Le 30 mars dernier, l’Association des Archivistes de France (AAF) organisait aux Archives nationales une journée d’études sur le thème :«Open Data et protection des données personnelles : où en sommes-nous ?». J’avais été invité lors d’une première partie à faire un point sur le cadre légal de l’ouverture des données publiques (voir la vidéo à la fin de ce billet), mais c’est surtout la seconde partie de cet événement qui a retenu mon attention, notamment une table-ronde consacrée aux conséquences de l’entrée en vigueur du RGPD (Règlement Général de Protection des Données) sur les activités d’archivage.
Je vous recommande en particulier l’intervention de Bruno Ricard du SIAF qui a fait un point détaillé sur les tensions entre la logique du RGPD et les principes de fonctionnement des archives, à travers la question de l’équilibre entre droit à l’oubli et droit à la mémoire.
Un risque d’amnésie collective ?
Il faut en effet savoir que les archivistes ont dû batailler durant tout le processus d’adoption du RGPD au niveau européen pour faire en sorte que certains de ses principes ne s’appliquent pas aux archives publiques, une fois qu’elles sont devenues définitives. En effet, le règlement consacre au profit des individus une série de droits, comme le droit d’opposition, le droit à la rectification ou le droit à l’effacement (appelé aussi « droit à l’oubli » dans le langage courant, à ne pas confondre avec le droit au déférencement par les moteurs de recherche), qui sont susceptibles d’avoir des effets contre-productifs s’ils sont appliqués aux archives définitives. Le propre des documents d’archives est en effet d’avoir une « valeur authentique », notamment pour établir des preuves en vue du bénéfice de droits, et les services d’archives conservent aussi les sources qui permettent aux historiens de travailler.
Autoriser les individus à faire jouer leur droit à l’effacement reviendrait à leur permettre de disparaître des documents d’archives et le droit à la rectification leur ouvrirait la possibilité de demander aux services de procéder à des modifications sur des documents qui étaient jusqu’alors conservés dans leur intégrité. Par définition, des documents d’archives définitives comportent en effet généralement des inexactitudes, puisqu’ils ne sont plus actualisés, et il est possible que des erreurs aient été commises par les administrations dès l’origine, mais elles ont alors une valeur historique en tant que telle et demander leur suppression reviendrait dans une certaine mesure à « refaire l’histoire ».
C’est pour éviter de telles conséquences que la profession des archivistes a demandé à pouvoir bénéficier de dérogations spéciales, lorsque des traitements de données à caractère personnel sont réalisées « à des fins archivistiques d’intérêt public » ou « à des fins de recherche scientifique, historique ou statistique ». En 2013, l’AAF était intervenue dans le débat public pour faire valoir ces revendications en mettant en avant un risque « d’amnésie collective » :
S’il est évident que la réutilisation des informations personnelles à l’insu des citoyens et à des fins commerciales, qui est largement facilitée par les techniques informatiques, doit être combattue par tous les moyens, la destruction systématique de ces données ou leur anonymisation pour éviter des dérives revient en revanche à jeter le bébé avec l’eau du bain. Comme si, plutôt que de renforcer l’action des services d’archives qui assurent déjà une conservation sécurisée de notre patrimoine et l’accès à celui-ci dans des conditions respectueuses des libertés individuelles, l’Europe, pour notre bien, nous imposait une amnésie collective.
Quelles dérogations pour les services d’archives ?
Non sans mal, les archivistes ont réussi à obtenir gain de cause lors des négociations avec les autorités européennes, sans pour autant que ces dérogations soient inscrites « dans le dur » du RGPD. Le texte prévoit seulement la possibilité pour les Etats d’implémenter au niveau national de telles dérogations, à charge pour eux d’adopter des dispositions législatives en ce sens. C’est d’ailleurs ce qui est en train de se passer en France, avec la loi sur la protection des données personnelles que le Parlement est en train de finir d’adopter pour mettre en conformité le droit interne avec le RGPD.
Celle-ci contient un article consacré aux archives publiques, formulé comme suit :
Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public […], les droits visés aux articles 15 [accès], 16 [rectification], 18 [limitation du traitement], 19 [notification], 20 [portabilité] et 21 [opposition] du règlement (UE) 2016/679 ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.
