Open data, anonymisation et publicité des décisions de justice : une analyse critique des propositions du rapport Cadiet

Lundi 15 janvier 2018, par Emmanuel Barthe // Portails juridiques officiels - Diffusion des données juridiques publiques

Le rapport Cadiet sur l’ouverture au public des décisions de justice (PDF, 206 p.) a été rendu public le 10 janvier 2018.

Pour vous faire rapidement une idée de son contenu, vous pouvez consulter la liste de ses 20 recommandations sur Le Monde du droit [1].

À signaler les deux commentaires suivant du rapport, qui peuvent compléter celui-ci :

D’après les éditions Francis Lefebvre, « les services du ministère de la Justice travaillent actuellement à la déclinaison opérationnelle des préconisations du rapport. Les actions prioritaires devraient être dévoilées d’ici quelques semaines » [2].

Un rapport très prudent

Une rermarque d’ordre général tout d’abord : on note la grande prudence de la mission dans la rédaction de ce rapport :

  • l’essentiel des recommandations vise à conforter le droit ou les pratiques actuelles, il n’y a presqu’aucune recommandation novatrice
  • des nuances sur certains sujets mais aussi beaucoup de propos très généraux ou consensuels.

Quelques exemples :

  • la recommandation n° 1 préconise de « confier aux juridictions suprêmes le pilotage des dispositifs de collecte automatisée des décisions de leur ordre de juridiction respectif, y compris celles des tribunaux de commerce pour l’ordre judiciaire, et la gestion des bases de données ainsi constituées ». En fait, ce sont déjà les juridictions suprêmes qui s’en chargent. La seule nouveauté là dedans serait que la Cour de cassation collecterait les jugements des TCom. NB : ce n’est pas gagné, vu la capacité des greffes de commerce à échapper à toutes les réformes ou projets de réforme qui les ont visés ces 30 dernières années
  • la recommandation n° 7 préconise une mise en œuvre du projet d’open data par paliers « en identifiant les contentieux et les niveaux d’instance concernés en considération des enjeux et contraintes techniques de mise en œuvre de l’open data ». Mais sans préciser quels paliers. Et il est de toute façon impossible de procéder autrement que très progressivement, le niveau du financement de la Justice ne permettant pas de lever les obstacles actuels (décisions de première instance non encore informatisées, format informatique inadapté, sous-équipement technologique et humain des greffes, budgets très contraints des juridictions). La Chancellerie elle-même, fin 2016, estimait le délai à 8 ans — et on parle d’un minimum.

Cela traduit une préoccupation, constante à travers tout le rapport, de ne pas lier les mains de l’exécutif et des hautes juridictions.

En effet, si on consulte la liste des membres de la mission (p. 11 du rapport), on constate que, comme c’est généralement le cas, la personne qui donne son nom à la mission n’est pas seule. Ici, le professeur Cadiet est entouré, non pas d’utilisateurs des bases de données de jurisprudence, ni d’avocats, ni d’universitaires ni même de représentants des associations de consommateurs, mais bien de de 26 magistrats et 3 personnes de la CNIL. Quant au rapporteur, M. Giambiasi, il travaille à la Chancellerie et c’est l’ex-collègue de l’actuel adjoint du directeur du SDER, M. Buat-Ménard. C’est donc un rapport rédigé d’abord par la haute magistrature.

Or ce sont les juridictions suprêmes qui sont les producteurs des bases de jurisprudence et qui, de facto, émettent une bonne partie des préconisations à destination de l’exécutif.

Ce qui, soyons clair, est parfaitement légitime puisqu’elles sont compétentes sur le sujet et ont les effectifs pour le traiter. Mais il serait tout aussi légitime que les utilisateurs des bases de jurisprudence soient eux aussi partie prenante. Ils n’ont toutefois même pas été consultés. On retrouve là hélas un grand classique de la conception des bases de données juridiques françaises : l’absence des utilisateurs.

