MCG #17 Le secteur public est-il paré pour accueillir la donnée personnelle ? (interview)
Paul Moussier est un juriste au carrefour entre droit public et droit du numérique. DPO dans le secteur public, il a débuté en 2023 un travail de thèse autour de l’existence ou non d’un droit administratif des données, afin de mettre en valeur -si elles existent- les règles spécifiques au secteur public afin d’exploiter et de traiter leurs données. Il enseigne à Paris I dans le Master MIAGE et dans le Master 2 Droit des Données, des Administrations numériques et des gouvernements ouverts.
1/ Comme Yanisse Benrahou, tu es doctorant en droit public dans le domaine de la compliance. A deux, je vous suggère de former un syndicat. Plus sérieusement, quel est l’enjeu en matière de donnée personnelle qui t’a donné envie de te lancer dans une thèse ?
Salut Xavier ! Pour mon doctorat, je creuse la question des données personnelles et donc nécessairement de la compliance. Cependant, mon domaine de recherche porte sur le droit des données au sens large, du point de vue des personnes publiques et des services publics.
En effet, mon sujet porte sur l’existence (ou pas !) d’un droit administratif des données.
Je vais à l’encontre d’une idée reçue : aujourd’hui, l’Etat, les collectivités, les personnes publiques et privées en charge de services publics n’auraient pas de droit particulier, spécifique, dans leurs politiques publiques, pour gouverner la donnée, la sécuriser juridiquement, la traiter, conformément à des textes.
Or, si les personnes publiques ont une légitimité spécifique, parfois fragile pour mener à bien des missions exorbitantes, elles ont pu avoir historiquement un droit spécifique, différent du droit commun/privé pour mener à bien leurs missions. C’est toute l’histoire et la construction, au XIXe et au XXe siècle, du droit administratif en France.
Mais dès lors que les données sont devenues comme on l’entend souvent “le nouvel or noir” et qu’y compris l’Administration est amenée à les traiter en masse, personnelles comme non personnelles, pourquoi n’y aurait-il pas pareil droit administratif en matière de données ?
Voilà la conviction qui m’anime, et qui me pousse à creuser la question de son existence. L’enjeu finalement, c’est de mettre en avant ce droit s’il existe, d’un point de vue doctrinal pour structurer des règles, mais aussi d’un point de vue pratique pour les opérationnels du quotidien ! Cela passera certainement par la compliance.
2/ Concrètement, peux-tu nous donner un exemple où la nature publique de l’activité rend le “modèle privé” inapplicable ? Moi qui traque les analogies, peux-tu nous donner l’analogie la plus foireuse du privé vers le public en matière de donnée ?
Ta question est très intéressante, car elle soulève une contradiction qui me fascine, tant dans la thèse que dans la pratique opérationnelle du droit des données.
D’une part, la différence entre le secteur public et le secteur privé n’est plus si prégnante. Regarde la conformité au RPGD : celle-ci s’applique à tout responsable de traitement, qu’importe sa nature juridique ! Une personne morale de droit privé comme de droit public rencontre dès lors le même corpus d’obligations, de contraintes, de règles.
Mais d’autre part, et c’est là que ça devient intéressant, l’ensemble des textes qui constituent un “droit de la donnée” font la part belle au secteur public, aux missions de services publics, etc. Il suffit de regarder le dernier “Data Governance Act” adopté ce 30 mai 2022 par l’UE, dédié en grande partie aux données non personnelles du “secteur public” par exemple.
Pour répondre plus concrètement à ta question, le secteur public peut mobiliser des leviers juridiques qui ont été pensés pour permettre de mener à bien des activités concourant à l’intérêt général.
- En matière de données personnelles par exemple, la base de licéité (qui permet de fonder juridiquement un traitement de données personnelles) de la mission d’intérêt public, est destinée principalement aux personnes publiques (ou privées !) en charge d’une mission de service public et aux autorités publiques. Ces dernières, bénéficiant généralement de prérogatives de puissance publiques, peuvent ainsi fonder des traitements de données qui obéissent à la condition de nécessité. C’est un exemple de spécificité en grande partie propre au secteur public.
- En matière de données non personnelles, précisément ce nouveau Data Governance Act vise exclusivement en son chapitre II les organismes du secteur public à mettre à disposition des procédures d’accès à leurs données non personnelles, comme un guichet unique d’accès à la donnée, afin de contraindre à l’échange de données, bénéfique à la création de valeur, de services, etc. C’est à nouveau une spécificité du secteur public : on considère que ces données ont une valeur, un intérêt à circuler, alors on vient contraindre à l’ouverture !
De façon générale et pour conclure sur ce point, les finalités de l’action publique poursuivant un but qu’on postule comme étant « l’intérêt général » impliquent un ensemble d’outils supplémentaires à disposition des personnes morales qui ont la charge de cet objectif. C’est ce qui justifie l’existence d’un droit différent du droit commun, qu’on appelle « administratif » et qui, je crois, existe aussi en matière de données.
Il y a donc une volonté de soumettre l’ensemble des personnes morales, entreprises administrations etc, à la règle de Droit et c’est la beauté de la conformité. En effet, il s’agit d’une nouvelle manière d’appliquer le droit et de continuer à faire primer certains intérêts d’ordre public : la vie privée, l’éthique, la lutte contre la corruption, etc.
Mais il demeure en dépit certaines spécificités, plus ou moins explicites, propres au secteur public et le droit de la donnée à mon sens, bien au delà du RGPD et de la seule donnée personnelle, en témoigne. Par exemple, ce “Data Governance Act” , concerne explicitement les données non personnelles du secteur public, et non les données des personnes privées ni mêmes des personnes publiques ayant une mission de service public industrielle et commerciale !
Il y a donc un particularisme de la nature publique qui persiste, tout en conservant un lot d’exceptions:
Certaines règles seront applicables uniquement aux données du secteur public, sauf exception
D’autres règles ne concerneront absolument pas le secteur privé, l’entreprise, sauf exceptions à nouveau, notamment si la personne privée gère une mission de service public.
Pas simple, hein ? Mon sujet de thèse se propose modestement de clarifier une situation. On n’est pas rendu !
3/ Je comprends que tu as une idée contrariante et que tu défends ta thèse. Je sais que tu écris des articles. Au regard de l’immensité de ton sujet, as-tu identifié des modes d’actions supplémentaires pour faire porter ta voix ?
Il est primordial, mais je sais qu’on partage cet avis toi et moi, de valoriser le travail juridique par des moyens de communication nouveaux. En ce sens, pour l’ensemble des articles (ici ou encore ici), réflexions, colloques ou que sais-je encore, il faut communiquer ! Sur LinkedIn bien sur, pourquoi pas au travers d’interviews comme tu te proposes de le faire avec la MCG, c’est génial, simple, valorisant, pour toucher un nouveau public. Il faut aussi explorer les voies du personal branding, nouvelle manière d’exister sur LinkedIn et les réseaux sociaux pro.
Enfin, il faut investir les associations professionnelles, toujours garder un contact avec la pratique réelle du terrain. Communiquer oui, mais s’imprégner de la pratique opérationnelle du droit qu’on se propose d’étudier et d’objectiver est essentiel. Alors, pourquoi ne pas aussi communiquer, échanger au sein d’évènements de ces associations de juristes.
Je pense notamment à la prochaine édition en novembre 2023 des Academic Days, un colloque sur deux jours en Sorbonne qui se propose de réfléchir sur la bonne gouvernance publique, notamment en matière de numérique, de données, d’innovation (inscrivez-vous ici). La compliance y trouve sa place. Au plaisir de s’y croiser !