Notes
-
[1]
Nous considérons comme données personnelles « toute information concernant une personne physique identifiée ou identifiable (dite “personne concernée”) », en conformité à la définition fournie par l’article 2. a de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (no 108) et par les lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information.
-
[2]
Nous considérons comme données publiques les données collectées et élaborées par des entités publiques et non personnelles, c’est-à-dire les données qui ne contiennent pas d’informations sur des individus en particulier, permettant d’identifier personnellement des individus.
-
[3]
La loi 13.709 du 14 août 2018 entrera en vigueur en février 2020. Voir : http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
-
[4]
L’émergence des Data Brokers et des services de profiling au Brésil est un phénomène particulièrement important et de plus en plus lucratif au Brésil, tel que l’observent Silveira et al. (2016) et Sampaio (2017).
-
[5]
On se doit de souligner que l’émergence et la consolidation des initiatives de villes intelligentes, qui font abstraction d’une discussion approfondie sur la protection des données personnelles des citoyens, présentent des risques directs pour les individus. Le travail de terrain du projet Discrimination vs. Data Control in Brazilian Smart Cities, développé par la Fondation Getulio Vargas de Rio de Janeiro, a mis en lumière une expansion notable du nombre d’entreprises qui offrent des produits, services et solutions intelligentes pour les villes, bien que le débat sur le traitement des données personnelles soit encore rare et marginal. Voir, par exemple, Reia (2018).
-
[6]
Il n’y pas une définition unique de « ville intelligente ». Ce concept est issu du secteur privé, comme nous le montre Söderström et al. (2014), et il a été développé dans l’intention de promouvoir le développement des technologies urbaines. La taxonomie présentée par Vasilis Niaros (2016) est importante pour souligner l’existence des différents modèles de villes intelligentes (corporatif, sponsorisé, résilient et commun). Voir aussi : Kitchin (2015), Townsend (2013) et Privacy International (2017).
-
[7]
Le décret (sans numéro) du 18 octobre 2000 a délégué au Comité du gouvernement électronique (Comitê de Governo Eletrônico) le développement des « Normes d’interopérabilité du gouvernement électronique » (Padrões de Interoperabilidade do Governo Eletrônico, e-PING)
-
[8]
Le classement global Right to Information Rating, réalisé par l’organisation non gouvernementale canadienne Center for law and democracy, évalue la qualité des lois sur l’accès à l’information en fonction de 61 indicateurs, tels que la portée de la loi, les procédures de demande d’information, les exceptions et refus, les sanctions et les protections, entre autres. Disponible à http://www.rti-rating.org. Accédé le 8 mars 2018.
-
[9]
L’OGP a été créé en septembre 2011, basé sur la Déclaration du gouvernement ouvert présentée par Barack Obama (Guimarães, 2014). Voir aussi : https://www.opengovpartnership.org. Accédé le 14 mars 2018.
-
[10]
Voir : http://www.oecd.org/gov/digital-government/open-government-data.htm. Accédé le 14 mars 2018.
-
[11]
Traduction libre de “tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação”.
-
[12]
Voir : https://opengovdata.org. Accédé le 14 mars 2018.
-
[13]
Paragraphe 2.
-
[14]
Traduction libre de “em sítios oficiais da rede mundial de computadores (internet)” et de “ferramenta de pesquisa de conteúdo”.
-
[15]
Paragraphe 3. II.
-
[16]
Paragraphe 3, alinéa III.
-
[17]
Paragraphe 3, alinéas V et VI.
-
[18]
Article 8.
-
[19]
Quatrième alinéa.
-
[20]
Cinquième alinéa. Traduction libre de “IV – possibilitar acesso automatizado por sistemas externos em formatos abertos, estruturados e legíveis por máquina;V – divulgar em detalhes os formatos utilizados para estruturação da informação”.
-
[21]
Le Plan d’action national sur le gouvernement ouvert a été établi par le décret (sans numéro) du 15 septembre 2011. Disponible à : http://www.governoaberto.cgu.gov.br/no-brasil/historico. Accédé le 9 mars 2018.
-
[22]
Pour plus d’information sur les normes sur l’interopérabilité dans le cadre du gouvernement électronique, voir : https://www.governodigital.gov.br/eixos-de-atuacao/governo/gestao/interoperabilidade/eping-padroes-de-interoperabilidade-de-governo-eletronico. Accédé le 9 mars 2018.
-
[23]
Article 2.II. Traduction libre de “conjunto de dados organizados de tal forma que tenham valor ou significado em algum contexto”.
-
[24]
Traduction libre de “qualquer dado gerado ou sob a guarda governamental que não tenha acesso restrito por legislação específica”.
-
[25]
Article 24 du Marco Civil, dans ses alinéas V et VI.
-
[26]
Article 2.II. Traduction libre de : “dado acessível ao público – qualquer dado gerado ou acumulado pelo Governo que não esteja sob sigilo ou sob restrição de acesso nos termos da Lei no 12.527, de 18 de novembro de 2011”.
-
[27]
Article 2.III. Traduction libre de : “dados abertos – dados acessíveis ao público, representados em meio digital, estruturados em formato aberto, processáveis por máquina, referenciados na internet e disponibilizados sob licença aberta que permita sua livre utilização, consumo ou cruzamento, limitando-se a creditar a autoria ou a fonte”.
-
[28]
Ce ministère a été créé en 2016 par la Mesure provisoire 726/2016, qui a fusionné le Contrôleur général de l’Union (CGU) avec d’autres organismes de contrôle. Voir : http://www.cgu.gov.br/, Accédé le 9 mars 2018.
-
[29]
Voir, par exemple, le « Painel de Monitoramento de Dados Abetos », disponible sur http://paineis.cgu.gov.br/dadosabertos/index.htm. Accédé le 9 mars 2018.
-
[30]
Voir : https://index.okfn.org/. Accédé le 9 mars 2018.
-
[31]
Article 6. III de la loi du 18 novembre 2011.
-
[32]
Voir https://ec.europa.eu/info/law/law-topic/data-protection_fr. Accédé le 15 mars 2018.
-
[33]
Voir : https://www.coe.int/en/web/data-protection/convention108-and-protocol. Accédé le 15 mars 2018.
-
[34]
Le projet PL 5.276/2016, présenté à la Chambre des députés, et le projet PLS 330/2013, présenté au Sénat.
-
[35]
Articles 43 et 44.
-
[36]
Les normes suivantes traitent de certaines questions liées à la confidentialité et à la protection des données à caractère personnel : le code de procédure pénale (loi no 3689/41) ; le code de la protection du consommateur (loi 8078/90) ; le Statut de l’enfant et de l’adolescent (loi no 8.069 / 90) ; la loi sur l’interception des communications téléphoniques (loi no 9296/96) ; la loi Habeas Data (loi no 9507/97) ; la loi générale sur les télécommunications (loi no 9.472 / 97) ; le code civil (loi no 10.406 / 02) ; la loi sur l’accès à l’information (loi no 12,527 / 11) ; la loi sur les banques de profils génétiques à des fins d’enquête criminelle (loi no 12.654 / 12 et décret no 7.950 / 13) ; la loi des organisations criminelles (loi no 12.850 / 13) le Marco Civil (loi no 12.965 / 14) ; la loi sur l’identification criminelle (loi no 12.037 / 09) et la loi sur le processus électronique (loi no 11.419 / 06).
