Open data, anonymisation et publicité des décisions de justice : une analyse critique des propositions du rapport Cadiet

Débat autour du RGPD

Mercredi 24 janvier 2018, par Emmanuel Barthe // Portails juridiques officiels - Diffusion des données juridiques publiques

En résumé si vous êtes pressé (TL ;DR)

Le rapport Cadiet sur l’open data des décisions de justice est l’œuvre d’une mission composée essentiellement de hauts magistrats. Il n’est des lors pas étonnant qu’il se contente de formaliser les (une partie des) pratiques de pseudonymisation de la Cour de cassation et du Conseil d’Etat.

- Autrement dit, la mission penche pour une anonymisation potentiellement moins forte que ce que l’interprétation la plus évidente du règlement européen de protection des données exigerait. Si elle recommande de ne pas se contenter de remplacer les nom, prénom et adresse des parties par des lettres, elle ne rentre guère plus avant dans les détails et laisse entendre qu’une anonymisation forte, entendue comme une véritable lutte contre la réidentification, est irréaliste. Ce qui se discute.

- La mission ne prend pas position sur l’anonymisation des magistrats dans les décisions de justice, mais on sent que le débat a été vif.

- Les greffiers devraient anonymiser et caviarder les décisions comportant des secrets d’affaires. On leur souhaite bon courage.

- La Cour de cassation aurait sa base de données à elle sur son site web, comme l’a depuis longtemps le Conseil d’Etat avec Ariane Web.

- Les éditeurs veulent disposer des décisions non anonymisées, pour eux et les legal tech, en interne.

- Très utile : dans les annexes du rapport, deux tableaux récapitulatifs complets des exceptions à la publicité des décisions.

- L’exécutif veut rapidement décliner les mesures Cadiet en droit positif. La recommandation n° 17 est déjà incorporée dans le projet de loi sur les données personnelles en discussion à l’Assemblée.

Sommaire

Le contexte (politique) du rapport Cadiet

Le rapport Cadiet sur l’ouverture au public des décisions de justice (PDF, 206 p.) a été rendu public le 10 janvier 2018. Il comporte 20 recommandations [1].

Le rapport porte en fait sur l’open data des décisions de justice de première et deuxième instance, appelées jugements et arrêts — les décisions des juridictions suprêmes (Cour de cassation, Conseil d’Etat, Conseil constitutionnel) sont déjà en open data [2]. Il fait suite aux articles 20 et 21 de la loi Lemaire pour une République numérique [3], qui ont adopté le principe de cette diffusion en open data. L’open data est la liberté ("open") — et en genéral la gratuité — de copier, reproduire et diffuser à nouveau des données ("data"). C’est un mouvement qui dans le domaine des données publiques juridiques a plutôt le vent en poupe depuis la présidence Hollande [4].

D’après les éditions Francis Lefebvre, « les services du ministère de la Justice travaillent actuellement à la déclinaison opérationnelle des préconisations du rapport. Les actions prioritaires devraient être dévoilées d’ici quelques semaines » [5].

Et ca ne traîne pas puisque le 24 janvier, un amendement n° CL260 du Gouvernement est intégré dans le projet de loi d’harmonisation de la loi française avec le règlement européen sur les données personnelles en cours de discussion à l’Assemblée nationale [6] [7]. Il correspond à la recommandation n° 17 du rapport.

Un rapport très prudent

Une rermarque d’ordre général tout d’abord : on note la grande prudence de la mission dans la rédaction de ce rapport :

  • l’essentiel des recommandations vise à conforter le droit ou les pratiques actuelles, il n’y a presqu’aucune recommandation novatrice
  • des nuances sur certains sujets mais aussi beaucoup de propos très généraux ou consensuels.

Quelques exemples :

  • la recommandation n° 1 préconise de « confier aux juridictions suprêmes le pilotage des dispositifs de collecte automatisée des décisions de leur ordre de juridiction respectif, y compris celles des tribunaux de commerce pour l’ordre judiciaire, et la gestion des bases de données ainsi constituées ». En fait, ce sont déjà les juridictions suprêmes qui s’en chargent. La seule nouveauté là dedans serait que la Cour de cassation collecterait les jugements des TCom. NB : ce n’est pas gagné, vu la capacité des greffes de commerce à échapper à toutes les réformes ou projets de réforme qui les ont visés ces 30 dernières années
  • la recommandation n° 7 préconise une mise en œuvre du projet d’open data par paliers « en identifiant les contentieux et les niveaux d’instance concernés en considération des enjeux et contraintes techniques de mise en œuvre de l’open data ». Mais sans préciser quels paliers. Et il est de toute façon impossible de procéder autrement que très progressivement, le niveau du financement de la Justice [8] ne permettant pas de lever les obstacles actuels (décisions de première instance non encore informatisées, format informatique inadapté, sous-équipement technologique et humain des greffes, budgets très contraints des juridictions). La Chancellerie elle-même, fin 2016, estimait le délai à 8 ans — et on parle d’un minimum [9].