Les propositions novatrices

Nous ne traiterons donc ici que des recommandations précises et novatrices.

Recommandations n° 2 et 5

« Définir le socle des règles essentielles de pseudonymisation, notamment la nature des données concernées, par décret en Conseil d’État pris en application des articles 20 et 21 de la loi du 7 octobre 2016 pour une République numérique, après avis de la CNIL. Ces données ne sauraient se limiter aux noms et adresses des personnes physiques concernées. »

« Prévoir dans le décret en Conseil d’État la mise en œuvre de la pseudonymisation à l’égard de l’ensemble des personnes physiques mentionnées dans les décisions de justice, sans la limiter aux parties et témoins, sous réserve de ce qui sera décidé pour la mention du nom des professionnels de justice. »

La mission Cadiet propose d’assurer la « plasticité » des règles de pseudonymisation par un dispositif à trois niveaux, grâce à des actes réglementaires complétés par des mesures de droit souple ("soft law") :

  • 1er niveau : décret en Conseil d’Etat : les règles essentielles de pseudonymisation et une liste des mentions à occulter impérativement. Le rapport précise clairement qu’il n’est pas question de se limiter aux noms et adresses des parties et témoins comme c’est pour l’instant le cas actuellement. On peut raisonnablement penser, surtout dans le contexte actuel de risque d’attentats, que les noms et adresses des membres des forces de l’ordre et des services de renseignement seront ajoutés. Le cas des noms des magistrats fait débat. Quant aux avocats, selon leurs instances, ils ne veulent surtout pas être caviardés
  • 2e niveau : le droit souple des recommandations de la CNIL. Cela permettrait « d’actualiser les règles et de les adapter en permanence »
  • 3e niveau : le Conseil d’Etat et la Cour de cassation.

Présenté ainsi, le changement, ce serait le 1er niveau. Et encore : il consisterait visiblement à mettre publiquement noir sur blanc les pratiques usuelles d’anonymisation des juridictions suprêmes. Les niveaux 2 et 3 sont déjà en place — rien de neuf, là.

Recommandation n° 12

« Prévoir la possibilité, pour la juridiction prononçant la décision, de conditionner sa délivrance aux tiers à sa pseudonymisation ou à la suppression de tout ou partie de ses motifs lorsque cette délivrance est susceptible de porter atteinte à des droits ou secrets protégés, en modifiant notamment les articles 11-3 de la loi du 5 juillet 1972, R.156 du code de procédure pénale et R.751-7 du code de justice administrative. Dans l’impossibilité d’y parvenir, prévoir la possibilité pour la juridiction d’exclure, à titre exceptionnel, l’accès d’une décision aux tiers et sa mise à disposition du public en modifiant les mêmes dispositions. »

Il y a deux choses dans cette recommandation. Il s’agit là :

  • d’une extension de la pseudonymisation (ex-anonymisation) à la version "greffe" de la décision. Jusqu’à aujourd’hui, les "copies de la grosse" ne sont pas anonymisées. Il s’agit de rendre le droit plus cohérent, mais aussi, fort probablement, de tenter de limiter les contournements à l’anonymisation systématique pratiquée sur les fonds Legifrance sous licence
  • mais aussi d’une application de la directive européenne sur le secret des affaires.

On peut légitimement se demander comment feront les greffes débordés des juridictions judiciaires [3] du fond [4]. Il suffit de lire les comtes-rendus des auditions des représentants des greffiers pour comprendre qu’ils ont bien pris la mesure de la masse de travail. Ils risquent fort de ne pas "caviarder" les décisions posant problème mais tout simplement — et on peut les comprendre — de refuser systématiquement leur diffusion (de facto, en ne répondant pas ou de juro, en invoquant « l’impossibilité »). On aboutirait ainsi à la création d’une catégorie supplémentaire de décisions de justice non communicables, ce qui serait regrettable.

