public, « tant dans son essence que dans sa mécanique » [7]. Ceci s’explique par le fait que l’accessibilité aux documents des organismes publics a pour « but d’assurer la transparence et la saine gestion des affaires publiques » [8].
Comme le mentionne Stephanie Palmer :
« Le Code d’un gouvernement transparent exige des autorités qu’elles divulguent l’information visée par une exception si cette information est d’intérêt public, plus particulièrement dans les cas où elle favoriserait une meilleure compréhension du public relativement à un enjeu, améliorerait la transparence et l’obligation de rendre des comptes du gouvernement, ou encore lorsqu’elle révélerait une pratique incorrecte ou un risque pour la santé publique, la sécurité ou l’environnement » [9].
L’article 9 al.1 de cette loi prévoit, en ce sens, que « toute personne qui en fait la demande a droit d’accès aux documents d’un organisme public ». Cependant, la loi prévoit certaines restrictions. C’est le cas, par exemple, lorsque les renseignements présentent des incidences sur l’administration de la justice et la sécurité publique (art. 28 à 29.1 de la Loi sur l’accès).
Lorsque les documents transmis dans le cadre d’une demande d’accès sont accessibles, les organismes publics diffusent en ligne la demande et la décision anonymisée prise par le ou la responsable de l’accès aux documents [10].
Dans cette quête de transparence de l’information publique, il faut garder en tête la différence que la loi établit entre une demande d’accès aux documents d’un organisme public et le régime des données ouvertes, quand bien même chacune de cette hypothèse s’appuie sur un fondement démocratique et répond de la volonté d’assurer une meilleure gouvernance publique. En effet, la demande d’accès constitue un droit qui est conféré à toute personne, tandis que les données ouvertes dépendent de la volonté d’une partie – souvent le gouvernement – d’ouvrir au public ses données. À cela, ajoutons que les données ouvertes, comme celles que nous retrouvons sur le site « données Québec », répondent également d’une logique d’innovation [11], laquelle constitue également un objectif visé par une politique d’ouverture des données.
-
- Un objectif d’innovation
De plus en plus, l’accès et le partage des données entre des acteurs d’un même secteur d’activité constitue un besoin répandu – voire pressant pour le domaine de la santé – car l’innovation en dépend. Aussi, les initiatives visant à favoriser un plus grand partage et une mise en commun de ces données ne cessent de se multiplier.
L’ouverture de certaines données publiques répond aussi à cet objectif. En effet, la mise à disposition de jeux de données publiques permet autant de « simplifier l’utilisation et le croisement des données » que de « faciliter la participation citoyenne dans l’élaboration de solutions innovantes » conformément aux objectifs visés par Données Québec .
Dans un autre registre – notamment en lien cette fois avec des renseignements personnels–, la santé constitue, plus largement, un des plus vifs exemples du besoin d’ouverture des données pour des fins d’innovations. La récente multiplication des centres de données dans les milieux hospitaliers et autres plateformes collaboratives (ex. : PULSAR à l’Université Laval et PARS3 à l’Université de Sherbrooke) afin de favoriser la recherche, le traitement des patients ou encore l’administration des services de santé en témoigne d’ailleurs. Le partage des renseignements de santé est même devenu une priorité de l’action gouvernementale comme en atteste la récente création d’un centre de données de recherche (CADRISQ) au CHU Sainte-Justine en juin 2022 [12] ainsi que le récent Projet de loi n° 3 — Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives.
Ces différentes initiatives sont, elles-aussi, portées par un motif d’intérêt public, lequel répond alors d’une « logique conséquentialiste, orientée vers la prédominance des bénéfices potentiels sur les risques possibles » [13]. S’agissant spécifiquement des renseignements personnels de santé, ces risques sont reliés aux niveaux d’atteinte à la vie privée que pourrait avoir une divulgation non autorisée sur la vie des personnes concernées. En effet, de tels renseignements comprennent des informations intimes comme le traitement que prend une personne ou la maladie dont celle-ci est atteinte. C’est la raison pour laquelle ces renseignements sont considérés (a priori) comme sensibles et tombent alors dans un régime juridique qui en limite le partage. La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« Loi 25 », ci-après) dispose en effet que tout renseignement sensible doit faire l’objet d’un degré de protection supérieur en ce qu’elles appellent « un haut degré d’attente raisonnable en matière de vie privée » (art. 12 de la Loi sur la protection des renseignements personnels dans le secteur privé, « Loi sur le secteur privé » ci-après, et art. 59 de la Loi sur l’accès). La loi pose des exigences supérieures quant à leur collecte (consentement exprès) et leur réutilisation dans un contexte d’étude, de recherche et de statistique (évaluation plus rigoureuse des facteurs d’atteintes à la vie privée; dépersonnalisation).