Cela traduit une préoccupation, constante à travers tout le rapport, de ne pas lier les mains de l’exécutif et des hautes juridictions.

En effet, si on consulte la liste des membres de la mission (p. 11 du rapport), on constate que, comme c’est généralement le cas, la personne qui donne son nom à la mission n’est pas seule. Ici, le professeur Cadiet est entouré, non pas d’utilisateurs des bases de données de jurisprudence, ni d’universitaires ni même de représentants des associations de consommateurs, mais bien de de 22 magistrats, 4 personnes du Conseil national des Barreaux (dont un seul avocat, Me Louis Degos) et 3 personnes de la CNIL. Quant au rapporteur, M. Giambiasi, il travaille à la Chancellerie et c’est l’ex-collègue de l’actuel adjoint du directeur du SDER, M. Buat-Ménard. C’est donc un rapport rédigé d’abord par la haute magistrature.

Or ce sont les juridictions suprêmes qui sont les producteurs des bases de jurisprudence et qui, de facto, émettent une bonne partie des préconisations à destination de l’exécutif.

Ce qui, soyons clair, est parfaitement légitime puisqu’elles sont compétentes sur le sujet et ont les effectifs pour le traiter. Mais il serait tout aussi légitime que les utilisateurs des bases de jurisprudence soient eux aussi partie prenante. Ils n’ont toutefois même pas été consultés. On retrouve là hélas un grand classique de la conception des bases de données juridiques françaises : l’absence des utilisateurs.

Les propositions novatrices

Nous ne traiterons donc ici que des recommandations précises et novatrices.

Recommandations n° 2 et 5

« Définir le socle des règles essentielles de pseudonymisation, notamment la nature des données concernées, par décret en Conseil d’État pris en application des articles 20 et 21 de la loi du 7 octobre 2016 pour une République numérique, après avis de la CNIL. Ces données ne sauraient se limiter aux noms et adresses des personnes physiques concernées. »

« Prévoir dans le décret en Conseil d’État la mise en œuvre de la pseudonymisation à l’égard de l’ensemble des personnes physiques mentionnées dans les décisions de justice, sans la limiter aux parties et témoins, sous réserve de ce qui sera décidé pour la mention du nom des professionnels de justice. »

La mission Cadiet propose d’assurer la « plasticité » des règles de pseudonymisation par un dispositif à trois niveaux, grâce à des actes réglementaires complétés par des mesures de droit souple ("soft law") :

  • 1er niveau : décret en Conseil d’Etat : les règles essentielles de pseudonymisation et une liste des mentions à occulter impérativement. Le rapport précise clairement qu’il n’est pas question de se limiter aux noms et adresses des parties et témoins comme c’est pour l’instant le cas actuellement. On peut raisonnablement penser, surtout dans le contexte actuel de risque d’attentats, que les noms et adresses des membres des forces de l’ordre et des services de renseignement seront ajoutés. Le cas des noms des magistrats fait débat. Quant aux avocats, selon leurs instances, ils ne veulent surtout pas être caviardés
  • 2e niveau : le droit souple des recommandations de la CNIL. Cela permettrait « d’actualiser les règles et de les adapter en permanence »
  • 3e niveau : le Conseil d’Etat et la Cour de cassation.

Présenté ainsi, le changement, ce serait le 1er niveau. Et encore : il consisterait visiblement à mettre publiquement noir sur blanc les pratiques usuelles d’anonymisation des juridictions suprêmes. Les niveaux 2 et 3 sont déjà en place — rien de neuf, là. Si ce n’est qu’en rester là pourrait ne respecter que partiellement pas les exigences du règlement européen de protection des données (RGPD) : sur ce point, voir infra.

Recommandation n° 12

« Prévoir la possibilité, pour la juridiction prononçant la décision, de conditionner sa délivrance aux tiers à sa pseudonymisation ou à la suppression de tout ou partie de ses motifs lorsque cette délivrance est susceptible de porter atteinte à des droits ou secrets protégés, en modifiant notamment les articles 11-3 de la loi du 5 juillet 1972, R.156 du code de procédure pénale et R.751-7 du code de justice administrative. Dans l’impossibilité d’y parvenir, prévoir la possibilité pour la juridiction d’exclure, à titre exceptionnel, l’accès d’une décision aux tiers et sa mise à disposition du public en modifiant les mêmes dispositions. »

Il y a deux choses dans cette recommandation. Il s’agit là :

  • d’une extension de la pseudonymisation (ex-anonymisation) à la version "greffe" de la décision. Jusqu’à aujourd’hui, les "copies de la grosse" ne sont pas anonymisées. Il s’agit de rendre le droit plus cohérent, mais aussi, fort probablement, de tenter de limiter les contournements à l’anonymisation systématique pratiquée sur les fonds Legifrance sous licence
  • mais aussi d’une application de la directive européenne sur le secret des affaires.

