Le service statistique public (SSP) est composé de l’Insee et des services statistiques ministériels (SSM). Il a pour mission de produire et diffuser de l’information statistique et la « data » ou donnée numérique est au cœur de ses métiers.

Les statistiques produites par le SSP mesurent des faits économiques et sociaux. Les données mobilisées portent ainsi sur les comportements et les situations de personnes (individus, ménages), d’entreprises ou d’organisations. Ces données sont le plus souvent confidentielles.

Les missions du SSP ne dépendent pas seulement de sa capacité à maîtriser les outils ou les méthodes nécessaires à la production d’une information de qualité, mais aussi de sa capacité à protéger et à garantir la confidentialité des données qui lui sont confiées. Cette protection est la condition pour continuer à disposer de ces données.

La maîtrise des risques de perte ou de violation de confidentialité des données dont il est dépositaire représente un enjeu crucial pour le SSP.

L’ampleur de ces risques se mesure globalement au nombre de personnes – personnes physiques ou morales – concernées par les données dont le SSP dispose à des fins statistiques, ainsi qu’au volume et à la sensibilité de ces données.

Des dispositifs légaux, au premier chef la loi de 1951, confèrent au SSP la possibilité de réaliser des enquêtes ou d’accéder aux fichiers détenus par l’administration. Sous certaines conditions, le SSP peut également se voir communiquer les bases de données de certains organismes de droit privé. L’activité du SSP se nourrit de la collecte d’un volume important de données d’origines diverses. Plus d’une centaine d’enquêtes statistiques sont réalisées chaque année, mais c’est l’accès aux fichiers des administrations qui constitue, en volume, la principale source de production du SSP. De façon générale, pour différentes raisons (coût, charge pour les enquêtés, etc.), le SSP s’est engagé depuis de nombreuses années dans la valorisation des fichiers administratifs. Plus récemment, il s’est tourné vers les bases de données privées, sous la contrainte néanmoins que la loi, sauf exception, ne permet pas d’imposer cette cession aux organismes qui les produisent et les détiennent.

Ces enquêtes et cette collecte de fichiers, cumulées au fil du temps, aboutissent à une situation où le SSP est dépositaire d’un très large éventail de données, de sensibilité parfois très forte (handicap et santé, pratiques religieuses, etc.), sur une large population d’individus, ménages, entreprises ou organisations.

L’Insee dispose, grâce aux fichiers que lui communiquent l’administration fiscale ou les organismes de protection sociale, de la déclaration de revenus de chaque Français, de ses prestations sociales, de ses périodes d’emploi, de chômage ou d’inactivité, de ses salaires et rémunérations. Les données d’origine fiscale ou douanière permettent également de connaître, pour chaque entreprise, ses comptes, ses achats, ventes, importations et exportations, la nature de ses actifs, les prix qu’elle pratique, ses effectifs, ses activités.

À la différence des sources administratives, en principe exhaustives sur leur champ, les enquêtes ne concernent qu’une petite fraction de la population. Elles peuvent néanmoins collecter des informations sensibles sur les revenus, le patrimoine, la situation sur le marché du travail (enquête emploi, enquête SRCV sur les ressources des ménages, enquête histoire de vie et patrimoine, enquête sur le vécu du travail et du chômage durant la crise sanitaire), voire très sensibles sur les croyances religieuses (enquête Trajectoires et origines), la santé (enquête vie quotidienne et santé, enquête « Épidémiologie et Conditions de vie »), les violences physiques et sexuelles (enquête cadre de vie et sécurité, enquête nationale de climat scolaire et de victimation auprès des collégiens). Elles peuvent aussi cibler des populations fragiles ou vulnérables (enquête auprès des sans-domicile).

Le recensement constitue parmi les enquêtes un cas à part. Son questionnaire est relativement court par rapport à d’autres enquêtes spécialisées, mais il interroge une fraction élevée de la population et couvre les principales caractéristiques des individus, de leur ménage et de leur logement.

Le SSP dispose de nombreuses informations sur les caractéristiques des personnes ou des entreprises, et très souvent ces informations sont accompagnées de données qui permettent d’identifier précisément ceux qu’elles concernent. Ces données particulières sont qualifiées de « données d’identification ».

On peut disposer directement de l’identité de la personne : son état-civil (nom et prénoms) s’il s’agit d’une personne physique, sa raison sociale s’il s’agit d’une personne morale, entreprise ou autre organisation. On parle alors d’identification directe.

On peut aussi reconnaître la personne à travers un « pseudonyme » : numéro de téléphone, adresse mail, numéro fiscal, numéro client sur une facture, Nir, Siren, code statistique non signifiant (encadré 1). On parle alors d’identification indirecte : l’identité n’est pas directement révélée, mais il est possible de la retrouver de manière univoque à partir du pseudonyme.

