Le droit des systèmes d'information géographique

Des droits d'auteur par couche

Une donnée géographique est une donnée brute, issue du relief terrestre, et donc non appropriable. Mais la représentation cartographique de cette donnée est une création de l’esprit humain et donc sujette protection par le droit d’auteur. Chaque éditeur cartographique utilisera pour représenter les voies de circulation, les localités, les points d’intérêt, etc. une panoplie graphique différente qui est donc protégée par le droit d’auteur. Une carte s’analyse ainsi en une œuvre collective, aménagée par l'article L.113-2 du code de la propriété intellectuelle (CPI), propriété de l’organisme qui l’a fait créer par ses employés.

Dans un SIG, la géographie physique fournie par un éditeur cartographique n’est qu’une base de travail, un fond de carte, sur lequel vont venir se placer les informations que le gestionnaire du SIG souhaite y faire apparaître, alternativement ou cumulativement. Ce seront par exemple des données sociales pour réaliser la carte sociale d’une commune, des données sur l’offre de formation pour dresser la carte des formations offertes dans une région  donnée, la carte de l’implantation industrielle d’un département, etc.

Dans ces cas, les représentations graphiques de données sociales, de formation, de chiffres d’affaires industriels ou autres, seront, elles aussi, sujettes à protection par le droit d’auteur. La superposition et l’enchevêtrement des couches habillées graphiquement sont tels que nous avons dû constater que la gestion du droit d’auteur dans un SIG s’assimilait fortement à la triste d’histoire du caméléon mort d’épuisement sur un tartan écossais…

Il convient donc de bien identifier les droits d’auteur en présence sur les diverses couches du SIG et les gérer de manière à ce que l’outil final soit juridiquement viable.

Par exemple, l’Institut géographique national (IGN) met à disposition ses données cartographiques aux termes de licences d’exploitation qui balisent soigneusement la cession de ces droits d’auteur et définissent précisément le périmètre d’exploitation concédé à l’exploitant du SIG qui les insérera comme fond de carte, ou plus puisque l’IGN propose également des données plus riches (nom des voies, adresses diverses…)

C’est notamment là que l’aspect contractuel revêt toute son importance (voir ci-dessous).

Un SIG , base de données protégée

Un SIG s’analyse bien entendu en une base de données au sens de l'article L.112-3 al.2 du CPI. À ce titre, il bénéficie de la protection accordée au producteur de base de données par les articles L.341-1 et suivants du même code : la base de données est protégé par un monopole d’exploitation du producteur (la personne morale qui en a pris l’initiative et le risque économique – article L.341-1 al 1er) qui consiste à contrôler l’utilisation de cette base, et au besoin à la monnayer pour la rentabiliser (article L.342-1), pendant une durée suffisante pour amortir l’investissement : 15 années civiles après l’année de mise en production ou de mise à disposition du public de la base (article L.342-5). Pour bénéficier de ce droit des producteurs de base de données, l’organisme doit cumuler sur sa tête à la fois la prise d’initiative et du risque des investissements. La question se posera dans le cas où un organisme lance un projet de SIG qui sera financé par divers apports en conventionnements et/ou en subventionnements. On considérait naguère qu’une subvention publique entrait dans les fonds propres de l’organisme attributaire. Aujourd’hui la plupart des subventions sont octroyées avec l’obligation de réaliser des objectifs. Si ceux-ci ne sont pas atteints, la subvention doit théoriquement être remboursée. Ce qui fragilise la notion de fonds propres. Lorsque l’initiative et le financement sont sur la tête de personnes différentes, il y a lieu de passer une convention de coproduction entre les divers partenaires du projet.

Une carte géographique – par exemple de l’IGN – est non seulement protégée par le droit d’auteur, mais constitue également une collection de données géographique, s’analysant bien sûr en une base de données, ce sur quoi insistent fortement les licences d’exploitation, notamment celles de l’IGN.

Des données à caractère personnel tous azimuts

Comme évoqué plus haut, des données à caractère personnel sont susceptibles de se retrouver dans un SIG : enfants scolarisés, personnes âgées, etc. En pareil cas, la loi Informatique, fichiers et libertés du 6 janvier 1978, modifiée en 2004, s’applique dans toute sa rigueur. Même si la représentation finale sur la carte n’est que purement statistique (volume des populations localisées sur la carte), et donc dépersonnalisée, le seul fait que le gestionnaire du SIG se voit confier un fichier qui contient des données à caractère personnel, même s’il les anonymise immédiatement, constitue un traitement au sens de l’article 2 al.3 de la loi, entraînant son application.

Les personnes concernées doivent ainsi être informées du fait que des données les concernant vont être transmises, détenues et traitées par le gestionnaire du SIG (article 32). Le mieux est de l’avoir prévu dès l’origine, au moment de la collecte des données. Si le SIG naît ultérieurement, il y a lieu d’informer toutes les personnes concernées de cette nouvelle finalité de traitement.