On peut légitimement se demander comment feront les greffes débordés des juridictions judiciaires [10] du fond [11]. Il suffit de lire les comtes-rendus des auditions des représentants des greffiers pour comprendre qu’ils ont bien pris la mesure de la masse de travail. Ils risquent fort de ne pas "caviarder" les décisions posant problème mais tout simplement — et on peut les comprendre — de refuser systématiquement leur diffusion (de facto, en ne répondant pas ou de juro, en invoquant « l’impossibilité »). On aboutirait ainsi à la création d’une catégorie supplémentaire de décisions de justice non communicables, ce qui serait regrettable.

Recommandation n° 16

« Développer sur le site internet de la Cour de cassation un canal de diffusion de la jurisprudence de l’ensemble des juridictions de l’ordre judiciaire assurant la mise en valeur de celle-ci, à l’instar de ce que pratique le Conseil d’État s’agissant des décisions de l’ordre administratif avec la base ArianeWeb. »

La Cour de cassation obtiendrait ainsi *sa* base de données à elle, sur *son* site web, doublonnant et prenant ainsi de vitesse Legifrance, comme le fait le Conseil d’Etat. Ce qui appelle de notre part la question suivante : au lieu de multiplier les bases de données en suivant des logiques institutionnelles, ne serait-il pas plus utile d’accélérer la mise en ligne sur Legifrance ?

Le RGPD et l’anonymisation forte : esquisse ou esquive ?

Recommandations n° 4 et n° 17

« Confier aux juridictions suprêmes la mise en œuvre des dispositions légales et règlementaires, éclairée par les recommandations de la CNIL, à partir d’une analyse du risque de réidentification, réalisée in concreto, ainsi que la définition, en concertation entre elles, de bonnes pratiques. »

« Modifier les dispositions des articles 8 et 9 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin de permettre la réutilisation des décisions de justice diffusées dans le cadre de l’open data. L’interdiction de traitement de données sensibles ne devrait pas s’appliquer à la réutilisation de ces décisions, à condition, notamment, que ces traitements n’aient ni pour objet ni pour effet la réidentification des personnes concernées. La possibilité de traiter des données relatives aux infractions devrait être ouverte aux réutilisateurs sous la même réserve et sans préjudice d’autres garanties. »

NB 1 : la recommandation n° 17, contrairement aux n° 2 à 5, ne porte pas sur les fichiers initialement diffusés en open data mais sur ceux réutilisant les données des fichiers initiaux.

NB 2 : attention au contresens ! Quand la recommandation n° 17 (et à sa suite l’amendement n° CL260 à l’article 7 du projet de loi en cours sur les données personnelles) pose comme condition « que ces traitements n’aient ni pour objet ni pour effet la réidentification des personnes concernées », la « réidentification » dont il est ici question n’a rien à voir avec le risque de réidentification. Il s’agit juste de poser comme principe que les réutilisateurs des données initiales ne doivent pas réidentifier eux-mêmes. Mais s’il y a un risque fort que d’autres arrivent à réidentifier, cet article 7 n’est pas concerné ... La recommandation n° 17 et le futur article 7 de la loi sur les données personnelles ne portent donc pas sur la limitation des risques de réidentification du fait d’une anonymisation insuffisante. Comme le prévoit le rapport, ce sera selon toute probabilité à la CNIL de faire le travail par des lignes directrices, rédigées en liaison avec la Cour de cassation et le Conseil d’Etat.

La mission fait peut-être implicitement référence au règlement européen de protection des données personnelles (RGPD) lorsque sa recommandation n° 4 parle de procéder à une « analyse du risque de réidentification » ou lorsque sa recommandation n° 17 dit que les traitements (de données) ultérieurs ne doivent pas avoir pour effet de réidentifier. Pour autant, le rapport Cadiet utilise le terme "pseudonymisation" (remplacer les noms par des lettres) (voir les recommandations n° 2, 3 et 5, cf supra) et non "anonymisation" (empêcher la réidentification, donc se préoccuper des données indirectement nominatives). Rappelons que depuis la publication du RGPD, le terme "anonymisation" a pris un sens beaucoup plus exigeant. Son sens ancien étant désormais véhiculé par le nouveau terme de "pseudonymisation".

