Du nouveau sur le front des data. Un rapport et des faits. On apprend tout d’abord qu’Oracle a trouvé un nouveau moyen de financement : vendre des données. En toute transparence, éthique, philanthropie.

source.

Le 9 juillet, la commission Open Data en santé qui s’est réunie (huit fois) de novembre 2013 à mai 2014, avait pour mission de débattre, dans un cadre pluraliste associant les parties prenantes, des enjeux et des propositions en matière d’accès aux données de santé a remis son rapport à Marisol Touraine. Vous pouvez le télécharger ici. On y apprend que la ministre souhaite accélérer le développement de l’Open-Data en santé :

• en mettant en place une gouvernance propre et un accès sécurisé pour les données individuelles de l’Assurance maladie demandées à des fins de recherche ou d’étude : les principes de cette gouvernance seront inscrits dans le projet de loi de santé que la ministre présentera en Conseil des ministres en septembre 2014 ;
• en s’assurant que les enquêtes et les recherches financées sur fonds publics prévoient, dès leur conception, l’ouverture des données anonymes en vue d’une mise à disposition en Open-Data ;
• en mettant à la disposition de tous, gratuitement, sans restriction et de façon détaillée, les données publiques de santé, par ailleurs strictement anonymisées dans un souci de protection de la vie privée.

J’aime beaucoup le « strictement anonymisées », ce qui signifie que des anonymisations ne sont pas strictes. Mal faites, quoi ?

Ceci dit, on notera d’emblée que, si le choix a été fait de baptiser cette commission «open data », le périmètre de sa réflexion n’était pas cantonné aux données en open data, mais portait sur l’ensemble des données de santé anonymes et désidentifiées, y compris donc celles qui présentent un risque de réidentification des patients, ainsi que sur les données nominatives des professionnels et établissements de santé.

Il débute par une salutaire clarification L’Open Data désigne l’ouverture et le partage de données par leur mise en ligne dans des formats ouverts, en autorisant la réutilisation libre et gratuite par toute personne. Les données ouvertes peuvent être utilisées par une organisation publique ou privée, pour des fins différentes de celles ayant motivé la création des données. Les modalités de mise à disposition doivent respecter le principe de la plus grande liberté de réutilisation des données publiques, en évitant le plus possible les contraintes d’ordre technique, financier, juridique ou autre.
Ce qui est croquignolet à ce niveau, c’est que le rapport précise un peu plus loin que la loi informatique et libertés autorise la réutilisation sous certaines conditions, notamment de finalité et de proportionnalité des données recueillies pour la mise en œuvre d’un traitement (et après accord de la Cnil). Elle reconnaît aux personnes dont les données font l’objet d’un traitement un droit d’information préalable, un droit d’opposition, un droit d’accès à ces données ainsi qu’un droit de rectification de celles-ci. Je ne comprends pas comment on peut concilier ces obligations légales avec l’autorisation du changement de finalité d’utilisation des données collectées et avec l’anonymisation des données. Et comment puis-je avoir accès à mes données et les rectifier si elles ont été anonymisées ?

Remarquons cependant que le droit d’accès est très relatif. Le droit d’accès et de réutilisation des données publiques concerne les textes, mémorandums, documents, tableaux ou statistiques produits par l’administration dans le cadre d’une mission de service public.

Autre définition intéressante : Les jeux de données réidentifiantes sont des ensembles de données désidentifiées (ne comportant donc pas de nom, d’adresse, ni de NIR) mais permettant d’identifier la personne dès lors que l’on dispose par ailleurs d’informations sur cette personne qui figurent dans le jeu de données et qui, prises ensemble, lui sont propres (par exemple un parcours de soins, des dates d’hospitalisation, un code postal, un âge…) Et plus loin La communauté des chercheurs est particulièrement intéressée par la possibilité d’avoir accès à des données porteuses de risque de ré-identification dans la mesure où, par définition, ces données individuelles permettent d’effectuer les traitements statistiques les plus précis et les plus puissants. Il ressort des travaux menés sur l’analyse du risque de réidentification qu’au-delà des données clairement anonymes, il existe une zone grise pour laquelle il est d’autant moins possible de se prononcer sur l’absence de risque de réidentification que l’on ne connaît pas, par exemple, les autres données disponibles entre les mains des tiers. Bon constat, mais quelles conclusions ?

Et pour superviser tout cela, un nouveau poste vient d’être créée : celui d’administrateur général des données de l’Etat. Sa mission sera la suivante : L’administrateur général des données coordonne l’action des administrations en matière d’inventaire, de gouvernance, de production, de circulation et d’exploitation des données par les administrations. Il organise, dans le respect de la protection des données personnelles et des secrets protégés par la loi, la meilleure exploitation de ces données et leur plus large circulation, notamment aux fins d’évaluation des politiques publiques, d’amélioration et de transparence de l’action publique et de stimulation de la recherche et de l’innovation.

L’article 5 de ce décret du 16/09/2014 est intéressant : L’administrateur général des données propose au Premier ministre, après concertation avec les ministres concernés, la position française en matière de données défendue dans les négociations internationales ou auprès des institutions européennes et des organisations internationales. Ce qui laisse penser qu’on devrait bientôt savoir quel est le régime juridique des données personnelles. Et tous les ans, il devra commettre rapport…

Pendant ce temps, une déclaration des droits de l’Homme numérique apparaît. Parmi ses articles, les données personnelles en particulier numériques de tout être humain traduisent ses valeurs culturelles et sa vie privée. Elles ne peuvent être réduites à une marchandise. Belle intention, mais si l’accès aux données est gratuit, sont-elles encore considérées comme une marchandise ?