-
[37]
Voir le site web dédié au processus de concertation dénommé « Ambition numérique », disponible sur https://cnnumerique.fr/nos-travaux/ambition-numerique
-
[38]
Voir la loi no 2016-1321 du 7 octobre 2016 pour une République numérique https://tinyurl.com/LoiRepubliqueNumerique
-
[39]
Voir la loi no 8.078 de 1990 qui établit le code pour la protection des consommateurs qui s’applique aux consommateurs et aux fournisseurs de services ou de biens, qui peuvent exploiter des bases de données personnelles relatives aux consommateurs, disponible sur http://www.planalto.gov.br/ccivil_03/Leis/L8078.htm
-
[40]
Dans ce sens, la loi no 5.172 de 1966 qui définit le code des impôts s’applique aux autorités fiscales et aux contribuables en imposant le secret fiscal ; la loi no 105 de 2001 qui établit le secret bancaire s’applique aux institutions financières opérant au Brésil et impose le secret des opérations bancaires ; et la loi no 12.414 de 2011 sur la régulation, la constitution et la consultation des bases de données incluant des informations sur le défaut de personnes physiques et juridiques, pour la constitution de l’historique des crédits accordés s’applique aux entités privées qui collectent, utilisent et partagent des données enregistrées dans les bases de données de crédit.
-
[41]
Traduction libre de “todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado”.
-
[42]
Article 31 de la loi sur l’information du 18 novembre 2011.
-
[43]
Ibidem, alinéa 2.
-
[44]
Ibidem, alinéa 3.
-
[45]
Article 4.IV.
-
[46]
Article 14.1 du décret no 8.771 du 11 mai 2016. Traduction libre de : “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”.
-
[47]
Bien que les mécanismes de protection des données personnelles fondés sur l’expression du consentement aient été critiqués compte tenu de leur inefficacité à permettre à l’individu de pouvoir exercer un véritable contrôle sur les utilisateurs de ses données et la manière selon laquelle ses données sont exploitées, on se doit de constater que la pratique dite du notice & consent demeure le mécanisme le plus diffusé. Voir Belli, Schwartz e Louzada (2017).
-
[48]
Article 7. IX.
-
[49]
Article 7. VII.
-
[50]
Selon l’article 7, alinéas II et III.
-
[51]
Tel que le définit l’article 7 dans ses alinéas VI et X.
-
[52]
La création d’une telle autorité était prévue par le chapitre IX (articles 55 à 59) de la loi. Pourtant, il est intéressant de noter que le texte signé par le Président fait référence à l’« autorité nationale » cinquante fois. Ainsi, il nous semble que le fait d’avoir posé un veto sur une autorité aussi omniprésent dans ce texte met en danger l’application de la loi et son interprétation.
-
[53]
Notamment l’article 52, sections VII, VIII et IX ont fait l’objet d’un veto.
-
[54]
Notamment, l’article 23, paragraphe II, interdisait le partage de données, du pouvoir public avec des personnes morales de droit privé ; l’article 26, paragraphe II, empêchait le transfert de données des pouvoirs publics à des entités privées ; tandis que l’article 28 prohibait la communication ou l’utilisation partagée de données à caractère personnel entre organismes et entités de droit public.
-
[55]
Voir le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, disponible sur https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679.
1Cet article vise à étudier le lien existant au Brésil entre les défis de la protection des données personnelles [1] et la gouvernance des données publiques [2], notamment en ce qui concerne les politiques d’ouverture des données, l’impact que ces sujets ont sur l’émergence des villes intelligentes au Brésil. Nous tenterons de répondre à deux des questions les plus importantes dans la perspective d’un avenir numérique durable au Brésil : d’une part, comment assurer un équilibre entre, d’une part, la possibilité pour les administrations publiques d’améliorer leur efficacité, renforcer la transparence, tout en maximisant la valeur que les données en leur possession sont susceptibles de générer et, d’autre part, comment assurer le droit de l’individu d’avoir un contrôle effectif sur ses données personnelles ? Comme souligné par la revue The Economist (2017), les données ont acquis le statut de « ressource la plus précieuse au monde » et, dans cette perspective, l’ouverture des données publiques crée de la valeur, emporte de nombreuses conséquences et pose plusieurs défis dans différents secteurs et particulièrement dans le cadre de la mise en œuvre de villes labellisées comme « intelligentes ».
2Comme nous le soulignerons, ces questions deviennent primordiales dans un pays qui, en dépit de progrès notables au cours des dernières années, vient d’adopter une loi générale sur la protection des données personnelles [3] et, dans lequel les administrations commencent à récolter les fruits de l’exploitation commerciale des données, – qu’elles soient publiques ou privées. La taille de dimension continentale du Brésil, sa lourde bureaucratie et ses 205 millions d’habitants font de ce pays un incroyable gisement de données [4] qui continuent à être générées quotidiennement et qui font de plus en plus l’objet de convoitise d’un nombre croissant d’entités, en raison de leur valeur économique [5].
3 Dans ce contexte, les politiques d’ouverture des données publiques doivent être analysées en conjonction avec le cadre de protection des données personnelles. Il existe en effet une tendance croissante à inclure les données personnelles, collectées par les administrations publiques, parmi les données exploitables et à en faire l’objet de politiques d’ouverture tout en promouvant l’« intelligence » des villes brésiliennes. Bien évidemment, cette pratique peut donner lieu à des pratiques ambiguës de concession permettant d’exploiter des données des usagers de services publics. C’est le cas notamment de l’administration municipale de São Paulo qui a autorisé des concessionnaires de services publics à utiliser les données personnelles des usagers de transports publics ou du réseau public de Wi-Fi afin d’établir les profils desdits usagers et de vendre ainsi des services (Dantas et Dantas, 2017).
4Dans un tel contexte, l’absence d’un cadre régulatoire qui définirait – a minima – des lignes directrices concernant le développement et la mise en œuvre des politiques publiques concernant les villes intelligentes favorise la confusion et laisse libre cours aux comportements abusifs. Étant donné le nombre élevé de données personnelles qui sont collectées quotidiennement par les administrations publiques, il nous semble primordial de mettre en évidence les risques que l’ouverture de ces données pourrait poser pour la protection de la vie privée des citoyens brésiliens et, parallèlement, il nous semble essentiel de suggérer une stratégie qui pourrait permettre l’utilisation et la réutilisation des données privées tout en maintenant le contrôle de ces données par leurs titulaires.
5Le but principal de cet article est donc de dresser le tableau des politiques d’ouverture des données au Brésil, tout en soulignant les risques et les défis auxquels une telle ouverture doit faire face, notamment en raison d’un cadre régulatoire de protection des données personnelles qui reste encore embryonnaire et en raison de l’absence d’une stratégie et d’un cadre juridique capable d’orienter le développement desdites « villes intelligentes » [6]. La première partie de cet article proposera une critique des politiques d’ouverture des données publiques, et notamment des effets du « Partenariat du gouvernement ouvert » (Parceria do Governo Aberto) qui a consacré le principe des données ouvertes dans la loi no 12.527 sur l’accès à l’information du 18 novembre 2011 (Lei de Acesso à Informação, LAI) et au sein de la réglementation au niveau fédéral à travers le décret no 7724 du 16 mai 2012. Tout en soulignant les nombreux défis qui restent à relever, avant de pouvoir véritablement parler d’un environnement ouvert, nous mettrons en évidence certaines expériences réussies, comme la création de l’« Infrastructure nationale de données ouvertes » (Infraestrutura Nacional de Dados Abert, INDA) et la « Politique nationale de données ouvertes » (Política Nacional de Dados Abertos), c’est-à-dire la plateforme centralisée pour l’accès aux données publiques ouvertes.