Autrement dit, et au-delà de l’affirmation de la main mise des cours suprêmes sur l’anonymisation, le travail de protection des données nominatives dans les décisions de justice n’est pas réellement vu à travers le prisme du RGPD. Le RGPD n’est d’ailleurs pas cité expressément une seule fois par le rapport alors qu’il entre en application en mai 2018 et que MM. Buat-Ménard et Giambiasi, tous deux membres de la mission, avaient cosigné en juillet 2017 un article affirmant l’importance du RGPD et prônant, au nom du RGPD, une anonymisation forte [12]. Cf notre billet L’open data des décisions des cours d’appel et tribunaux n’est pas pour demain et le débat dans les commentaires en dessous.

Autrement dit encore, pour reprendre le premier commentaire publié sous l’article de NextInpact : « la question essentielle reste ... quel est le degré de pseudonymisation attendu ».

Ce sont les contributions des personnalités qualifiées interrogées par la mission qui traitent vraiment du RGPD. Pas la mission. Voir dans les annexes les contributions de Marc Van Opijnen (inventeur de l’identifiant européen de la jurisprudence ECLI) et surtout Anne Debet (ex-commissaire de la CNIL ; p. 181-186).

Le professeur Debet explique que :

  • au regard de la jurisprudence de la Cour européenne des droits de l’homme, « on peut imaginer une condamnation de la CEDH sur le fondement d’une possible réidentification des personnes dans une décision contenant des données sensibles non correctement anonymisées » [13]
  • au regard des exigences du RGPD, la simple pseudonymisation (le terme même employé par le rapport) est insuffisante (voir pp. 183-184) : « L’anomymisation doit être conforme aux exigences posées par la loi informatique et libertés et par le RGPD. Le considérant 26 du texte définit les données anonymes comme les informations ne concernant pas une personne physique identifiée ou identifiable, (…) les données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Il ne doit pas s’agir d’une simple pseudonymisation, [...] Cette amélioration a néanmoins un coût et un budget conséquent doit y être consacré. » [14]. On ne saurait être plus clair.

En passant, notons que Mme Debet, qui avait déjà affirmé cela en octobre 2016 au colloque de la Cour de cassation sur l’open data de la jurisprudence, confirme que la recommandation de 2001 de la CNIL n’a jamais été adaptée [15]. De notre propre point de vue, la recommandation de 2001 n’a jamais respecté la loi qu’elle est censée interpréter, distinguant là où la loi ne distingue pas. Cf notre billet Anonymisation des décisions de justice en ligne : la position de la CNIL de 2006 [16].

Pourtant, la mission Cadiet prend de facto position pour refuser l’application pleine et entière du RGPD, Au motif que « l’application de ces règles aux décisions de justice montre qu’il est quasiment impossible de satisfaire à ces conditions, sauf à retirer de la décision l’essentiel de son contenu et à porter atteinte à son intelligibilité et à sa motivation, exigences fondamentales du droit à un procès équitable » [17]. Tout au plus la mission accepte-t-elle d’appliquer les« règles spécifiquement établies par les articles 20 et 21 de la loi du 7 octobre 2016 pour une République numérique », c’est-à-dire selon toute probabilité une sorte d’étude d’impact [18].

Tout se passe comme si, puisque le RGPD contrarie l’open data, il fallait appliquer le RGPD sans toute sa rigueur — mais en appliquant quand même les articles 20 et 21 de la loi République numérique [19].

Si on tient à diffuser la jurisprudence, l’application littérale (i.e. à 100%) du RGPD est en effet irréaliste. De plus, le considérant 26 du RGPD précise : « Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement ». Comme le soutient Bruno Mathis sous notre billet L’open data des décisions des cours d’appel et tribunaux n’est pas pour demain, on peut voir là « non une anonymisation "au sens fort", mais un guide pour le responsable de l’analyse d’impact dans l’évaluation des risques, avec, en creux, l’admission que certaines personnes resteront identifiées ou identifiables ».

Mais le risque est aussi, ici, de voir apparaître une nouvelle version de la recommandation de la CNIL de 2001, qui en matière d’anonymisation distinguait là où la loi Informatique et libertés ne distingue pas.

Or, sans aller jusqu’à retirer toute information factuelle des décisions, il est possible d’aller bien plus au-delà de la pseudonymisation que ce que le rapport veut bien reconnaître. Au-delà, donc, du simple retrait des noms, prénoms, adresse, âge, relations de famille (fille, fils, père, mère de ... etc.) et professionnelles (employé, supérieur de ... etc.) et autres indications évidentes (numéro de CB, plaque minéralogique, référence de cadastre). Pour aller plus loin, comme maintes fois expliqué par les spécialistes et sur ce blog, il faudrait adapter la rédaction des décisions de justice dès le départ (certaines informations ne devraient plus figurer dans le texte même de la décision, mais dans une zone spéciale au début) et encadrer le reste avec des balises XML. À vérifier et compléter évidemment, ultérieurement, par toutes techniques efficaces (NLP/TAL par règles et/ou machine learning, relecture humaine).