Il faut noter que ces dérogations n’ont pu être obtenues que de haute lutte et de justesse, puisque le Sénat notamment avait introduit dans le texte initial des amendements qui auraient pu rétablir le droit à la rectification sur les documents d’archives.
Droit à la mémoire et solidarité inter-générationnelle
Lors de son intervention, Bruno Ricard a fait un commentaire de cette évolution qui m’a paru très intéressant. Il a en effet expliqué qu’avant l’adoption du RGPD, c’était un « droit à la mémoire » qui prévalait de manière implicite, dans la mesure où il était inhérent à la mission des services d’archives de pouvoir traiter des données à caractère personnel afin de constituer des archives définitives. Une conciliation avec les droits des individus s’opérait par le biais des délais de communication des différentes catégories de documents fixés par le Code du Patrimoine, mais on pouvait bien dire que le « droit à la mémoire » s’appliquait comme un principe général.
Avec le RGPD, c’est à présent le droit à l’oubli qui est devenu le principe, tandis que le droit à la mémoire n’est plus qu’une exception, reposant sur de simples dérogations que les Etats-membres de l’Union peuvent choisir d’implémenter ou non. Or pour Bruno Ricard, cette inversion entre le principe et l’exception traduit le fait que le droit fait à présent primer l’intérêt des personnes vivantes par rapport à celui des générations futures, à qui sont transmis les documents d’archives définitives pour qu’elles puissent accomplir leur « travail de mémoire ».
Cette manière de présenter les choses me paraît faire résonance avec l’idée d’un « droit social des données » que j’essaie de creuser depuis le début de l’année sur ce blog. En effet, le « droit à la mémoire » est en réalité la manifestation d’une solidarité inter-générationnelle : on admet que les droits des individus à un instant t puissent être limités dans une certaine mesure afin de préserver les droits des générations futures. Ici cette solidarité joue pour l’avenir, alors que pour d’autres types de droits sociaux, comme le droit à la retraite par exemple, la solidarité s’exerce dans l’autre sens, dans la mesure où les cotisations versées par la génération présente servent à payer les retraites de la génération précédente. D’autres droits sociaux (assurance-chômage, assurance-maladie) manifestent de leur côté une solidarité intra-générationnelle par le le biais d’une mutualisation des risques.
Les tensions qui ont éclaté lors de l’adoption du RGPD à propos des archives publiques témoignent aussi de l’opposition entre les droits individuels et les droits collectifs. Le « droit à la mémoire » a en effet une nature collective puisqu’il est le droit d’une société à se souvenir de son passé, tandis que le « droit à l’oubli » du RGPD est un droit individuel destiné à protéger la vie privée. Comme j’ai eu l’occasion de l’exprimer plusieurs fois sur ce blog, le droit des données personnelles est marqué par un « paradigme individualiste » que le RGPD va tendre encore à renforcer. Il n’est donc pas très surprenant que ce texte fasse primer les droits individuels sur les droits collectifs, en réduisant ces derniers à de simples dérogations à un principe général.
Dimension collective des données
Néanmoins, le fait même que des dérogations au bénéfice des archives restent encore possibles et qu’elles aient pu être mises en oeuvre au niveau français constitue aussi la manifestation d’une autre « lecture » possible du droit des données personnelles. Le « droit à la mémoire » que la loi française admet fait à mon sens partie ce que que l’on peut appeler une forme de « protection sociale des données » et c’est aussi une reconnaissance indirecte de la dimension collective des données à caractère personnel, basée sur un principe de solidarité.