6 Dans la deuxième section, nous analyserons le cadre normatif qui actuellement consacre une protection des données personnelles et qui reste à ce jour au Brésil inaboutie ainsi que la récente adoption d’une loi générale, approuvée dans son intégralité par le Congrès puis véritablement mutilée par la présidence de la République qui, en posant son veto sur plusieurs dispositions, a rendu la consécration d’un régime efficace de protection des données particulièrement difficile. Nous mettrons en exergue les progrès permis grâce à l’adoption de la loi no 12.965 de 2014, intitulée « Cadre brésilien pour la protection des droits civils sur Internet » (Marco Civil da Internet no Brasil, généralement surnommée Marco Civil), tout en soulignant qu’il reste nécessaire de compléter les garanties définies par cette dernière par une loi qui élargirait la protection de l’individu à tout domaine, qu’il soit numérique ou analogique. Cette tâche a été déléguée à la nouvelle loi no 13.709 de 2018 sur la protection des données personnelles, dont la mise en œuvre apparaît laborieuse voire irréalisable.
7 En conclusion, nous analyserons comment la mise en œuvre du décret sur les données ouvertes (Decreto de Dados Abertos) au niveau national témoigne de manière manifeste de l’absence de protection des données personnelles, notamment au niveau communal.
Le cadre normatif des données ouvertes
8Les pratiques d’ouverture des données gouvernementales au Brésil ont été encouragées depuis 2016, grâce à la « Politique nationale des données ouvertes » (PNDA). Avant cela, l’ouverture des données gouvernementales avait été favorisée par deux tendances différentes, et néanmoins convergentes. La première était incarnée par le mouvement pour la garantie du droit d’accès à l’information, qui procédait d’un besoin de plus de transparence sur les informations collectées et retenues par le gouvernement. La seconde était liée à la modernisation technologique de l’administration publique, concrétisée par une politique promouvant le gouvernement électronique [7].
9Ces deux mouvements sont au fondement de l’émergence de la question des données ouvertes au Brésil et aboutirent à l’adoption une « politique nationale de données publiques » du gouvernement fédéral (Política Nacional de Dados Abertos para o Poder Executivo Federal), créée par le décret no 8.777 sur les données ouvertes du 11 mai 2016.
10 Le cadre normatif de l’ouverture des données au Brésil sera brièvement analysé dans les paragraphes suivants. Le tableau no 1, ci-dessous, offre une perspective comparative sur les normes en vigueur au Brésil et les définitions des différentes notions qu’elles utilisent.
Les fondements de la politique d’ouverture des données dans la loi sur l’accès à l’information
11L’adoption de la loi no 12.527 sur l’accès à l’information du 18 novembre 2011 (Lei de Acesso à Informação, dite « LAI ») a été célébrée par les différents acteurs intéressés qui, depuis 2003, demandaient au gouvernement l’adoption d’un cadre législatif plus clair et d’une loi dédiée à cette question (Macedo, 2014). Selon le classement global établi par Right to Information, on constate désormais que la loi brésilienne sur l’accès à l’information compte parmi les meilleures au monde, atteignant la 22e position [8]. On se doit de souligner qu’au-delà de la pression politique exercée par les représentants de la société civile, la conjoncture internationale a favorisé sa mise à l’agenda politique au Brésil. En 2011, le Brésil a participé, avec les États-Unis, à la fois à la création et à la codirection du Partenariat pour un gouvernement ouvert (Open Government Partnership) [9]. En effet, l’organisation d’une conférence internationale à Brasilia, en 2012, dans le cadre du Partenariat pour un gouvernement ouvert a contribué fortement à l’adoption de la loi sur l’accès à l’information du 18 novembre 2011 (Guimarães, 2014).
Tableau no 1 : Cadre normatif de l’ouverture des données au Brésil, avec définitions de notions utilisées
Tableau no 1 : Cadre normatif de l’ouverture des données au Brésil, avec définitions de notions utilisées
12Comme le suggère Barbara Ubaldi (2013), l’émergence des politiques d’ouverture des données gouvernementales au Brésil peut être expliquée par la convergence de deux mouvements. Le premier est celui qui vise la promotion d’un « droit à l’information », fondé sur la référence au droit fondamental à l’information énoncé à l’article 19 de la Déclaration universelle des droits de l’homme ; cet article affirme le droit à la liberté d’expression et le droit d’accès à l’information. Le deuxième mouvement est celui qui promeut un gouvernement dit ouvert (Open Government Data) [10] et s’appuie sur des arguments économiques et sociaux pour encourager l’ouverture des données gouvernementales ; l’argumentation d’un « gouvernement ouvert » repose principalement sur les bénéfices sociaux et démocratiques que procurent la création de services publics plus inclusifs et l’augmentation des opportunités de participation. L’ouverture des données se situe donc à l’intersection de ces deux mouvements, qui, tous deux, souhaitent améliorer la transparence du gouvernement afin que la société profite de la valeur sociale des données recueillies, stockées et gérées par les entités publiques.
13Ainsi, la loi sur l’accès à l’information du 18 novembre 2011 a adopté plusieurs principes de promotion des données ouvertes. Tout d’abord à la lecture de la loi (1er alinéa de l’article 4), il apparaît que la notion d’« information » recouvre celle de « données » (voir tableau no 1). Ensuite, cette même loi définit le traitement de l’information comme « l’ensemble d’actions relatives à la production, réception, classification, utilisation, accès, reproduction, transport, transmission, distribution, archivage, stockage, élimination, évaluation, destination ou contrôle de l’information (LAI) » (Ve alinéa de l’article 4 qui pose des limites à l’utilisation des données) [11].
14Par ailleurs, la loi de 2011 (plus exactement les paragraphes 1 à 8 de l’article 8) pose des lignes directrices sur l’accès ouvert, lesquelles ressemblent fortement aux principes généraux de promotion des données ouvertes [12] élaborés par le mouvement Open Government Data. La loi exige notamment que les informations soient mises à disposition « sur des sites web officiels du réseau mondial d’ordinateurs (l’Internet) » [13] et que les sites offrent des « outils de recherche de contenu » [14]. En ce qui concerne le format des données, la loi établit des niveaux minimaux d’ouverture. C’est ainsi qu’elle prévoit la possibilité d’enregistrer des rapports dans plusieurs formats électroniques [15] ; l’accès automatisé par des systèmes externes dans des formats ouverts, structurés et lisibles par une machine [16] ; et, enfin, elle pose l’obligation d’authenticité et d’intégrité des informations, aussi bien que la possibilité de mise à jour des informations auxquelles on peut avoir accès [17].