Pareillement, le gestionnaire du SIG, responsable du traitement au sens de la loi (article 3-I), doit déclarer le traitement du fichier à la CNIL (articles 22 et suivants), à moins qu’il n’ait nommé en son sein un Correspondant informatique et libertés (CIL – article 22-III). Dans ce cas, c’est le CIL qui tient registre des traitements réalisés en interne, dont ceux destinés au SIG.

Il peut arriver que les fichiers transmis soient issus d’un traitement qui a été, non pas simplement déclaré, mais autorisé par la CNIL (article 25) ou par acte réglementaire (par arrêté – article 26 – voire par décret en Conseil d’État – article 27). En pareil cas, il faut théoriquement une nouvelle demande d’autorisation, à moins que l’autorisation initiale ne prévoie ce type de transmission de données. À défaut, il faut soit procéder à une nouvelle demande d’autorisation, soit se faire transmettre le fichier de données déjà anonymisé, si le traitement ultérieur reste possible.

Cette loi de protection du citoyen est très importante. Elle est hélas assez mal connue et largement ignorée, pour ne pas dire bafouée, notamment par des collectivités publiques qui pourtant devraient donner l’exemple. Rappelons que la sanction pénale unique prévue par les articles 226-16 à 24 du code pénal (sanctions issues de la loi de 1978) est un maximum de 5 ans de prison et de 300 000 euros d’amende. La peine d’amende peut être quintuplée à l’encontre de la personne morale au sein de laquelle des atteintes à la loi de 1978 auraient été commises.

L’incidence du secret statistique

La notion de secret statistique n’est pas proprement juridique, mais déontologique. Aucun traitement statistique ne peut révéler une population caractérisée qui soit égale à un : par exemple, ne pas indiquer qu’un seul apprenti boulanger se trouve dans tel quartier doté d’une seule boulangerie, ce qui permettrait l’identification et de l’apprenti et de la boulangerie. Les règles démonologiques varient selon les organismes statistiques entre 3 et 5 unités de population au-dessous desquelles on s’interdit de descendre pour éviter qu’un individu (personne physique ou entreprise) ne soit identifiable. Le secret statistique recoupe donc à la fois les données à caractère personnel et la protection des données industrielles et commerciales.

Des contrats, toujours des contrats

Comme évoqué plus haut, le rôle des contrats est essentiel dans le cadre de la gestion juridique des SIG.

D’abord pour délimiter les cessions de droits d’exploitation du droit d’auteur et du droit des producteurs de base de données :

  • Bien délimiter quels seront les actes d’exploitation autorisés ;Le périmètre de ceux-ci : en interne ou sur Internet ? en accès payant ou gratuit ? etc. ;
  • La durée de l’exploitation ;
  • Les conditions financières de l’opération.

Ensuite pour la fourniture de fichiers de données, purement statistiques ou contenant des données à caractère personnel ou encore des données relevant de l’information commerciale et industrielle. Ces conventions de fourniture ou d’échange de données permettent de délimiter précisément les responsabilités en présence.

Par exemple :

  • Le fichier d’origine est-il bien déclaré à la CNIL ?  Les intéressés sont-ils informés conformément à l’article 32 de la loi ? Les données sont-elles à jour ?
  • Le responsable du SIG peut-il garantir la sécurité des données à caractère personnel et la sélectivité des accès aux seules personnes habilitées à consulter tel ou tel type de donnée (article 34 de la même loi) ?
  • Le secret statistique est-il garanti par le responsable du SIG, gage de sérieux du gestionnaire du SIG ?

Aspects technico-juridiques

Pour harmoniser leur gestion, la directive INSPIRE a déterminé les informations et les types de traitements à mettre en œuvre dans un SIG. Des règlements communautaires viennent peu à peu préciser les grandes lignes de cette directive.

À retenir

La gestion juridique d’un SIG est extrêmement complexe, à l’image du SIG lui-même. Il est essentiel, pour éviter toute mauvaise surprise de penser juridiquement celui-ci, en même temps qu’on développe le système informatique qui le sous-tendra.

Didier Frochot — octobre 2011

 

Liens utiles :

Directive 2007/2/CE du Parlement européen et du Conseil du 14 mars 2007 établissant une infrastructure d'information géographique dans la Communauté européenne (INSPIRE)
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32007L0002:FR:NOT

Règlement (CE) n° 1205/2008 de la Commission du 3 décembre 2008 portant modalités d'application de la directive 2007/2/CE du Parlement européen et du Conseil en ce qui concerne les métadonnées (Texte présentant de l'intérêt pour l'EEE)
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32008R1205:FR:NOT

Règlement (CE) n° 976/2009 de la Commission du 19 octobre 2009 portant modalités d’application de la directive 2007/2/CE du Parlement européen et du Conseil en ce qui concerne les services en réseau
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32009R0976:FR:NOT 

Règlement (UE) n° 268/2010 de la Commission du 29 mars 2010 portant modalités d’application de la directive 2007/2/CE du Parlement européen et du Conseil en ce qui concerne l’accès des institutions et organes communautaires aux séries et services de données géographiques des États membres dans des conditions harmonisées
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32010R0268:FR:NOT

Didier FROCHOT