Recommandation n° 16

« Développer sur le site internet de la Cour de cassation un canal de diffusion de la jurisprudence de l’ensemble des juridictions de l’ordre judiciaire assurant la mise en valeur de celle-ci, à l’instar de ce que pratique le Conseil d’État s’agissant des décisions de l’ordre administratif avec la base ArianeWeb. »

La Cour de cassation obtiendrait ainsi *sa* base de données à elle, sur *son* site web, doublonnant et prenant ainsi de vitesse Legifrance, comme le fait le Conseil d’Etat. Ce qui appelle de notre part la question suivante : au lieu de multiplier les bases de données en suivant des logiques institutionnelles, ne serait-il pas plus utile d’accélérer la mise en ligne sur Legifrance ?

Le RGPD et l’anonymisation forte : esquisse ou esquive ?

Recommandations n° 4 et n° 17

« Confier aux juridictions suprêmes la mise en œuvre des dispositions légales et règlementaires, éclairée par les recommandations de la CNIL, à partir d’une analyse du risque de réidentification, réalisée in concreto, ainsi que la définition, en concertation entre elles, de bonnes pratiques. »

« Modifier les dispositions des articles 8 et 9 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin de permettre la réutilisation des décisions de justice diffusées dans le cadre de l’open data. L’interdiction de traitement de données sensibles ne devrait pas s’appliquer à la réutilisation de ces décisions, à condition, notamment, que ces traitements n’aient ni pour objet ni pour effet la réidentification des personnes concernées. La possibilité de traiter des données relatives aux infractions devrait être ouverte aux réutilisateurs sous la même réserve et sans préjudice d’autres garanties. »

NB : la recommandation n° 17, contrairement aux n° 2 à 5, ne porte pas sur les fichiers initialement diffusés en open data mais sur ceux réutilisant les données des fichiers initiaux.

La mission fait peut-être implicitement référence au règlement européen de protection des données personnelles (RGPD) lorsque sa recommandation n° 4 parle de procéder à une « analyse du risque de réidentification » ou lorsque sa recommandation n° 17 dit que les traitements (de données) ultérieurs ne doivent pas avoir pour effet de réidentifier. Pour autant, le rapport Cadiet utilise le terme "pseudonymisation" (remplacer les noms par des lettres) (voir les recommandations n° 2, 3 et 5qq, cf supra) et non "anonymisation" (empêcher la réidentification, donc se préoccuper des données indirectement nominatives). Rappelons que depuis la publication du RGPD, le terme "anonymisation" a pris un sens beaucoup plus exigeant. Son sens ancien étant désormais véhiculé par le nouveau terme de "pseudonymisation".

Autrement dit, et au-delà de l’affirmation de la main mise des cours suprêmes sur l’anonymisation, le travail de protection des données nominatives dans les décisions de justice n’est pas réellement vu à travers le prisme du RGPD. Le RGPD n’est d’ailleurs pas cité une seule fois par le rapport alors qu’il entre en application en mai 2018 et que MM. Buat-Ménard et Giambiasi, tous deux membres de la mission, avaient cosigné en juillet 2017 un article affirmant l’importance du RGPD et prônant, au nom du RGPD, une anonymisation forte [5]. Cf notre billet L’open data des décisions des cours d’appel et tribunaux n’est pas pour demain et le débat dans les commentaires en dessous.

Autrement dit encore, pour reprendre le premier commentaire publié sous l’article de NextInpact : « la question essentielle reste ... quel est le degré de pseudonymisation attendu ».

Ce sont les contributions des personnalités qualifiées interrogées par la mission qui traitent vraiment du RGPD. Pas la mission. Voir dans les annexes les contributions de Marc Van Opijnen (inventeur de l’identifiant européen de la jurisprudence ECLI) et surtout Anne Debet (ex-commissaire de la CNIL ; p. 181-186).