15Le décret no 7.724 du 16 mai 2012, de son côté, a apporté des précisions réglementaires dans le domaine du pouvoir exécutif, et a servi de référence pour les communes et les autres entités administratives de la Fédération brésilienne. Ce décret a renforcé les principes de promotion des données ouvertes adoptés par la loi de novembre 2011 et établi des normes pour la structuration des sites web des institutions publiques qui promeuvent la transparence [18]. Là aussi, le concept d’information y est défini comme : « données, traitées ou non, pouvant être utilisées pour la production et la transmission de connaissances, par le bais de tout média, support ou format » (voir le tableau no 1). Le décret no 7.724 explicite aussi un des principaux objectifs des données ouvertes : celui de promouvoir et d’assurer la transparence des pouvoirs publics. En ce sens, le décret du 16 mai 2012 oblige l’administration à permettre un accès automatique aux données dans des formats ouverts, structurés et lisibles de façon mécanique [19] et à rendre publics les formats utilisés pour structurer l’information [20].
16À la lumière de ces dispositions législatives et réglementaires et des définitions utilisées et qui sont inspirées par les « principes généraux des données ouvertes » énoncés par le mouvement Open Governement Data (par exemple l’obligation de toujours fournir des données dans des formats ouverts et lisibles par les machines), il existe une forte proximité entre la loi brésilienne sur l’accès à l’information du 18 novembre 2011 et les principes promus par le Partenariat pour un gouvernement ouvert ; elle traduit l’intention d’appliquer les principes des données ouvertes comme outil de promotion de la transparence.
L’Infrastructure nationale des données ouvertes
17L’engagement du Brésil vis-à-vis de l’Open Government Partnership s’est également manifesté dans le « Plan d’action national sur le gouvernement ouvert » (Plano de Ação Nacional sobre Governo Aberto) [21]. Par le biais de ce document, le gouvernement témoigne de son engagement à mettre en œuvre l’« Infrastructure nationale des données ouvertes » (Infraestrutura Nacional de Dados Abertos ou INDA). L’INDA, établie par la circulaire (Instrução Normativa) no 4 du 13 avril 2012, définit un ensemble de normes, technologies, procédures et mécanismes de contrôle qui permettent l’interopérabilité dans le cadre du gouvernement électronique [22]. Ces normes ont été élaborées pour faire en sorte que les conditions de dissémination et de partage des données et informations publiques respectent les « paramètres généraux des données ouvertes ».
18De plus, la circulaire no 4 du 13 avril 2012 qui a mis en place l’INDA contient deux définitions qui sont particulièrement importantes pour la compréhension de la politique d’ouverture des données au Brésil, tout en distinguant celle-ci de la politique d’accès aux informations. La circulaire no 4 du 13 avril 2012 définit « l’information » comme « un ensemble de données organisées de telle manière qu’elles ont une valeur ou une signification dans un contexte spécifique » [23]. Cette définition facilite la pleine jouissance du droit d’accès à l’information. En effet, selon Michener et Bersch (2013), pour qu’il y ait transparence, les informations doivent être douées de visibilité et de « possibilité d’inférence » c’est-à-dire qu’elles doivent permettre de déduire quelque chose au sujet des données. La deuxième définition apportée par la circulaire no 4 du 13 avril 2012 sur l’INDA concerne la notion de « donnée publique » entendue comme « toute donnée générée ou sous la supervision du gouvernement dont l’accès n’est pas restreint par une législation spécifique » [24]. Enfin, la circulaire no 4 du 13 avril 2012 offre une définition de la notion de « donnée ouverte » comme étant toute donnée publique consignée sur un support numérique, structurée dans un format ouvert, lisible de façon mécanique, référencée dans le réseau mondial d’ordinateurs (c’est-à-dire Internet) et mise à disposition sous une licence ouverte qui permette d’utiliser et de croiser des données librement.
19 La distinction entre la notion d’« information » et celle de « donnée ouverte » est instrumentale : elle offre un fondement juridique nouveau sur lequel s’appuie l’ouverture de données. Nonobstant, il a fallu attendre quatre ans pour que la « politique nationale de données ouvertes » soit mise en œuvre.
Le décret du 11 mai 2016 sur les données ouvertes
20Le décret no 8.777 du 11 mai 2016 qui a mis en place la « politique nationale des données ouvertes » du gouvernement fédéral trouve son fondement dans la loi sur l’accès à l’information du 18 novembre 2011 et dans le Marco Civil. Ce dernier établit notamment : (i) l’adoption préférentielle de technologies, normes et formats ouverts et libres, et (ii) la publicité et la diffusion de données et d’informations publiques, de manière ouverte et structurée, en tant que lignes directrices pour le développement de l’Internet au Brésil [25].
21 Les dispositions générales qui définissent les objectifs de la « politique nationale des données ouvertes » reflètent, à leur tour, la double origine du décret. Ainsi, il est possible de constater des références aussi bien à des aspects liés à la transparence et au droit d’accès à l’information qu’à des aspects liés au développement technologique, à l’innovation du secteur public et à la promotion de services publics numériques.
22 En ce qui concerne les définitions, le décret du 11 mai 2016 reprend la notion de « donnée publique » issue de la circulaire (Instrução Normativa) no 4 du 13 avril 2012 de l’INDA, en ajoutant l’expression « accessible au public » et en limitant ultérieurement les restrictions établies par la loi sur l’accès à l’information du 18 novembre 2011. Ainsi, le décret du 11 mai 2016 définit comme « donnée accessible au public toute donnée générée ou accumulée par le gouvernement qui n’est pas soumise au secret ou à un accès restreint conformément à la loi no 12.527 / 2011 » [26]. Le décret du 11 mai 2016 clarifie également la définition des « données ouvertes » (par rapport à la définition consacrée par la circulaire no 4 du 13 avril 2012). Il requiert désormais une licence d’utilisation et pose l’obligation de donner l’identité de l’auteur des données ou de citer leur source. Ainsi, le décret du 11 mai 2016 établit la définition suivante :
23 « Données ouvertes : données accessibles au public, consignées sur un support numérique, structurées dans un format ouvert, lisibles de façon mécanique, référencées sur l’Internet et mises à disposition sous licence libre autorisant leur utilisation, ou croisement de façon libre à condition que l’auteur ou la source soit crédité (décret du 11 mai 2016 no 8.777) » [27].
24 Le décret no 8.777 du 11 mai 2016 a aussi institué l’INDA en tant qu’instance chargée de coordonner la gestion et la mise en œuvre de la politique de données ouvertes. Le Ministère de la transparence et le bureau du Contrôleur général de l’Union [28] est l’entité responsable pour surveiller l’évolution de la politique de données ouvertes chaque semestre par le biais d’une « commission de surveillance des données ouvertes » [29] et à partir des « Plans de données ouvertes » établis par les différentes entités de l’administration publique fédérale. La commission indique qu’actuellement 18 % des bases de données n’ont pas encore été mises à niveau, tandis que 1 841 ont déjà été ouvertes. Au demeurant, ces efforts de transparence et d’ouverture des données du gouvernement fédéral sont reconnus dans les évaluations internationales, par exemple le Global Open Data Index [30], qui classe le Brésil parmi les dix premiers États sur les 94 pays évalués.
25 En ce qui concerne la protection des données personnelles, le décret du 11 mai 2016 se réfère à la loi sur l’accès à l’information du 18 novembre 2011, puisque cette dernière confère aux organes des pouvoirs publics la responsabilité de superviser les normes et procédures spécifiques applicables pour assurer la protection du secret et des informations personnelles [31]. Il convient, toutefois, de mentionner que ces normes et procédures sont incomplètes et inexistantes dans le cadre réglementaire brésilien actuel.