Il faut noter ici le dilemme « protection versus innovation » auquel la loi fait face, et ce spécifiquement en matière de santé. En effet, on ne saurait trop rappeler que l’utilisation secondaire de ces données dans le domaine de la recherche est déterminante pour l’amélioration des soins de santé et de l’efficacité du système de santé. Il a d’ailleurs été nécessaire, durant la pandémie de COVID-19, d’intensifier le partage de ces renseignements de santé de la population à des fins de suivi épidémiologique, de traitements ou encore pour la vaccination. Pourtant, l’ouverture des données de santé est une thématique en quête d’acceptabilité sociale comme l’a montré une récente étude. Ce faisant, même si l’ouverture des données de santé procède d’un motif d’innovation (sociale) et prend racine sur des considérations d’intérêt public, celle-ci doit encore consolider son bien-fondé. Ceci montre combien la politique d’ouverture des données ne saurait se décréter ni s’imposer, et de fait, l’importance d’en bâtir sa légitimité.
Au-delà des raisons qui poussent à l’ouverture des données, y compris personnelles, le droit québécois jouit de différents modèles d’ouvertures des données, tous tributaires de l’intérêt public, et qu’il convient dès lors de présenter.
- Les modalités d’ouverture des données
L’ouverture des données revêt différents degrés. Portée à son paroxysme, nous retrouvons les données ouvertes (2.1). En parallèle, et dans une forme plus modérée, se trouvent l’ouverture, sous certaines circonstances, des renseignements personnels (2.2). Les développements suivants ont ainsi pour objectif de présenter brièvement les règles qui les sous-tendent.
-
- Le mouvement des données ouvertes (ou open data)
Conformément à ce qui est proposé dans la Charte internationale sur les données ouvertes [14] et le Guide de priorisation et de diffusion des données ouvertes [15], l’État québécois souhaite encourager « le principe d’ouverture par défaut des données publiques » [16]. Comme nous l’avons vu précédemment, une telle ouverture favorise la transparence, la fiabilité des données, le partage et la mise en commun à des fins d’innovation. À ce titre, l’article 12.20 de Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement [17] (« Loi sur la gouvernance », ci-après) dispose qu’un organisme public peut se voir confier « le mandat de diffuser des données ouvertes ou un jeu de données en format ouvert ». Dans une telle situation, l’organisme sera obligé de diffuser des données ouvertes. Cela pourrait être le cas, par exemple, pour voir les différents portraits quotidiens du statut vaccinal des nouveaux cas et des nouvelles hospitalisations (du ministère de la Santé et des Services sociaux), afin de faire un suivi de la pandémie.
À titre comparatif, le droit français pousse fort pour l’ouverture des données au point d’en faire une nouvelle obligation juridique. Depuis une loi de 2016, l'État, les collectivités territoriales ainsi que les autres personnes de droit public ou les personnes de droit privé chargées d'une mission de service public, sont tenues de publier en ligne ou de communiquer les documents administratifs qu'elles détiennent aux personnes qui en font la demande (art. L311-1 du Code des relations entre le public et l’administration (« CRPA », ci-après). Ces documents administratifs sont des dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions, codes sources et décisions (art. L300-2 du CRPA). Par exemple, sont considérées comme des données publiques les données des marchés publics produites dans le cadre d’une mission de service public [18].De même, la loi établit une obligation de une mise en ligne par défaut des données, c’est-à-dire une ouverture obligatoire, pour certains documents des administrations employant plus de cinquante personnes, à l’exclusion des collectivités de moins de 3 500 habitants [19]. Par exemple, les données présentant un intérêt économique, social, sanitaire ou environnemental devront être publiées et mises à jour régulièrement (art. L312-1-1 du CRPA).