Le professeur Debet explique que :

  • au regard de la jurisprudence de la Cour européenne des droits de l’homme, « on peut imaginer une condamnation de la CEDH sur le fondement d’une possible réidentification des personnes dans une décision contenant des données sensibles non correctement anonymisées » [6]
  • au regard des exigences du RGPD, la simple pseudonymisation (le terme même employé par le rapport) est insuffisante (voir pp. 183-184) : « L’anomymisation doit être conforme aux exigences posées par la loi informatique et libertés et par le RGPD. Le considérant 26 du texte définit les données anonymes comme les informations ne concernant pas une personne physique identifiée ou identifiable, (…) les données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Il ne doit pas s’agir d’une simple pseudonymisation, [...] Cette amélioration a néanmoins un coût et un budget conséquent doit y être consacré. » [7]. On ne saurait être plus clair.

En passant, notons que Mme Debet, qui avait déjà affirmé cela en octobre 2016 au colloque de la Cour de cassation sur l’open data de la jurisprudence, confirme que la recommandation de 2001 de la CNIL n’a jamais été adaptée [8]. De notre propre point de vue, la recommandation de 2001 n’a jamais respecté la loi qu’elle est censée interpréter, distinguant là où la loi ne distingue pas. Cf notre billet Anonymisation des décisions de justice en ligne : une nouvelle position de la CNIL [9].

Les propositions notables des groupes d’intérêts

A lire en annexes du rapport les positions des groupes d’intérêts. Elles sont parfois assez marquées :

  • ainsi la suppression des noms des magistrats a la cote. Toutefois, le Syndicat de la magistrature (SM, classé à gauche) ne demande pas l’anonymisation des noms des magistrats et sur ce sujet comme sur d’autres, le rapport ne tranche pas
  • la peur du profilage des magistrats est telle que le Conseil national des greffiers des tribunaux de commerce (CNGTC) estime « qu’il y a des risques réels à voir publier ces noms, notamment un risque de forum shopping. En analysant les jurisprudences bien établies, le risque de forum shopping par les sociétés est particulièrement fort en matière commerciale. » Le CNGTC va donc jusqu’à « se poser la question de savoir si, dans ces conditions, l’anonymisation ne doit pas concerner aussi les noms des juridictions » ! Et la Conférence nationale des présidents de TGI de proposer « d’exclure du champ de la mise à disposition les décisions rendues par un juge unique » ! (p. 51)
  • comme en 2016 au colloque sur l’open data organisé par la Cour de cassation [10], les éditeurs, par la voix du Syndicat national de l’édition (SNE), proposent de disposer des décisions non anonymisées, eux et les legal tech (p. 116) ... Ou les données publiques comme carburant des éditeurs et startups, fourni 1. par les pouvoirs publics, 2. gratuitement, 3. en temps de fortes restrictions budgétaires, 4. le tout grâce à un régime dérogatoire.

Les exceptions à la publicité des décisions : la liste complète

Enfin, dans les annexes du rapport Cadiet, on trouve une pépite [11] : des tableaux récapitulatifs complets des exceptions à la publicité des décisions : Annexe 1 – Tableau des dispositions établissant des exceptions à la publicité des décisions rendues en matière civile (p. 75) et Annexe 2 – Tableau des dispositions établissant des exceptions à l’accès et à la publicité des décisions rendues en matière pénale (p. 79). De quoi compléter notre article Se procurer la copie d’une décision de justice : les bases légales et un guide pratique.

Conclusion

En conclusion, le rapport Cadiet est à lire d’abord comme une sécurisation du rôle des cours suprêmes dans la production et la diffusion de la jurisprudence — qu’elle soit open data ou pas.

En n’abordant pas de front les exigences du RGPD ni les demandes des éditeurs et des startups, la mission Cadiet ne fait hélas que très modérément avancer le "schmilblick".

Et je ne parle même pas des besoins des utilisateurs des bases de données ni de ceux des anonymisés. En fait, tout le monde parle à leur place.