La protection des données personnelles au Brésil
26 Le modèle brésilien de protection de données emprunte ses traits fondamentaux aux modèles étasunien et européen. À l’instar du modèle américain, le cadre normatif brésilien est composé de règles sectorielles qui sont, elles-mêmes, très influencées par les principes et les mécanismes de protection déclinées par le cadre normatif de l’Union européenne [32] et par la Convention no 108 du Conseil de l’Europe « pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel » [33]. Ce n’est qu’en août 2018 qu’a été approuvée une loi générale pour la protection des données en fusionnant deux projets de loi examinés par les deux chambres du Parlement [34]. Avant de considérer la nouvelle « Loi sur la protection des données personnelles », dont l’entrée en vigueur est prévue pour février 2020, nous analyserons le cadre existant, soulignant son caractère fragmenté et inachevé.
Une protection des données fragmentée
27Alors que la protection des données personnelles n’est pas encore entrée en vigueur, l’article 5 et les sections X et XII de la Constitution fédérale consacrent, en tant que principes fondamentaux, l’inviolabilité de la vie privée et la garantie du secret de la correspondance et des communications télégraphiques, téléphoniques et de données. Le mécanisme dit Habeas Data est une création originelle du législateur brésilien et découle directement de l’article 5, LXXII, de la Constitution de 1988, subséquemment concrétisé par la loi no 9.507/97 et au sein du code de défense des consommateurs [35]. Comme le souligne Danilo Doneda (2009, 130), l’Habeas Data est un instrument juridique qui possède un caractère réparateur : il est conçu pour fournir au citoyen un outil lui permettant de connaître et, éventuellement, de rectifier les informations le concernant qui peuvent se trouver dans des bases de données.
28 Ainsi, le développement de cet outil dans le contexte brésilien et sa diffusion au niveau latino-américain trouvent leur origine dans la volonté de concevoir des instruments en réaction contre les traumatismes laissés par les régimes militaires, desquels plusieurs pays d’Amérique latine commençaient seulement à sortir dans les années 1980. Cependant, en dépit de son originalité, l’Habeas Data est un système de protection des données personnelles fortement limité, car c’est un instrument de droit contentieux dont l’intéressé peut se servir pour faire valoir ses droits uniquement par le biais d’un avocat, dans le cadre d’un procès et, bien évidemment, lorsqu’il est conscient que ses données ont été collectées – abusivement – au sein d’une base de données spécifique.
29En dehors de l’Habeas Data et des dispositions constitutionnelles, il existe aussi une série de lois sectorielles [36] qui, dans des domaines spécifiques, fournissent des protections substantielles des données personnelles. Le domaine numérique fournit l’exemple le plus intéressant de protection sectorielle, grâce au « Cadre brésilien pour la protection des droits civils sur Internet » (Marco Civil da Internet no Brasil), qui définit, entre autres, les principes fondamentaux et des éléments de régulations essentiels pour la protection des données personnelles en ligne.
30Outre son contenu substantiel, le Marco Civil est particulièrement intéressant en raison du processus participatif qui détermina son adoption. Ce processus fut lancé en 2009 par le biais d’une concertation nationale orchestrée par le secrétariat aux affaires législatives du Ministère de la justice, en association avec le centre de « technologie et société » de la Fondation Getulio Vargas. Le projet du Marco Civil fut formulé sur la base des résultats de la phase de concertation et, par la suite, fut débattu au cours d’un processus ouvert qui impliquait une large participation de la société. Dans une perspective comparative franco-brésilienne, ce processus est particulièrement intéressant car, quelques années plus tard, il fut transposé du contexte brésilien au contexte français sous l’impulsion du Conseil national du numérique [37], donnant lieu au processus participatif qui inspira l’élaboration de la loi « Pour une République numérique » [38].
31Avant de présenter les principaux éléments prévus par le Marco Civil, on se doit de préciser les différentes normes qui définissent la protection des données personnelles pour les groupes spécifiques de personnes dans des circonstances particulières. La législation ordinaire considère séparément une pluralité de situations juridiques dans lesquelles il est nécessaire d’effectuer une pondération entre les différents intérêts en jeu lorsque les données personnelles sont collectées et traitées. Le cadre normatif brésilien comporte des dispositions de protection des données personnelles éparses en droit civil [39] et dans plusieurs normes de nature commerciale ou fiscale [40].
32 Force est de constater que la loi du 18 novembre 2011 a été élaborée afin de mettre en œuvre l’article 5-XXXIII de la Constitution fédérale, lequel prévoit que « toute personne a le droit de recevoir, de la part des organismes publics, des informations portant sur son intérêt particulier ou présentant un intérêt collectif ou général, dans les délais prévus par la loi, à l’exception de celles dont le secret est indispensable à la sécurité de la société et de l’État » [41]. Ainsi, la loi sur l’accès à l’information du 18 novembre 2011 précise que son dispositif normatif concerne aussi les données personnelles enregistrées dans des bases de données publiques et s’applique à l’administration publique ainsi qu’aux particuliers ou aux entités ayant accès aux données collectées par l’administration publique. La loi du 18 novembre 2011 régit notamment la question des données personnelles selon les principes de transparence et de protection de la vie privée, de l’honneur et de l’image des personnes, tout en consacrant [42], dans son deuxième alinéa, le consentement comme mécanisme nécessaire pour permettre l’accès ou la divulgation des données collectées [43]. Cependant, elle prévoit des hypothèses qui ne nécessite pas d’obtenir le consentement, telles que, entre autres : le respect d’une décision judiciaire, la protection des droits fondamentaux de l’individu, la recherche scientifique [44].
33 Par ailleurs, il importe de souligner qu’actuellement il n’existe pas, en droit brésilien, de définition générale des « données personnelles » en raison de l’absence d’une loi générale sur la protection des données personnelles. Toutefois, les définitions fournies par les lois sectorielles convergent dans la direction définie par les documents susmentionnés. Ainsi, la loi sur l’accès à l’information affirme que toute information enregistrée dans des bases de données publiques « relatives à une personne physique identifiée ou identifiable » peut être considérée comme une « information personnelle » [45]. Dans le même sens, le décret du 11 mai 2016, qui précise le Marco Civil, définit la donnée personnelle comme étant toute « donnée relative à une personne identifiée ou identifiable, y compris par le biais de numéros d’identification, toute donnée de localisation ou tout identifiant électronique, lorsque ceux-ci sont liés à une personne » [46].
34 Les dispositions du Marco Civil s’appliquent à toute opération de collecte, de stockage, de conservation, de traitement et de communication de données personnelles par des fournisseurs d’accès et des fournisseurs d’applications Internet. Au sens de l’article 7. VIII, les responsables du traitement des données doivent fournir aux personnes concernées des informations claires et complètes concernant l’obtention, l’utilisation, le stockage, le traitement et la protection de leurs données personnelles. L’alinéa suivant prévoit que les responsables du traitement des données doivent obtenir un consentement éclairé [47] et distinct, avant de pouvoir effectuer toute opération de traitement de données, et doivent également garantir la confidentialité des données. Ce consentement porte sur la collecte, l’utilisation, le stockage et le traitement des données personnelles [48].