L’ouverture des données telle que conçus dans une logique d’open data peut-elle s’appliquer aux données privées? Comme mentionné tantôt, l’open data répond de l’ambition d’un gouvernement ouvert, plus transparent. Cette logique est difficilement transposable dans le secteur privé car les entreprises n’ont pas spécifiquement le besoin d’être transparent. Ceci explique que les entreprises privées ont plus de réticences à partager leurs données en raison de la concurrence et de la protection de leur propriété intellectuelle. Toutefois, l’ouverture des données publiques est également dans une optique d’intérêt général, rien n’empêche les entreprises privées – sous réserve de la préservation des droits et intérêts en jeu – d’ouvrir l’accès à leurs données et/ou de les partager sur des sites d’open data. Une telle tendance semble prendre forme en France auprès de certaines entreprises privées volontaires en ce sens.
-
- L’ouverture modérée des données comprenant des renseignements personnels
Les renseignements personnels présentent un important intérêt pour la recherche. En dépit de la logique de protection qui anime leur encadrement, le droit prévoit des mécanismes pour « ouvrir », et donc accéder plus largement, à ce type de renseignements. Cette logique d’ouverture est ainsi à contre-courant du principe selon lequel un renseignement personnel ne peut être utilisé au sein d’une entreprise ou d’un organisme public, qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée (art. 12 de la Loi sur le secteur privé ; art. 65.1 de la Loi sur le secteur public). De même, à moins que la personne concernée y consente, une entreprise ou un organisme public ne peut communiquer un renseignement personnel qu’il détient sur autrui à un tiers (art. 13 de la Loi sur le secteur privé ; art. 59 de la Loi sur le secteur public).
La politique d’ouverture des renseignements personnels prévoit la possibilité d’un accès à des renseignements personnels, par des tiers et sans obtention du consentement de la personne concernée. Cette modalité d’ouverture est toutefois soumise au respect de motifs impérieux, souvent guidés par des motifs d’intérêt public [20]. La présence d’un tel intérêt justifie de mettre de côté la règle du consentement pour accéder aux données. L’ouverture de ces renseignements répond ainsi d’une logique de nécessité ; une hypothèse que l’on retrouve tant dans la Loi sur le secteur privé que dans la Loi sur l’accès.
Dans la Loi sur le secteur privé, certains renseignements personnels doivent être partagés à des tiers, notamment s’il s’agit de « renseignements qui sont utiles en matière pénale, des renseignements requis par le représentant d’un organisme public dans l’exercice de ses fonctions, des informations nécessaires en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée » (art. 18 à 18.2) [21]. D’autres exceptions existent pour l’utilisation ou la communication de renseignements personnels à une personne ou à un organisme qui souhaite les utiliser à des fins d’étude, de recherche ou de production de statistiques (art. 12 al.2 (5) et art 21 ; à noter que des changements dans ces dispositions seront applicables à partir de septembre 2023).
Dans la Loi sur l’accès, la communication d’un renseignement personnel sans consentement de la personne concernée est permise, notamment, au Directeur des poursuites criminelles et pénales si le renseignement est nécessaire aux fins d’une poursuite pour infraction à une loi applicable au Québec (art. 59 al.2(1) ou en vue de prévenir un acte de violence, s’il existe un risque sérieux de mort ou de blessures graves (art. 59.1) ou entre les corps de police (art. 61) ou si la communication s’avère nécessaire à l’application d’une loi au Québec (art. 67) ou bien encore, si « l’objectif de l’étude, de la recherche ou de la production de statistiques l’emporte, eu égard à l’intérêt public, sur l’impact de la communication et de l’utilisation des renseignements sur la vie privée des personnes concernées » (art. 67.2.1).
Bien évidemment, tant dans la Loi sur le secteur privé que dans la Loi sur l’accès, des conditions entourant l’utilisation et la communication de ces renseignements personnels seront à respecter, comme celles de prendre des mesures de sécurité à la fois propres à assurer la protection des renseignements personnels et raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support (art. 10 de la Loi sur le secteur privé ; art. 63.1 de la Loi sur le secteur public).
Lorsque les données ne comportent pas de renseignements personnels et ne sont pas autrement confidentielles – ce serait le cas pour des données comprenant, par exemple, un secret industriel ou si une telle divulgation a pour effet de potentiellement porter atteinte à la sécurité de l’État – et qu’elles sont pertinentes, elles peuvent être partagées publiquement. Si un tel partage est généralement, volontaire, il peut aussi, dans certains cas, être obligatoire.