Autre objection : le rapport justifie une application partielle du RGPD par un risque (évident, il faut le reconnaître, en l’état actuel des techniques) d’ « atteinte à [l’]intelligibilité et [la] motivation [des décisions de justice], exigences fondamentales du droit à un procès équitable ». Or il n’est pas question ici de la décision envoyée aux parties et à leurs avocats, seuls concernés par le droit à un procès équitable. Il est question de la *copie* de la décision destiné aux tiers, aux utilisateurs des bases de données de jurisprudence et au grand public. [20]. Il n’y a donc aucun risque d’atteinte au droit à un procès équitable.

Pour finir, notons que le projet de loi sur les données personnelles, en cours d’examen au Parlement et destiné à adapter le droit français au RGPD et faire des choix dans l’application de certaines dispositions [21] ne prévoit aucune action en responsabilité, notamment pas d’action de groupe, en cas de violation de la protection des données personnelles [22]. Seules des sanctions par la CNIL sont possibles.

Les propositions notables des groupes d’intérêts

A lire en annexes du rapport les positions des groupes d’intérêts. Elles sont parfois assez marquées :

  • ainsi la suppression des noms des magistrats a la cote. Toutefois, le Syndicat de la magistrature (SM, classé à gauche) ne demande pas l’anonymisation des noms des magistrats et sur ce sujet comme sur d’autres, le rapport ne tranche pas
  • la peur du profilage des magistrats est telle que le Conseil national des greffiers des tribunaux de commerce (CNGTC) estime « qu’il y a des risques réels à voir publier ces noms, notamment un risque de forum shopping. En analysant les jurisprudences bien établies, le risque de forum shopping par les sociétés est particulièrement fort en matière commerciale. » Le CNGTC va donc jusqu’à « se poser la question de savoir si, dans ces conditions, l’anonymisation ne doit pas concerner aussi les noms des juridictions » ! Et la Conférence nationale des présidents de TGI de proposer « d’exclure du champ de la mise à disposition les décisions rendues par un juge unique » ! (p. 51)
  • comme en 2016 au colloque sur l’open data organisé par la Cour de cassation [23], les éditeurs, par la voix du Syndicat national de l’édition (SNE), proposent de disposer des décisions non anonymisées, eux et les legal tech (p. 116) .... Ceci pour une utilisation interne destinée à améliorer leurs bases de données, sans pour autant, évidemment, laisser in fine les mentions nominatives. Ou les données publiques comme carburant des éditeurs et startups, fourni 1. par les pouvoirs publics, 2. gratuitement, 3. en temps de fortes restrictions budgétaires, 4. le tout grâce à un régime dérogatoire.

Les exceptions à la publicité des décisions : la liste complète

Enfin, dans les annexes du rapport Cadiet, on trouve une pépite [24] : des tableaux récapitulatifs complets des exceptions à la publicité des décisions : Annexe 1 – Tableau des dispositions établissant des exceptions à la publicité des décisions rendues en matière civile (p. 75) et Annexe 2 – Tableau des dispositions établissant des exceptions à l’accès et à la publicité des décisions rendues en matière pénale (p. 79). De quoi compléter notre article Se procurer la copie d’une décision de justice : les bases légales et un guide pratique.

Conclusion

En conclusion, le rapport Cadiet est à lire d’abord comme une sécurisation du rôle des cours suprêmes dans la production et la diffusion de la jurisprudence — qu’elle soit open data ou pas.

En n’abordant pas de front les exigences du RGPD ni les demandes des éditeurs et des startups, la mission Cadiet ne fait hélas que très modérément avancer le "schmilblick".

Et je ne parle même pas des besoins des utilisateurs des bases de données ni de ceux des anonymisés. En fait, tout le monde parle à leur place.

Emmanuel Barthe
documentaliste juridique, utilisateur de bases de données juridiques et usager de la justice française

À signaler les cinq commentaires suivant du rapport, qui peuvent sur certains points compléter ce billet (ou en diverger) :

Notes de bas de page

[1Rapport Cadiet : 20 recommandations sur l’open data des décisions de justice, par Arnaud Dumourrier, Le Monde du droit, 10 janvier 2018.

