Données issues des diagnostics de repérage de l'amiante dans les bâtiments et du suivi de la mise en œuvre de la réglementation relative à l'amiante
Le contexte
Afin de suivre la mise en œuvre de la réglementation relative à l'amiante dans les bâtiments, la DDT alimente une base de données qui répertorie les résultats des diagnostics de repérage réalisés dans les locaux du département, les noms et coordonnées des propriétaires et gestionnaires de ces locaux, les obligations qui s'imposent à eux au vu des résultats des diagnostics et les actions menées par la DDT pour inciter ou contraindre à l'application de la réglementation (courriers d'information, courriers de relance, procès-verbaux...).
Dans la mesure où il implique des informations relatives aux infractions constatées ou présumées de personnes physiques, ce traitement fait l'objet d'une analyse d'impact pour la protection des données personnelles et d'une autorisation ministérielle sur avis de la CNIL.
Les résultats des diagnostics, ainsi que les éléments relatifs aux mesures prises par les propriétaires (réalisation ou non de leurs obligations), sont par ailleurs des « informations relatives à l'environnement » au sens de l'article L.124-2[1] du Code de l'environnement. Au titre de l'annexe III-7 de la directive INSPIRE[2] (« Installations de suivi environnemental »), elles font partie des séries de données géographiques visées par l'article L.127-1[3] du Code de l'environnement. De plus, il s'agit d'« informations concernant les émissions de substances dans l'environnement » au sens des articles L.124-5[1] et L.127-6[4] du Code de l'environnement.
Dans cette base de données, la dissociation complète des informations environnementales et des informations à caractère personnel est impossible. En effet, la localisation précise des locaux dans lesquels des matériaux amiantés ont été repérés est une information essentielle pour évaluer l'exposition des personnes, sans laquelle la donnée n'aurait aucune valeur. C'est aussi une information à caractère personnel, qui permet indirectement de retrouver l'identité du propriétaire ou gestionnaire contrevenant (ou susceptible d'avoir contrevenu) à la réglementation. Par ailleurs, la nature et l'état de conservation des matériaux amiantés identifiés est une information nécessaire pour qualifier l'ampleur du risque pour la santé, mais la seule présence de certains matériaux dans certains états suggère que le propriétaire est en infraction au regard du Code de la santé publique, qui l'obligerait à procéder à des travaux de retrait ou confinement.
Question et réponses
La présence de données à caractère personnel constitue-t-elle un obstacle à la diffusion en opendata ?
Pour le Code des relations entre le public et l'administration, une base de données contenant des informations à caractère personnel ne peut être diffusée qu'après occultation de ces informations (article L312-1-2[5]), sauf dispositions législatives contraires.
Parallèlement, l'article L127-4[4] du Code de l'environnement prévoit la mise à disposition sur internet de toutes les séries de données géographiques relatives à des thèmes listés par les annexes de la directive INSPIRE[2], via des services de recherche, consultation et téléchargement. Des exceptions sont prévues par l'article L127-6[4], mais – pour des informations concernant les émissions de substances dans l'environnement telles les données sur l'amiante – elles sont restreintes aux cas où un accès libre sur internet serait susceptible de porter atteinte à l'un des intérêts listés au II de l'article L.124-5[1], à savoir :
à la conduite de la politique extérieure de la France, à la sécurité publique ou à la défense nationale ;
au déroulement des procédures juridictionnelles ou à la recherche d'infractions pouvant donner lieu à des sanctions pénales ;
à des droits de propriété intellectuelle.
Ainsi, au regard du Code de l'environnement, la présence de données à caractère personnel, quelle que soit leur sensibilité, ne peut pas être invoquée pour justifier la non diffusion des données. Dans la mesure où les dispositions législatives du Code de l'environnement le contredisent, l'article L312-1-2[5] du Code des relations entre le public et l'administration ne s'applique pas.
Comment la DDT doit-elle procéder pour concilier la publication en opendata et la protection des données personnelles ?
L'obligation de publication n'interdit pas d'expurger une partie des informations à caractère personnel présentes dans la base de données, tant que cela n'a pas pour effet d'altérer ou réduire la valeur de l'information environnementale. Plus précisément, l'exception à l'article L312-1-2[5] du Code des relations entre le public et l'administration ne s'applique pas à la totalité de la base de données, mais uniquement à la part de cette base qui concerne les émissions de substance dans l'environnement.
Dans leur projet commun de Guide pratique de la publication en ligne et de la réutilisation des données publiques, tel que publié le 21 février 2019 dans le cadre d'une consultation en ligne, la CNIL et la CADA l'expliquent en ces termes : « Cette réserve doit être interprétée en ce sens que, sauf lorsqu'une disposition législative prévoit qu'un document est rendu public dans son intégralité, l'administration est tenue de procéder à l'anonymisation du document. Il convient d'apprécier, au cas par cas, eu égard à la disposition législative en cause, et le cas échéant de la directive dont elle assure la transposition, si l'intention du législateur a été, ou non, de lever le secret »
(page 15).
En pratique, il sera attendu de la DDT que, préalablement à toute publication, elle retire de la base les noms et coordonnées des propriétaires et gestionnaires identifiables en tant que personnes physiques, les informations relatives aux échanges entre l'administration et ces personnes, les procès-verbaux d'infraction et les éléments relatifs aux suites judiciaires des dossiers. Seront conservées les informations relatives aux émissions de substance, c'est-à-dire la localisation des locaux considérés, les résultats des diagnostics de repérage de matériaux amiantés et des mesures d'empoussièrement, ainsi que les éléments connus sur les mesures de retrait ou de confinement mises en œuvre.
Il doit être souligné que les données publiées à l'issue de l'anonymisation resteront des données à caractère personnel relatives aux infractions, dont la réutilisation sera très fortement encadrée par le règlement européen pour la protection des données personnelles.