Conclusion
En somme, l’intérêt public répond à une mise en balance entre les risques encourus et les bénéfices escomptés. Lorsque les bénéfices l’emportent sur les risques, l’ouverture est intimement reliée à la confidentialité des données en question. Les modalités et le degré d’ouverture des données en dépendront. Ainsi, l’ouverture sera plus restreinte s’il s’agit de données comprenant des renseignements personnels.
Pour autant, les récents changements législatifs apportent un nouvel assouplissement en matière de recherche, relativement au partage et à la mise en commun des renseignements personnels, particulièrement dans le domaine de la santé.
Bibliographie :
[1] Données Québec, en ligne.
[2] Données Québec, en ligne.
[3] Juliette Morel « Chronique d’une communication cartographique ratée, Déconstruction critique des cartes du gouvernement français pendant la crise de la COVID-19 au printemps 2020 », Justice spatiale - Spatial justice, Université Paris Ouest Nanterre La Défense, UMR LAVUE 7218, Laboratoire, Mosaïques, 2020, en ligne, p.16-17.
[4] Voir Pierre Laurin, « Les élus municipaux ont-ils une vie privée? », Développements récents en droit de l'accès à l'information (2005), Service de la formation permanente du Barreau du Québec, 2005.
[5] C-12 - Charte des droits et libertés de la personne, en ligne.
[6] A-2.1 - Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, en ligne.
[7] Lacroix c. Bilodeau, [1998] R.R.A. 1102, J.E. 98-1921, par. 90.
[8] Karl Delwaide et Nicolas-Karl Perrault, « Les demandes d'accès concernant des renseignements fournis à un organisme public par une entreprise : comment réagir? », Développements récents en droit de l'accès à l'information et de la protection des renseignements personnels (2012), Service de la formation continue du Barreau du Québec, 2012.
[9] S. Palmer, « Freedom of Expression and Freedom of Information : Essays in Honour of Sir David Williams », J. Beatson et Y. Cripps (dir.), Freedom of Information : The New Proposals, Oxford, Oxford University Press, 2002, p. 249-263 cité et traduit dans André Ouimet, « Accès à l’information : vers une plus grande transparence », (2004) 6-2 Éthique publique, en ligne.
[10] Voir notamment, Justice Québec, « Décisions et documents transmis dans le cadre d'une demande d'accès à l'information », en ligne ; Ministère de la Santé et des Services sociaux, « Décisions et documents transmis dans le cadre d'une demande d'accès - Demandes 2020-2021 », Diffusion de l'information et protection des renseignements personnels, en ligne.
[11] Cédric Villani, Marc Schoenauer, Yann Bonnet, Charly Berthet, Anne-Charlotte Cornut, et al.. « Donner un sens à l’intelligence artificielle: Pour une stratégie nationale et européenne », Mission Villani sur l’intelligence artificielle, 2018, en ligne, p.14.
[12] Alice Girard-Bossé, « Québec crée un nouveau centre d’accès aux données », La presse (20 juin 2022), en ligne.
[13] Commission de l’éthique en science et en technologie, « Mériter et renforcer la confiance des citoyens dans la gestion et la valorisation des données de santé, Pour une gouvernance transparente et responsable, soucieuse de la dignité des personnes et de l’intérêt public », Avis, 2022, en ligne, p.28.
[14] Open Data Charter, International Open Data Charter, 2015, en ligne.
[15] Secrétariat du Conseil du trésor, « Guide de priorisation et de diffusion des données ouvertes », Bibliothèque et Archives nationales du Québec, 2018, en ligne, p.1
[16] « À propos des données ouvertes », Gouvernement du Québec, en ligne.
[17] Chapitre G-1.03, Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, en ligne.
[18] Schéhérazade Abboub, « Le cadre juridique de la donnée en cinq points, La Gazette, 24 janvier 2022, p.88.
[19] CNIL, « Guide pratique de la publication en ligne et de la réutilisation des données publiques (« open data »), Présentation du cadre juridique de l’ouverture des données », Document élaboré par les services de la CADA et de la CNIL en association avec les services d’Etalab, 2019, en ligne, p.5.
[20] Dominique Goubau avec la collaboration de Anne-Marie Savard, « Le droit au secret, à la confidentialité et à la protection des renseignements personnels », Le droit des personnes physiques, 6e édition, 2019.
[21] Ibid.