[2Une petite partie des arrêts de cours d’appel judiciaires (CA) est déjà en open data. Il s’agit de la base CAPP, ex-Juridice, extraite de la base Jurinet de la Cour de cassation. Une partie plus importante des arrêts des cours administratives d’appel (CAA) est également déjà en open data. Ce morceau fait partie de la base JADE.

[3Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JORF n° 235 du 8 octobre 2016 texte n° 1.

[6Projet de loi relatif à la protection des données personnelles, n° 490, déposé le 13 décembre 2017 à l’Assemblée nationale.

[7Texte intégral de l’amendement n° CL260 présenté par le Gouvernement :
« Article 7
_Rédiger ainsi l’alinéa 6 :
" 4° Le II est complété par des 9° et 10° ainsi rédigés : ".
II. – En conséquence, après l’alinéa 7, insérer un alinéa ainsi rédigé :
" 10° Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés aux articles L. 10 du code de justice administrative et L. 111‑13 du code de l’organisation judiciaire, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes concernées. "
Exposé sommaire :
Cet amendement a pour objet de compléter l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’autoriser la réutilisation des données sensibles dans le cadre de la mise à disposition du public à titre gratuit (open data) des décisions de justice prévu par la loi du 7 octobre 2016 pour une République numérique, à la condition que cette réutilisation n’aient ni pour objet ni pour effet de permettre la ré-identification des personnes. Une modification similaire est d’ores et déjà prévue pour les données d’infractions par l’article 11 du projet de loi.
Cet amendement répond à la recommandation n° 17 du rapport de la mission d’étude et de préfiguration sur l’ouverture au public des décisions de justice présidée par le Professeur Cadiet remis à la garde des sceaux le 10 janvier dernier. Il répond également à une préconisation figurant dans l’avis de la Commission nationale de l’informatique et des libertés sur le projet de loi. »

[8La crise des prisons est le résultat d’une justice sans argent, par Frédéric Peltier, Les Echos.fr, 25 janvier 2018. La phrase clé de ce point de vue : « L’Allemagne, la Grande-Bretagne, les Pays-Bas, la Suisse consacrent entre 0,3 et 0,35 % du PIB par habitant à la justice, la France moins de 0,2 %. » Ce point de vue d’un avocat fait référence au rapport thématique de la Cour des comptes, intitulé "La politique immobilière du ministère de la Justice : Mettre fin à la fuite en avant" (décembre 2017, 171 pages, PDF).

[10Du côté des juridictions administratives, peu ou pas de problème de sous-financement ni de sous-effectifs. Les juridictions administratives dépendent du Conseil d’Etat, un des corps les plus puissants, et ne rendent que 150 000 décisions par an.

[11Selon la Gazette du Palais, ils ne sont que 22 000 et « 1 400 postes [de greffiers] sont vacants » (Les personnels de greffes sortent de leur réserve, par Olivia Dufour, Gaz. Pal. 9 janvier 2018 p. 5). Rappelons que chaque année, la machine judiciaire traite 2,5 millions d’affaires ...

[12La mémoire numérique des décisions judiciaires : L’open data des décisions de justice de l’ordre judiciaire , par MM. Buat-Ménard et Giambiasi [tous deux magistrats et travaillant à l’époque au ministère de la Justice], Recueil Dalloz du 20 juillet 2017. Il s’agit d’une intervention de M. Buat-Ménard, préparée conjointement par les auteurs, le 9 mars 2017, lors de la journée d’étude consacrée à La mémoire numérique de la justice, co-organisée par la Sous-direction de la statistique et des études du ministère de la Justice et l’Institut des hautes études sur la justice [La mémoire numérique de la justice.
Cet article donne la position du ministère de la Justice à l’époque : anonymisation — forte — et non simple pseudonymisation (qu’on appelait anonymisation jusqu’à la publication du RGPD). Le nouvel objectif et critère promu par le RGPD est bien d’empêcher toute dé-anonymisation (ou ré-identification) en l’état actuel de la technique. Or on sait repersonnaliser des données bancaires ou hospitalières pseudonymisées. Il faut donc ne plus se limiter à la solution actuelle, où l’on remplace les noms par des lettres — solution anciennement dénommée anonymisation et qu’on appelle depuis le RGPD pseudonymisation.