35 Il ne peut être implicite et doit être exprimé par le biais d’une clause mise en évidence et distincte du reste de l’accord ou des conditions d’utilisation. Il doit être « explicite, libre et éclairé » et conditionne toute opération de collecte ou de traitement de données personnelles [49], sauf dans les hypothèses prévues par la loi ou lorsqu’une décision de justice autorise l’accès aux données à caractère personnel [50]. De plus, les titulaires des données ont le droit d’effacer de manière définitive et de compléter leurs données incluses dans les accords en question [51].
36 En dépit des protections sectorielles susmentionnées, l’inexistence d’une loi générale sur la protection de données laisse la porte ouverte à des comportements potentiellement abusifs en matière d’ouverture des données collectées par les administrations publiques. Ainsi, l’intervention du législateur fédéral est devenue désormais nécessaire afin d’éviter de sérieux préjudices pour les citoyens brésiliens. Dans cette perspective, le législateur brésilien a adopté la loi no 13.709 / 2018.
La loi no 13.709 / 2018 : une protection des données inachevée
37Le 14 août 2018, le Président de la République, Michel Temer a signé la « loi sur la protection des données personnelles » (Lei no 13.709/18) ; mais il a posé son veto sur plusieurs dispositions approuvées par le Congrès, notamment, à l’encontre de celles concernant la création d’une Autorité nationale de protection des données, [52] certaines sanctions administratives jugées comme excessivement sévères, [53] et à l’encontre des articles prévoyant l’interdiction de partage de données personnelles par les pouvoirs publics avec des personnes juridiques privées. [54]
38La loi est aussi dénommée « LGPD », qui est l’acronyme de « loi générale sur la protection des données ». Cette dénomination non officielle découle du caractère général de cette loi qui s’applique à tout type de traitement de données personnelles, c’est-à-dire à toute procédure de collecte, d’utilisation, de stockage, de partage et d’effacement de toute information qui identifie ou permet l’identification d’une personne physique, réalisée sur ledit territoire ou concernant des particuliers localisés sur le territoire national, même lorsque le traitement des données est effectué par des entreprises situées hors du Brésil.
39La LGPD s’inspire fortement du Règlement européen sur la protection des données [55] (dit « RGPD ») et confère au titulaire des données un éventail de droits très proche des droits dont jouissent les citoyens européens. Notamment, au sens de l’article 18 de la LGPD, les titulaires ont le droit d’obtenir du responsable du traitement de données personnelles, à tout moment : la confirmation de l’existence de ce traitement ; l’accès aux données objets de ce traitement ; la correction de données incomplètes, inexactes ou obsolètes ; l’anonymisation, le blocage de l’accès ou la suppression des données non nécessaires, excessives ou qui ne sont pas traitées en conformité avec la loi ; la portabilité des données ; des informations sur le partage de données ; des informations sur les conséquences du non-consentement ; et la révocation du consentement.
40 Aussi, l’article 6 de la LGPD consacre une liste de principes analogues aux principes qui régissent le traitement des données personnelles en Europe, à savoir les principes de : finalités ; adéquation avec les finalités concordées ; nécessité ; accès libre ; qualité des données ; transparence ; sécurité ; prévention de dommages ; non-discrimination ; et responsabilité des agents qui s’occupent du traitement.
41 Toutefois, on se doit de constater que la suppression de l’autorité indépendante est de facto assez préjudiciable pour la mise en œuvre de la LGPD. Un organisme véritablement indépendant et qualifié est en effet essentiel pour que la mise en œuvre et l’interprétation uniforme de la loi ne soient pas fragmentées et confiées à des instances diverses qui, en raison de leur différence, appliqueront inévitablement la loi de manière potentiellement divergente au niveau fédéral, au niveau des États membres de la Fédération brésilienne et au niveau communal.
42 Il nous semble donc souhaitable qu’une autorité soit créée le plus rapidement possible, car, dans un pays où la LGPD est une nouveauté absolue, l’absence d’un organe qui garantit une interprétation uniforme déterminerait inévitablement l’émergence de mises en œuvre et d’interprétations confuses, partielles ou erronées par les administrations publiques, les tribunaux et, de manière générale, par tous les acteurs concernés.
43 * * *
44Le Brésil a indéniablement connu, ces dernières années, des progrès à la fois quant à l’adoption et la mise en œuvre de politiques concrètes d’ouverture des données et quant à l’adoption d’une législation promouvant la protection des données personnelles. Toutefois, le cadre normatif brésilien reste incomplet de sorte que plane sur le secteur public, le secteur privé et les citoyens une situation d’incertitude juridique qui ouvre la voie à des comportements abusifs.
45Pour ce qui est des organismes publics concernés, il peut s’agir d’administrations de niveau fédéral autant que communal. La prolifération des dispositifs de collecte des données des citoyens ainsi que l’encouragement croissant à l’analyse de ces données pour la formulation des politiques publiques trouve dans cette lacune législative un terrain fertile pour l’émergence de pratiques préoccupantes. C’est ainsi que certaines administrations municipales ont commencé à mettre en place des politiques visant à monétiser les données de leurs citoyens, ce qui, souvent, est en conflit avec la protection des données personnelles.
46 Dans ce contexte, il faut souligner les risques et les défis que l’adoption des politiques liées aux villes dites « intelligentes » posent aux municipalités. Le sujet de la vie privée est encore presque absent des espaces de discussion et de commercialisation des technologies urbaines, comme les expositions et forums. Au Brésil, il y a plusieurs évènements sur les « villes intelligentes », comme le Smart City Expo Curitiba (liée à la Fira Barcelona International), le Connected Smart Cities, ou le Smart City Business America Congress & Expo, pour mentionner les principaux, où les entreprises financent une partie des évènements et offrent leurs produits et services aux villes. Les enjeux liés à la protection des données personnelles doivent être discutés de façon plus approfondie dans ces espaces car on déplore encore le fait que, souvent, les solutions technologiques proposées ne considèrent pas la protection et la sécurité des données des citoyens comme une priorité mais plutôt comme un obstacle au développement de solutions performantes pour les villes.
47 Le cadre normatif présenté dans cet article peut aider à équilibrer les intérêts des citoyens, des municipalités et du secteur privé, notamment si la LGPD est interprétée et appliquée dans un sens favorable à la performance dans le contexte des villes intelligentes. Ainsi que le montre le rapport de l’organisation Privacy International (2017), les villes intelligentes sont un phénomène en plein essor mais l’intelligence est généralement conçue comme une collection de données massives, à l’instar du Centre d’opération de la ville de Rio de Janeiro (Centro de Operações do Rio, COR), plutôt qu’un usage intelligent des données.
48 Dans ces conditions, il nous semble que le défi le plus urgent pour les administrations publiques et pour les citoyens est de conjuguer l’ouverture des données et la protection des données personnelles dans un contexte où les intérêts commerciaux semblent souvent prévaloir sur l’intérêt public…
Bibliographie
Références bibliographiques
- Belli, Luca; Schwartz, Molly; Louzada, Luiza (2017), « Selling your soul while negotiating the conditions: from notice and consent to data control by design », Health & Technology Journal, Springer – Nature, Topical Collection on Privacy and Security of Medical Information, vol. 7, no 4, 453-467; disponible sur https://link.springer.com/article/10.1007%2Fs12553-017-0185-3 [consulté le 9 mars 2018].
- Dantas, Tiago et Dantas, Dimitrius (2017), « Doria oferece dados de usuários do Bilhete Único à iniciativa privada », O Globo; [online] disponible sur: https://oglobo.globo.com/brasil/doria-oferece-dados-de-usuarios-do-bilhete-unico-iniciativa-privada-20942133 [consulté le 15 mars 2018].