Il faut ici entendre le mot « solidarité » au sens fort du terme, comme la capacité d’une société à « tenir ensemble » et à maintenir sa cohésion dans le temps, en dépit du jeu des forces de désintégration qui la travaillent constamment. Comme l’explique bien Olivier Ertzscheid sur son blog, nous vivons aujourd’hui dans un contexte où la manipulation des documents sous forme numérique est devenue si aisée que nous avons plus que jamais besoin de faire contrepoids en nous dotant de moyens d’arriver à « authentifier » des documents et à les conserver dans une forme stable sur le long terme :
Que perdons-nous lorsque la valeur de preuve des documents en circulation dans une société s’effondre un peu comme s’effondreraient subitement des valeurs boursières ? Nous perdons la capacité de faire société. Ou à tout le moins la capacité de faire société autrement que sur des valeurs oscillant au mieux entre suspicions caractérisées et spéculations infondées. S’il est de plus en plus difficile de « croire » l’autre, s’il est donc de plus en plus délicat de lui accorder sa « confiance », si nous ne sommes plus capables que d’accorder une valeur de preuve à des documents en fonction de l’espace numérique dans lequel ils sont échangés, alors nous perdons la capacité de faire histoire commune, mémoire commune, société commune. Et alors le pire devient possible.
Le droit à l’oubli n’est bien entendu pas illégitime en lui-même, mais sa portée doit être limitée pour que les archives définitives puissent rester ce « Commun de mémoire » qu’elles ont toujours été et qu’elles conservent ce rôle pour les documents numériques natifs.
***
Voici par ailleurs ci-dessous la vidéo de l’intervention que j’ai faite lors de cette journée d’études à propos du cadre juridique de l’Open Data en France, avec un focus particulier sur l’ouverture des données culturelles :
- S.I.Lex - 
D’accord sur le droit à l’oubli, mais pour les les droits visés aux articles 15 [accès], 16 [rectification], 19 [notification], , surtout 16 [rectification] par annotation – c’est un plus pour les archives et le mémoire commune plutôt que un perte.
Cela peut se discuter. Bruno Ricard explique en effet que le droit à la rectification peut s’exercer de deux façons différentes : soit par modification directe du document original, avec altération de celui-ci ; soit par ajout d’une annotation. La chose existe déjà d’ailleurs pour l’état civil, sur lequel des mentions marginales peuvent être ajoutées. Mais cette modification est très encadrée, avec intervention même du juge pour « certifier » la nécessité de modifier l’information.
Or visiblement, c’est ce qui manquerait si le droit à la rectification était implémenté tel qu’il figure dans le RGPD. Qui serait alors « juge de la vérité » ?
Doit-on faire de celle-ci un « droit subjectif » de l’individu ou ce droit doit-il être mis en œuvre comme un intérêt objectif social à ce que l’information soit exacte ?
C’est à mon sens un élément important dans le débat et je peux comprendre que faute de garantie procédurale adéquate, les archivistes aient préféré demandé une dérogation au droit à la rectification.
Calimaq
D’accord que le mis en pratique est plus difficile que le principe; mais avec le numérique c’est un peu plus facile.
1) Ici en parle de la droit individuelle (ou ses descendants ?) avec le RGPD.
2) Le question de ‘ juge de la vérité’ se pose déjà pour les archives
3) Le même question se pose pour le ‘peer review’ dans le domaine scientifique
4) Annotations peut être ‘validé’ pars des juges ou des ‘peers’
A reblogué ceci sur AWBC blog.
Bonjour
Ce qui m’étonne le plus c’est qu’il n’y ait pas un droit à l’incommunicabilité ou la non-communication des données. (au moins de son vivant)
Parce que là, si on peut tout modifier en permanence, on est en plein dans 1984 de Orwell.
Avec toutes les conséquences que ça peut avoir.
La protection des données, c’est avant tout pouvoir choisir à qui on veut les communiquer, ou pas. Non ?
B. Majour
Il y a bien un droit à la non-communication des données dans le RGPD, matérialisé par le consentement individuel « libre et éclairé » (qui implique donc a contrario le droit de ne pas consentir). Et il existe aussi un droit d’opposition à un traitement de données.
Mais vis-à-vis de l’Etat, les choses sont plus compliquées, car le consentement n’est pas la seule base sur laquelle un traitement de données puisse s’opérer. Et cela se comprend bien, car par exemple, les services des impôts ont nécessairement besoin de collecter des données personnelles pour pouvoir remplir leur mission, et on n’imagine pas alors que l’individu puisse ne pas consentir ou s’opposer.
Du coup, le RGPD prévoit les traitements puissent aussi être valides s’ils s’effectuent dans le cadre d’une mission d’intérêt public.