[13Extrait de la contribution écrite de Mme Debet :
« Dans un arrêt du 6 octobre 2009 (C. C. c. Espagne, req. n° 1425/06), la CEDH ne décèle pas l’existence d’un " aspect primordial de l’intérêt public " (§ 33) qui justifiait " la publication de l’identité d’une personne en toutes lettres en rapport avec son état de santé dans un jugement ". Le retrait du nom du requérant au sein de la décision judiciaire – portant sur un litige opposant le requérant et sa compagnie d’assurance et révélant sa séropositivité – était possible selon le droit espagnol (limitation de l’accès à la décision par le greffe et possibilité de faire figurer uniquement les initiales de la partie dans le jugement).
En ce qui concerne les questions relatives à l’accessibilité au public de données à caractère personnel, la Cour reconnaît qu’il convient d’accorder aux autorités nationales compétentes une certaine latitude pour établir un juste équilibre entre la protection de la publicité des procédures judiciaires, nécessaire pour préserver la confiance dans les cours et tribunaux, d’une part, et celle des intérêts d’une partie ou d’une tierce personne à voir de telles données rester confidentielles, d’autre part. L’ampleur de la marge d’appréciation en la matière est fonction de facteurs tels que la nature et l’importance des intérêts en jeu et la gravité de l’ingérence. On peut, malgré cette marge d’appréciation, imaginer une condamnation de la CEDH sur le fondement d’une possible réidentification des personnes dans une décision contenant des données sensibles (en particulier des données de santé) non correctement anonymisées. »

[14Extrait de la contribution du professeur Debet, p. 182-183 :
« - Quelle doit être, au regard du cadre juridique national et européen, l’étendue de l’exigence d’« anonymisation » des décisions mises à la disposition du public, et selon quelles modalités celle-ci doit-elle être réalisée (personnes concernées, données personnelles concernées etc.) ? Selon quels principes et quelles méthodes apprécier le risque de ré-identification des personnes ? Selon quels moyens en assurer la maîtrise ?
L’anomymisation doit être conforme aux exigences posées par la loi informatique et libertés et par le RGPD. Le considérant 26 du texte définit les données anonymes comme les informations ne concernant pas une personne physique identifiée ou identifiable, (…) les données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Il ne doit pas s’agir d’une simple pseudonymisation, définie par le RGPD comme " le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable " (article 4, 5 RGPD) dont la fonction est de réduire les risques pour les personnes concernées et d’aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données.
Sur la question des procédés d’anonymisation, il est renvoyé à un auteur [Natalie Métallinos) développant ce point précis et affirmant qu’il " apparaît pour le moins possible d’améliorer considérablement les procédés d’anonymisation actuellement utilisés, tant sur le plan de la méthode que par le recours à des moyens automatisés. Les travaux de recherche196 ont déjà mis en évidence les critères permettant de bâtir une méthodologie. Plusieurs pistes semblent envisageables : la mise en place d’arbres décisionnels qui aboutissent à la mise en données ouvertes, le respect des règles de publicité, le calcul automatisé des scores de sensibilité des données (…). Cette automatisation devant permettre une remontée d’alertes sur les cas où une intervention humaine est nécessaire pour indexer de manière appropriée la décision et occulter certaines parties ". Cette amélioration a néanmoins un coût et un budget conséquent doit y être consacré. »

[15Pour citer le professeur Debet dans le rapport Cadiet :
« La CNIL s’est contentée d’une "anonymisation" qui n’en était pas une, même pour les bases en accès libre, semblant considérer que, à partir du moment où le nom des personnes disparaissait, la loi Informatique et libertés n’avait pas à s’appliquer. Or, les données figurant dans les décisions de justice peuvent être des données à caractère personnel, quand bien même les nom et prénoms de la personne n’y figureraient plus et enlever les nom et prénoms des personnes ne constitue pas une réelle "anonymisation" au sens de la loi Informatique et libertés et du RGPD. Des milliers d’exemples de cette possibilité de ré-identification peuvent être trouvés dans les bases de données jurisprudentielles, ce qui montre la difficulté de l’anonymisation des jugements. Il ne semble donc pas possible de maintenir la position de la CNIL en date de 2001. La CNIL semble, elle-même, avoir évolué sur le sujet.
S’agissant des bases de données de jurisprudence, dans un « caveat » élaboré par la DILA, Etalab et la CNIL, le cadre juridique applicable à la réutilisation de ces jeux de données a d’ailleurs été précisé. Ce "caveat" rappelle en particulier aux réutilisateurs que, dès lors qu’un jeu de données a fait l’objet d’une anonymisation totale ou partielle (ex. : remplacement du nom et du prénom par des lettres), la réutilisation, notamment dans le cadre de croisements de données, ne peut avoir ni pour objet ni pour effet de réidentifier les personnes. »

[16Circonstance explicative mais non atténuante : à l’époque, le coût de l’anonymisation des bases de données était plus élevé qu’aujourd’hui et les techniques moins au point. Pour autant, les éditeurs, qui se portaient financièrement très bien, en avaient les moyens, surtout en s’y mettant progressivement. In fine, ils se sont mis à anonymiser "leurs" décisions — les juridictions suprêmes faisant le reste.