- Doneda, Danilo (2009), « A proteção de dados pessoais no ordenamento brasileiro e a ação de habeas data », Democracia Digital e Governo Eletrônico, [online], p. 128-142; disponible sur : http://buscalegis.ufsc.br/revistas/index.php/observatoriodoegov/article/viewFile/12297/30655 [consulté le 9 mars 2018].
- Guimarães, Caroline (2014), Parceria para Governo Aberto e Relações Internacionais : oportunidades e desafios, mémoire de maîtrise, Universidade Estadual Paulista « Júlio de Mesquita Filho », Programa de Pós-Graduação em Relações Internacionais San Tiago Dantas, São Paulo.
- Kitchin, Rob (2015), « Making sense of smart cities: addressing present shortcomings », Cambridge Journal of Regions, Economy and Society, Volume 8, Issue 1, 1, p. 131-136.
- Macedo, Vanessa (2014), « A influência internacional na consolidação da democracia no Brasil e no México – Um estudo de caso comparado sobre a promoção da transparência enquanto norma democrática », in ANPOCS 38º, [online] Caxambu, p. 1-27; disponible sur : http://anpocs.org/index.php/papers-38-encontro/gt-1/gt11-1/9370-a-influencia-internacional-na-consolidacao-da-democracia-no-brasil-e-no-mexico-um-estudo-de-caso-comparado-sobre-a-promocao-da-transparencia-enquanto-norma-democratica/file. [consulté le 14 mars 2018].
- Michener, Greg et Bersch, Katherine (2013), « Identifying transparency », Information Polity, [online] v. 18(3), p. 233-242 ; disponible sur : https://content.iospress.com/articles/information-polity/ip000299. [Consulté le 13 mars 2018].
- Niaros, Vasilis (2016), « Introducing a Taxonomy of the « Smart city »: Towards a Commons-Oriented Approach », Triple-C, 14, no 1, 51-61. Disponible sur : http://www.triple-c.at/index.php/tripleC/article/view/718 [consulté le 27 octobre 2018].
- Privacy International (2017), Smart Cities: Utopian Vision, Dystopian Reality; Disponible sur : https://privacyinternational.org/report/638/smart-cities-utopian-vision-dystopian-reality [consulté le 27 octobre 2018].
- Reia, Jhessica (2018), « O direito à cidade (inteligente) : tecnologias, regulação e a Nova Agenda Urbana », in Horizonte Presente : Tecnologia e sociedade em debate, Belo Horizonte, Letramento.
- Sampaio, Alice Castaldi (2017), Data brokers : um novo modelo de negócios baseado em vigilância de dados, thèse de maîtrise, Universidade Estadual de Campinas, Instituto de Estudos da Linguagem.
- Silveira, Sergio A.; Avelino, Rodolfo; Souza, Joyce (2016), « A privacidade e o mercado de dados pessoais », Liinc em Revista, v. 12, no 2.
- Söderström, Ola; Paasche, Till; Klauser, Francisco (2014), « Smart cities as corporate storytelling », City, 18:3, p. 307-320.
- The Economist (2017), The world’s most valuable resource is no longer oil, but data; [online] disponible sur : https://www.economist.com/news/leaders/21721656-data-economy-demands-new-approach-antitrust-rules-worlds-most-valuable-resource [consulté le 14 mars 2018].
- Townsend, Andrew (2013), Smart Cities: Big Data, Civic Hackers and the Quest for a New Utopia, New York, W. W. Norton.
- Ubaldi, Barbara (2013), « Open Government Data: Towards Empirical Analysis of Open Government Data Initiatives », OECD Working Papers on Public Governance, no 22, OECD Publishing; disponible sur : http://dx.doi.org/10.1787/5k46bj4f03s7-en. [consulté le 14 mars 2018].
Mots-clés éditeurs : Brésil, ouverture des données, Marco Civil, Données personnelles, villes intelligentes, données publiques
Mise en ligne 09/01/2019
https://doi.org/10.3917/rfap.167.0585Notes
-
[1]
Nous considérons comme données personnelles « toute information concernant une personne physique identifiée ou identifiable (dite “personne concernée”) », en conformité à la définition fournie par l’article 2. a de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (no 108) et par les lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information.
-
[2]
Nous considérons comme données publiques les données collectées et élaborées par des entités publiques et non personnelles, c’est-à-dire les données qui ne contiennent pas d’informations sur des individus en particulier, permettant d’identifier personnellement des individus.
-
[3]
La loi 13.709 du 14 août 2018 entrera en vigueur en février 2020. Voir : http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
-
[4]
L’émergence des Data Brokers et des services de profiling au Brésil est un phénomène particulièrement important et de plus en plus lucratif au Brésil, tel que l’observent Silveira et al. (2016) et Sampaio (2017).
-
[5]
On se doit de souligner que l’émergence et la consolidation des initiatives de villes intelligentes, qui font abstraction d’une discussion approfondie sur la protection des données personnelles des citoyens, présentent des risques directs pour les individus. Le travail de terrain du projet Discrimination vs. Data Control in Brazilian Smart Cities, développé par la Fondation Getulio Vargas de Rio de Janeiro, a mis en lumière une expansion notable du nombre d’entreprises qui offrent des produits, services et solutions intelligentes pour les villes, bien que le débat sur le traitement des données personnelles soit encore rare et marginal. Voir, par exemple, Reia (2018).
-
[6]
Il n’y pas une définition unique de « ville intelligente ». Ce concept est issu du secteur privé, comme nous le montre Söderström et al. (2014), et il a été développé dans l’intention de promouvoir le développement des technologies urbaines. La taxonomie présentée par Vasilis Niaros (2016) est importante pour souligner l’existence des différents modèles de villes intelligentes (corporatif, sponsorisé, résilient et commun). Voir aussi : Kitchin (2015), Townsend (2013) et Privacy International (2017).
-
[7]
Le décret (sans numéro) du 18 octobre 2000 a délégué au Comité du gouvernement électronique (Comitê de Governo Eletrônico) le développement des « Normes d’interopérabilité du gouvernement électronique » (Padrões de Interoperabilidade do Governo Eletrônico, e-PING)
-
[8]
Le classement global Right to Information Rating, réalisé par l’organisation non gouvernementale canadienne Center for law and democracy, évalue la qualité des lois sur l’accès à l’information en fonction de 61 indicateurs, tels que la portée de la loi, les procédures de demande d’information, les exceptions et refus, les sanctions et les protections, entre autres. Disponible à http://www.rti-rating.org. Accédé le 8 mars 2018.
-
[9]
L’OGP a été créé en septembre 2011, basé sur la Déclaration du gouvernement ouvert présentée par Barack Obama (Guimarães, 2014). Voir aussi : https://www.opengovpartnership.org. Accédé le 14 mars 2018.
-
[10]
Voir : http://www.oecd.org/gov/digital-government/open-government-data.htm. Accédé le 14 mars 2018.
-
[11]
Traduction libre de “tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação”.
-
[12]
Voir : https://opengovdata.org. Accédé le 14 mars 2018.
-
[13]
Paragraphe 2.
-
[14]
Traduction libre de “em sítios oficiais da rede mundial de computadores (internet)” et de “ferramenta de pesquisa de conteúdo”.