Emmanuel Barthe
documentaliste juridique, utilisateur de bases de données juridiques et usager de la justice française

Notes de bas de page

[1Rapport Cadiet : 20 recommandations sur l’open data des décisions de justice, par Arnaud Dumourrier, Le Monde du droit, 10 janvier 2018.

[3Du côté des juridictions administratives, peu ou pas de problème de sous-financement ni de sous-effectifs. Les juridictions administratives dépendent du Conseil d’Etat, un des corps les plus puissants, et ne rendent que 150 000 décisions par an.

[4Selon la Gazette du Palais, ils ne sont que 22 000 et « 1 400 postes [de greffiers] sont vacants » (Les personnels de greffes sortent de leur réserve, par Olivia Dufour, Gaz. Pal. 9 janvier 2018 p. 5). Rappelons que chaque année, la machine judiciaire traite 2,5 millions d’affaires ...

[5La mémoire numérique des décisions judiciaires : L’open data des décisions de justice de l’ordre judiciaire , par MM. Buat-Ménard et Giambiasi [tous deux magistrats et travaillant à l’époque au ministère de la Justice], Recueil Dalloz du 20 juillet 2017. Il s’agit d’une intervention de M. Buat-Ménard, préparée conjointement par les auteurs, le 9 mars 2017, lors de la journée d’étude consacrée à La mémoire numérique de la justice, co-organisée par la Sous-direction de la statistique et des études du ministère de la Justice et l’Institut des hautes études sur la justice [La mémoire numérique de la justice.
Cet article donne la position du ministère de la Justice à l’époque : anonymisation — forte — et non simple pseudonymisation (qu’on appelait anonymisation jusqu’à la publication du RGPD). Le nouvel objectif et critère promu par le RGPD est bien d’empêcher toute dé-anonymisation (ou ré-identification) en l’état actuel de la technique. Or on sait repersonnaliser des données bancaires ou hospitalières pseudonymisées. Il faut donc ne plus se limiter à la solution actuelle, où l’on remplace les noms par des lettres — solution anciennement dénommée anonymisation et qu’on appelle depuis le RGPD pseudonymisation.

[6Extrait de la contribution écrite de Mme Debet :
« Dans un arrêt du 6 octobre 2009 (C. C. c. Espagne, req. n° 1425/06), la CEDH ne décèle pas l’existence d’un " aspect primordial de l’intérêt public " (§ 33) qui justifiait " la publication de l’identité d’une personne en toutes lettres en rapport avec son état de santé dans un jugement ". Le retrait du nom du requérant au sein de la décision judiciaire – portant sur un litige opposant le requérant et sa compagnie d’assurance et révélant sa séropositivité – était possible selon le droit espagnol (limitation de l’accès à la décision par le greffe et possibilité de faire figurer uniquement les initiales de la partie dans le jugement).
En ce qui concerne les questions relatives à l’accessibilité au public de données à caractère personnel, la Cour reconnaît qu’il convient d’accorder aux autorités nationales compétentes une certaine latitude pour établir un juste équilibre entre la protection de la publicité des procédures judiciaires, nécessaire pour préserver la confiance dans les cours et tribunaux, d’une part, et celle des intérêts d’une partie ou d’une tierce personne à voir de telles données rester confidentielles, d’autre part. L’ampleur de la marge d’appréciation en la matière est fonction de facteurs tels que la nature et l’importance des intérêts en jeu et la gravité de l’ingérence. On peut, malgré cette marge d’appréciation, imaginer une condamnation de la CEDH sur le fondement d’une possible réidentification des personnes dans une décision contenant des données sensibles (en particulier des données de santé) non correctement anonymisées. »

