Cet amendement complète l’article 8 de la loi informatique et liberté qui définit les catégories de données personnelles qui doivent faire l’objet des garanties de protection les plus élevées : les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle.

Des données provenant de traitements issus de ces données sensibles sont mises à la disposition du public en open data après avoir pris la forme de statistiques agrégées ou de données individuelles anonymisées.

Cet amendement vise à prévoit que les données issues de traitements de ces données personnelles ne pourront être mises à disposition du public qu’après application de procédés d’anonymisation complète déclarés conformes par la Commission nationale de l’informatique et des libertés (CNIL).

Il s’agit d’établir une obligation de résultat pour l’organisme qui traite les données préalablement à leur mise à disposition : il devra prouver que sa méthode est conforme à une méthode de désidentification rendant effectivement impossible la réidentification des personnes en croisant les données fournies en open data avec d’autres données.

Ces procédés pourront soit relever d’une méthodologie générale promue par la CNIL, soit relever d’une méthodologie particulière à la catégorie de traitement ou au traitement concerné.

Cette exigence s’appliquera donc également aux données du système national des données de santé mise à la disposition du public en open data.

Il a par ailleurs été précisé à l’article L. 1461‑2 que ces données anonymisées ne peuvent être utilisées d’une manière qui a pour objet ou pour effet de réidentifier les personnes concernées : les procédés d’anonymisation reconnus conformes par la CNIL fourniront en effet des garanties importantes au regard des données disponibles et des perspectives raisonnables d’évolution du contexte des données disponibles en open data, mais le caractère très évolutif de ce contexte présente le risque de rendre certaines données issues de l’open data réidentifiantes à terme. L’utilisation est dans ce cas interdite, et le rattachement à une compétence de la CNIL, opérée par le présent amendement, permettra d’appliquer les sanctions prévues par la loi.