Appuyez sur Entrée pour voir vos résultats ou Echap pour annuler.

Défaut d’anonymisation d’un arrêt sur Legifrance : l’Etat condamné à 1000 euros de dommages-intérêts

La première décision de condamnation de l’Etat à des dommages-intérêts pour défaut d’anonymisation est en train de faire surface sur l’océan informationnel (TA Paris 2e ch. 7 novembre 2016 n° 1507125). [1].

C’est un cas assez particulier. En effet, la partie personne physique ne s’est rendue compte de l’absence d’anonymisation [2] que trois ans et demi après sa publication sur Legifrance.

La DILA, comme à chaque fois qu’on lui signale ce type de bug, a agi dès que prévenue pour supprimer les données nominatives en cause. Mais comme cela faisait trois ans et demi que l’arrêt était en ligne dans cet état, le juge ne pouvait que reconnaître qu’il y avait un préjudice dont l’Etat était responsable et qu’il fallait réparer.

L’éditeur LexisNexis a repris cette information dans une brève de sa newsletter Lexis Actu [3]. Toutefois, cette brève est incomplète : elle ne précise pas que la DILA a immédiatement procédé à la correction de son erreur d’anonymisation (occultation et déréférencement) dès qu’elle en a été prévenue par la requérante. Le jugement du TA le reconnaît et ne condamne à des dommages-intérêts que parce que la durée du préjudice a été longue (trois ans et demi).

Extrait du jugement :

Considérant que s’il n’est pas contesté que la direction de l’information légale et administrative anonymise des milliers de décisions chaque semaine, met à la disposition des internautes une messagerie pour signaler les dysfonctionnements, est en lien avec la commission nationale informatique et libertés et corrige tout défaut d’occultation dès qu’il lui est signalé, ces circonstances, qui se rapportent à l’exercice normal des missions qui lui sont confiées, ne sauraient permettre d’en déduire que lorsque, le cas échéant, ladite direction commet une faute, la responsabilité de l’Etat ne pourrait être engagée ;
que l’administration ne peut utilement faire valoir, pour demander à être exonérée de la responsabilité qu’elle encourt, que Mme X..., qui n’y était pas tenue, a omis de saisir la commission nationale informatique et libertés pour mettre en oeuvre son droit d’opposition et qu’elle ne l’a pas avertie dès qu’elle a eu connaissance du défaut d’anonymisation qu’elle dénonce ;
qu’en tout état de cause, à la date à laquelle, le 31 mai 2014, Mme X... a eu connaissance de ce que l’arrêt de la cour d’appel de Douai avait été publié sur Internet sans être anonymisé, ledit arrêt était accessible aux tiers depuis une durée de trois années et demie environ ;
qu’ainsi, à supposer même que la requérante ait saisi aussitôt l’autorité administrative, la faute dont elle a été la victime aurait, à tout le moins, produit ses effets pendant plus de trois années et demie ;
que de même, la direction de l’information légale et administrative ne peut utilement faire valoir que, lorsqu’elle a eu connaissance des manquements qui lui sont reprochés, elle y a remédié et qu’elle a demandé le déréférencement de la décision non anonymisée ;

Vu la concrétisation de ce risque de condamnation de l’Etat, les dispositions "open data de la jurisprudence" de la loi Lemaire pour une République numérique ne sont pas près d’être appliquées [4], surtout avec l’insistance que le texte met sur la protection des données personnelles et l’application en mai 2018 du règlement général de protection des données (RGPD) — voir notre billet L’open data des décisions des cours d’appel et tribunaux n’est pas pour demain [5].

Soit dit en passant, le préjudice réel semble faible. Mais bon : Dura lex, sed lex [6].

Ce n’est pas la première condamnation pécuniaire pour ce motif. En 2015, le Conseil d’Etat a confirmé la sanction pécuniaire de 10 000 euros prononcée par la CNIL à l’encontre de l’association Lexeek pour défaut d’anonymisation [7].

Emmanuel Barthe
bibliothécaire documentaliste juridique
spécialiste des données publiques juridiques

Notes

[1Ce jugement a été résumé (p. 17) et publié in extenso (p. 116) fin janvier 2017 dans la Lettre du tribunal administratif de Paris (PDF, sélection de décisions rendues de septembre
à novembre 2016).

[2Pseudonymisation devrait-on dire, particulièrement au vu du règlement général de protection des données (RGPD) qui s’appliquera en 2018.

[4Nous ne parlons pas là de l’absence actuelle (avril 2017) de décret d’application de la loi Lemaire sur le sujet de l’open data de la jurisprudence. Juste d’un risque juridique avéré.

[6Adage latin signifiant : La loi est dure, mais c’est la loi. Sous-entendu : c’est la règle commune et elle est impérative, on doit la respecter.

[7Conseil d’Etat 10ème / 9ème SSR 23 mars 2015 n° 353717 Association Lexeek.