-
[15]
Paragraphe 3. II.
-
[16]
Paragraphe 3, alinéa III.
-
[17]
Paragraphe 3, alinéas V et VI.
-
[18]
Article 8.
-
[19]
Quatrième alinéa.
-
[20]
Cinquième alinéa. Traduction libre de “IV – possibilitar acesso automatizado por sistemas externos em formatos abertos, estruturados e legíveis por máquina;V – divulgar em detalhes os formatos utilizados para estruturação da informação”.
-
[21]
Le Plan d’action national sur le gouvernement ouvert a été établi par le décret (sans numéro) du 15 septembre 2011. Disponible à : http://www.governoaberto.cgu.gov.br/no-brasil/historico. Accédé le 9 mars 2018.
-
[22]
Pour plus d’information sur les normes sur l’interopérabilité dans le cadre du gouvernement électronique, voir : https://www.governodigital.gov.br/eixos-de-atuacao/governo/gestao/interoperabilidade/eping-padroes-de-interoperabilidade-de-governo-eletronico. Accédé le 9 mars 2018.
-
[23]
Article 2.II. Traduction libre de “conjunto de dados organizados de tal forma que tenham valor ou significado em algum contexto”.
-
[24]
Traduction libre de “qualquer dado gerado ou sob a guarda governamental que não tenha acesso restrito por legislação específica”.
-
[25]
Article 24 du Marco Civil, dans ses alinéas V et VI.
-
[26]
Article 2.II. Traduction libre de : “dado acessível ao público – qualquer dado gerado ou acumulado pelo Governo que não esteja sob sigilo ou sob restrição de acesso nos termos da Lei no 12.527, de 18 de novembro de 2011”.
-
[27]
Article 2.III. Traduction libre de : “dados abertos – dados acessíveis ao público, representados em meio digital, estruturados em formato aberto, processáveis por máquina, referenciados na internet e disponibilizados sob licença aberta que permita sua livre utilização, consumo ou cruzamento, limitando-se a creditar a autoria ou a fonte”.
-
[28]
Ce ministère a été créé en 2016 par la Mesure provisoire 726/2016, qui a fusionné le Contrôleur général de l’Union (CGU) avec d’autres organismes de contrôle. Voir : http://www.cgu.gov.br/, Accédé le 9 mars 2018.
-
[29]
Voir, par exemple, le « Painel de Monitoramento de Dados Abetos », disponible sur http://paineis.cgu.gov.br/dadosabertos/index.htm. Accédé le 9 mars 2018.
-
[30]
Voir : https://index.okfn.org/. Accédé le 9 mars 2018.
-
[31]
Article 6. III de la loi du 18 novembre 2011.
-
[32]
Voir https://ec.europa.eu/info/law/law-topic/data-protection_fr. Accédé le 15 mars 2018.
-
[33]
Voir : https://www.coe.int/en/web/data-protection/convention108-and-protocol. Accédé le 15 mars 2018.
-
[34]
Le projet PL 5.276/2016, présenté à la Chambre des députés, et le projet PLS 330/2013, présenté au Sénat.
-
[35]
Articles 43 et 44.
-
[36]
Les normes suivantes traitent de certaines questions liées à la confidentialité et à la protection des données à caractère personnel : le code de procédure pénale (loi no 3689/41) ; le code de la protection du consommateur (loi 8078/90) ; le Statut de l’enfant et de l’adolescent (loi no 8.069 / 90) ; la loi sur l’interception des communications téléphoniques (loi no 9296/96) ; la loi Habeas Data (loi no 9507/97) ; la loi générale sur les télécommunications (loi no 9.472 / 97) ; le code civil (loi no 10.406 / 02) ; la loi sur l’accès à l’information (loi no 12,527 / 11) ; la loi sur les banques de profils génétiques à des fins d’enquête criminelle (loi no 12.654 / 12 et décret no 7.950 / 13) ; la loi des organisations criminelles (loi no 12.850 / 13) le Marco Civil (loi no 12.965 / 14) ; la loi sur l’identification criminelle (loi no 12.037 / 09) et la loi sur le processus électronique (loi no 11.419 / 06).
-
[37]
Voir le site web dédié au processus de concertation dénommé « Ambition numérique », disponible sur https://cnnumerique.fr/nos-travaux/ambition-numerique
-
[38]
Voir la loi no 2016-1321 du 7 octobre 2016 pour une République numérique https://tinyurl.com/LoiRepubliqueNumerique
-
[39]
Voir la loi no 8.078 de 1990 qui établit le code pour la protection des consommateurs qui s’applique aux consommateurs et aux fournisseurs de services ou de biens, qui peuvent exploiter des bases de données personnelles relatives aux consommateurs, disponible sur http://www.planalto.gov.br/ccivil_03/Leis/L8078.htm
-
[40]
Dans ce sens, la loi no 5.172 de 1966 qui définit le code des impôts s’applique aux autorités fiscales et aux contribuables en imposant le secret fiscal ; la loi no 105 de 2001 qui établit le secret bancaire s’applique aux institutions financières opérant au Brésil et impose le secret des opérations bancaires ; et la loi no 12.414 de 2011 sur la régulation, la constitution et la consultation des bases de données incluant des informations sur le défaut de personnes physiques et juridiques, pour la constitution de l’historique des crédits accordés s’applique aux entités privées qui collectent, utilisent et partagent des données enregistrées dans les bases de données de crédit.
-
[41]
Traduction libre de “todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado”.
-
[42]
Article 31 de la loi sur l’information du 18 novembre 2011.
-
[43]
Ibidem, alinéa 2.
-
[44]
Ibidem, alinéa 3.
-
[45]
Article 4.IV.
-
[46]
Article 14.1 du décret no 8.771 du 11 mai 2016. Traduction libre de : “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”.
-
[47]
Bien que les mécanismes de protection des données personnelles fondés sur l’expression du consentement aient été critiqués compte tenu de leur inefficacité à permettre à l’individu de pouvoir exercer un véritable contrôle sur les utilisateurs de ses données et la manière selon laquelle ses données sont exploitées, on se doit de constater que la pratique dite du notice & consent demeure le mécanisme le plus diffusé. Voir Belli, Schwartz e Louzada (2017).
-
[48]
Article 7. IX.
-
[49]
Article 7. VII.
-
[50]
Selon l’article 7, alinéas II et III.
-
[51]
Tel que le définit l’article 7 dans ses alinéas VI et X.
-
[52]
La création d’une telle autorité était prévue par le chapitre IX (articles 55 à 59) de la loi. Pourtant, il est intéressant de noter que le texte signé par le Président fait référence à l’« autorité nationale » cinquante fois. Ainsi, il nous semble que le fait d’avoir posé un veto sur une autorité aussi omniprésent dans ce texte met en danger l’application de la loi et son interprétation.
-
[53]
Notamment l’article 52, sections VII, VIII et IX ont fait l’objet d’un veto.
-
[54]
Notamment, l’article 23, paragraphe II, interdisait le partage de données, du pouvoir public avec des personnes morales de droit privé ; l’article 26, paragraphe II, empêchait le transfert de données des pouvoirs publics à des entités privées ; tandis que l’article 28 prohibait la communication ou l’utilisation partagée de données à caractère personnel entre organismes et entités de droit public.
-
[55]
Voir le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, disponible sur https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679.