Et ce sont ces informations personnelles, inscrites dans des documents administratifs, qui deviennent ensuite des archives publiques.
Donc non, on ne peut imaginer un système où la protection des données serait basée uniquement sur le choix individuel, comme le montre cet exemple.
Car il est légitime dans certains cas que les administrations puissent collecter des données personnelles sans consentement et tout aussi légitime ensuite que les services d’archives donnent accès à ces données au nom du « droit à la mémoire ».
Toute la question cependant est de manier avec précaution la notion de « mission d’intérêt public » pour ne pas qu’elle devienne un cheval de Troie dans le RGPD, ce qui est aussi un risque…
Bonjour,
Je me permets de compléter le débat sur la question de la communication des informations du vivant de la personne.
Le droit des données personnelles, issu du RGPD et de la loi Informatique et Libertés, n’est en effet pas le seul droit à prendre en compte ici : le code des relations entre le public et l’administration, articulé avec le code du patrimoine, prévoit l’interdiction de communiquer les informations produites par l’administration pendant une période adaptée à la confidentialité de ces informations (jusqu’à 120 ans pour les informations relatives à la santé). Les informations conservées par les services d’archives sont donc bien protégées sur un temps assez long.
Mais il est vrai que ce n’est pas la personne concernée par les informations qui décide de leur communication.
Merci Anonyme, c’est bien à ça que je pensais, aux archives et aussi au secret médical.
Mais vis-à-vis de l’Etat, les choses sont plus compliquées,
Bien sûr. Rien qu’en période d’impôts, je vois déjà tout l’avantage de ne plus consentir à apparaître dans la base de données des impôts ! :-)
Idem avec un gendarme qui verbalise.
Le consentement éclairé n’est pas suffisant à mon goût… parce qu’on n’a pas toujours le choix.
(rien que pour utiliser un service, on n’a pas le choix, sauf celui de ne pas s’en servir)
Et, en général, avec les administrations, on n’a pas le choix.
Pour respecter la loi, il faut en passer par elles..
Par contre, on devrait avoir le choix de permettre ou d’interdire le transfert des données entre les administrations, ou même la revente à des tiers extérieurs. Données anonymisées ou pas.
Pour éviter la centralisation et le recoupage d’informations.
Consentir au traitement, soit, bien obligé, mais interdire la communication des données hors des nécessités du traitement, ça me semble légitime.
Parce que le consentement « éclairé », on l’a déjà quand on accepte les CGU des sites, ou quand on valide une licence de logiciel… sans vraiment savoir à quoi on s’engage réellement.
Car qui lit vraiment toutes les lignes ?
Qui comprend tout ce que ça implique pour ses données personnelles ?
Pouvoir refuser de communiquer ses données à tiers, ça simplifierait bien les choses.
Comme ça simplifie le travail des archivistes sur les données personnelles, ou même en mairie.
B. Majour
En fait, c’est déjà le cas et cela découle du principe de finalité qui conditionne la légalité des traitements de données personnelles.
On ne peut collecter des données que pour une finalité déterminée et il est interdit en principe de changer de finalité de traitement cours de route, ce qui exclut aussi que l’on puisse transférer des données à un tiers, sans recueillir à nouveau le consentement des personnes concernées.
C’est d’ailleurs une question au cœur du scandale Cambridge Analytica, car les données ont été collectées initialement dans le cadre d’un projet de « recherche » pour être ensuite transférées à une société.
Pour les archives, c’est d’ailleurs une question centrale, car les données collectées par les administrations pour des finalités déterminées deviennent ensuite des archives et les données sont donc utilisées à des fins archivistiques. Il y a donc changement de finalité, mais il est licite, car c’est la loi qui le permet au nom de l’intérêt général (et de ce fameux droit collectif à la mémoire dont je parle dans le billet).
Après, je pense qu’il est légitime que les administrations puissent collecter des données sans que les individus puissent s’y opposer, lorsque c’est nécessaire à la réalisation de finalités d’intérêt public. C’est d’ailleurs ce que prévoit le RGPD.
La question est qu’ensuite elles traitement ces données dans le respect des droits fondamentaux des individus.