[7Extrait de la contribution du professeur Debet, p. 182-183 :
« - Quelle doit être, au regard du cadre juridique national et européen, l’étendue de l’exigence d’« anonymisation » des décisions mises à la disposition du public, et selon quelles modalités celle-ci doit-elle être réalisée (personnes concernées, données personnelles concernées etc.) ? Selon quels principes et quelles méthodes apprécier le risque de ré-identification des personnes ? Selon quels moyens en assurer la maîtrise ?
L’anomymisation doit être conforme aux exigences posées par la loi informatique et libertés et par le RGPD. Le considérant 26 du texte définit les données anonymes comme les informations ne concernant pas une personne physique identifiée ou identifiable, (…) les données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Il ne doit pas s’agir d’une simple pseudonymisation, définie par le RGPD comme " le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable " (article 4, 5 RGPD) dont la fonction est de réduire les risques pour les personnes concernées et d’aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données.
Sur la question des procédés d’anonymisation, il est renvoyé à un auteur [Natalie Métallinos) développant ce point précis et affirmant qu’il " apparaît pour le moins possible d’améliorer considérablement les procédés d’anonymisation actuellement utilisés, tant sur le plan de la méthode que par le recours à des moyens automatisés. Les travaux de recherche196 ont déjà mis en évidence les critères permettant de bâtir une méthodologie. Plusieurs pistes semblent envisageables : la mise en place d’arbres décisionnels qui aboutissent à la mise en données ouvertes, le respect des règles de publicité, le calcul automatisé des scores de sensibilité des données (…). Cette automatisation devant permettre une remontée d’alertes sur les cas où une intervention humaine est nécessaire pour indexer de manière appropriée la décision et occulter certaines parties ". Cette amélioration a néanmoins un coût et un budget conséquent doit y être consacré. »

[8Pour citer le professeur Debet dans le rapport Cadiet :
« La CNIL s’est contentée d’une "anonymisation" qui n’en était pas une, même pour les bases en accès libre, semblant considérer que, à partir du moment où le nom des personnes disparaissait, la loi Informatique et libertés n’avait pas à s’appliquer. Or, les données figurant dans les décisions de justice peuvent être des données à caractère personnel, quand bien même les nom et prénoms de la personne n’y figureraient plus et enlever les nom et prénoms des personnes ne constitue pas une réelle "anonymisation" au sens de la loi Informatique et libertés et du RGPD. Des milliers d’exemples de cette possibilité de ré-identification peuvent être trouvés dans les bases de données jurisprudentielles, ce qui montre la difficulté de l’anonymisation des jugements. Il ne semble donc pas possible de maintenir la position de la CNIL en date de 2001. La CNIL semble, elle-même, avoir évolué sur le sujet.
S’agissant des bases de données de jurisprudence, dans un « caveat » élaboré par la DILA, Etalab et la CNIL, le cadre juridique applicable à la réutilisation de ces jeux de données a d’ailleurs été précisé. Ce "caveat" rappelle en particulier aux réutilisateurs que, dès lors qu’un jeu de données a fait l’objet d’une anonymisation totale ou partielle (ex. : remplacement du nom et du prénom par des lettres), la réutilisation, notamment dans le cadre de croisements de données, ne peut avoir ni pour objet ni pour effet de réidentifier les personnes. »

[9Circonstance explicative mais non atténuante : à l’époque, le coût de l’anonymisation des bases de données était plus élevé qu’aujourd’hui et les techniques moins au point. Pour autant, les éditeurs, qui se portaient financièrement très bien, en avaient les moyens, surtout en s’y mettant progressivement. In fine, ils se sont mis à anonymiser "leurs" décisions — les juridictions suprêmes faisant le reste.

[10L’édition juridique et la diffusion du droit : La problématique particulière de la diffusion de la jurisprudence, in La jurisprudence dans le mouvement de l’open data : Actes du colloque à la Cour de cassation, 14 octobre 2016, supplément au n° 9, 27 février 2017, p. 92.

[11Signalée par Michael Benesty, créateur de l’application de justice dite "prédictive" Supra Legem, sur son compte Twitter @pommedeterre33, parmi ses réactions au rapport Cadiet.

Répondre à cet article