[17Extrait du rapport p. 36 :
« L’anonymisation d’une décision de justice suppose donc de garantir, au regard des moyens susceptibles d’être employés – en l’état actuel des technologies mais, surtout, en tenant compte des perspectives technologiques futures – que les personnes concernées par les décisions ne soient plus susceptibles d’être identifiées directement ou indirectement, selon un processus qui empêche cette identification de manière irréversible. Or, l’application de ces règles aux décisions de justice montre qu’il est quasiment impossible de satisfaire à ces conditions, sauf à retirer de la décision l’essentiel de son contenu et à porter atteinte à son intelligibilité et à sa motivation, exigences fondamentales du droit à un procès équitable. Les décisions de justice sont en effet des documents comportant des éléments de texte très construits. Elles contiennent un nombre très important de données réidentifiantes, particulièrement au sein de la motivation de la décision, qui comprend de nombreux éléments de contexte pouvant conduire, notamment par des croisements avec d’autres bases de données, à une réidentification des personnes.
Si la pseudonymisation des décisions de justice semble être, en l’état actuel, la seule solution techniquement envisageable dans le cadre de la diffusion au public, les modalités de sa mise en œuvre doivent être repensées afin d’assurer la conformité du dispositif d’ouverture des décisions avec le nouveau cadre issu des règles spécifiquement établies par les articles 20 et 21 de la loi du 7 octobre 2016 pour une République numérique et les dispositions générales de protection des données à caractère personnel. »

[18Extrait de l’article 21 de la loi Lemaire : « Cette mise à disposition du public est précédée d’une analyse du risque de ré-identification des personnes. »

[19L’amendement introduit par le Sénat aux articles 20 et 21 de la loi, qui exige une analyse des risques, est interprété par plusieurs acteurs comme une référence implicite au RGPD déjà publié. Ce n’est pas évident, surtout si l’on considère que le Sénat était (et reste) opposé au développement de l’open data. Cet amendement, à l’époque, fut interprété par beaucoup comme une tentaitive du Sénat de freiner l’open data des décisions de justice.

[20De toute façon, celle-ci, si on travaillait comme évoqué au paragraphe précédent, serait différente de la "grosse" (la version originale de la décision).

[21Le RGPD, compte tenu de l’ampleur du domaine concerné, ainsi que de la longueur des négociations, a laissé un grand nombre – plus d’une cinquantaine – de marges de manœuvre aux États membres pour faire des choix dans l’application de certaines dispositions.

[22Rapport d’information AN n° 577 du 18 janvier 2018 portant observations sur le projet de loi relatif à la protection des données personnelles, présenté par Christine Hennion. Extrait :
« Les représentants de l’association UFC-Que Choisir ont expliqué à votre rapporteure le caractère crucial d’une telle action de groupe, et militent pour l’adjonction d’un préjudice moral en cas de violation de la protection des données personnelles. En effet, « dès lors que les critères de mise en application de l’action de groupe sont définis de manière très stricte, une simple action de groupe en cessation, telle qu’elle est inscrite aujourd’hui dans la loi, ne sert à rien. »
Cet ensemble laisse craindre à votre rapporteure une certaine inégalité dans les droits auxquels peuvent prétendre les citoyens européens au titre du RGPD. Elle regrette donc fortement le fait que le gouvernement n’ait pas profité de la révision de la loi n° 78-17 pour introduire une action de groupe en responsabilité, comme l’y autorise l’article 80.1 du règlement.
Votre rapporteure regrette également que le Gouvernement n’ait pas saisi l’opportunité offerte par l’article 80.1 du règlement pour adapter le droit existant. L’actuel article 43 ter de la loi n° 78-17 permet certes un droit de recours contre un responsable de traitement tel qu’il est inscrit à l’article 79 du règlement, mais sans mise en cause de la responsabilité, et n’introduit aucune possibilité de recours en responsabilité à l’égard de l’autorité publique de contrôle. De même, aucun organisme agréé ne peut introduire de réclamation au sens de l’article 77 du règlement. »

[23L’édition juridique et la diffusion du droit : La problématique particulière de la diffusion de la jurisprudence, in La jurisprudence dans le mouvement de l’open data : Actes du colloque à la Cour de cassation, 14 octobre 2016, supplément au n° 9, 27 février 2017, p. 92.

[24Signalée par Michael Benesty, créateur de l’application de justice dite "prédictive" Supra Legem, sur son compte Twitter @pommedeterre33, parmi ses réactions au rapport Cadiet.

[25Open data jurisprudentiel : 20 recommandations… et tout à faire, par rédaction Lextenso, Lartigue Miren, Gazette du Palais n° 2, 16 janv. 2018, p. 5.

Répondre à cet article