On peut fort justement se demander pourquoi ces données d’identification, directes ou indirectes, sont présentes dans des sources statistiques, alors qu’elles ne sont pas l’objet, par elles-mêmes, de statistiques. En fait, l’utilisation de données d’identification à des fins statistiques est indispensable pour répondre à deux types essentiels de besoins :

La suppression de données d’identification, qu’elles soient directes ou indirectes ne suffit pas cependant à garantir l’anonymat des entités, personnes, entreprises ou organismes concernés.

Même sans nom ou pseudonyme, les autres informations relatives à une personne ou une organisation – âge, sexe, revenus, commune de résidence, activité principale, chiffre d’affaires, etc. – si elles sont combinées, peuvent suffire à réidentifier l’individu exactement.

Il suffit de relativement peu de données : selon une étude parue dans le magazine Nature Communications (Ouvrir dans un nouvel ongletRocher, Hendrickx et de Montjoye, 2019), 15 variables ou caractéristiques suffisent pour réidentifier une personne.

Le degré d’exposition d’une base de données à un risque de pertes de confidentialité dépend des moyens qui doivent être mis en œuvre pour réidentifier une personne ou une organisation. Ces moyens vont du plus simple, si la base contient des données d’identification directe, au plus compliqué, si elle ne contient aucune donnée d’identification directe ou indirecte et s’il faut combiner les informations contenues dans la base.

La suppression de tout risque de rupture de confidentialité pour une base de données est possible moyennant son anonymisation. L’anonymisation implique non seulement la suppression de toute donnée d’identification, mais également le traitement des données pour que toute réidentification par combinaison soit impossible. Dans la plupart des cas, l’anonymisation des bases de données nuirait gravement aux missions du SSP, car il a besoin de conserver des données d’identification, ou a minimaminima de conserver une information détaillée, sous une forme qui facilite la réidentification.

La nature et le volume des données dont dispose le SSP, couplés au fait que ces données sont généralement identifiantes font peser sur lui une forte responsabilité. En cas de rupture de confidentialité, l’impact pour les personnes ou organisations concernées peut varier en fonction de la nature des données ; il peut se limiter à de simples désagréments mais peut aussi avoir de très graves conséquences.

Si les données divulguées sont relatives à la vie privée, l’impact peut être mineur et ne causer que peu ou pas de préjudice tangible à la personne concernée. Cette divulgation peut néanmoins, de manière subjective, affecter la personne, qui considère que des informations ou des données personnelles ont été divulguées sans son consentement ou sans qu’elle ait été informée de manière adéquate.

Dans d’autres cas, une violation de la vie privée peut avoir des conséquences graves pour un individu, sur le plan personnel ou professionnel. Par exemple, la divulgation de données sensibles comme des informations sur ses revenus ou sa santé peut entraîner pour une personne des préjudices financiers ou juridiques importants. Néanmoins, la simple divulgation d’une adresse, si elle permet de retrouver une personne, peut avoir parfois des conséquences dramatiques si celle-ci est l’objet de menaces.

Si les données concernent des activités entrepreneuriales, les conséquences sont susceptibles de se traduire en termes de pertes d’avantages concurrentiels, de préjudices d’image auprès du public et des consommateurs.

Quelle que soit sa gravité, une atteinte à la vie privée peut affecter la confiance des individus dans les institutions. Il est donc important de prendre en compte la violation de confidentialité afin de mettre en place des mesures de protection efficaces pour minimiser les risques pour les individus et organisations concernés.

Ces mesures peuvent inclure des dispositifs techniques (protection et surveillance des accès et des réseaux, mots de passe, antivirus, etc.) et organisationnels (règles et procédures de désignations des agents habilités à accéder aux données confidentielles, définition d’une politique de sécurité, formation et sensibilisation des agents aux enjeux de la confidentialité, etc.). Par exemple, les agents de l’Insee ou des SSM n’ont pas accès à l’ensemble des données confidentielles dont dispose l’institut, mais uniquement à celles nécessaires au titre de leurs fonctions. Ce principe de compartimentation est l’une des règles essentielles pour limiter les risques de divulgation de données protégées.

Toutes ces mesures, pour développées et sophistiquées qu’elles soient, sont insuffisantes sans la maîtrise du facteur humain, qui passe par les moyens que le SSP consacre à la formation et à la sensibilisation de ses agents aux enjeux de la confidentialité.

La définition et la mise en œuvre de mesures de sécurité répondent à un engagement éthique et déontologique, ainsi qu’à des obligations posées par la loi. Chacun des agents du SSP est soumis en particulier à deux lois : celle de 1951, ou loi sur l’obligation, la coordination et le secret en matière de statistiques, qui définit le secret statistique, et celle de 1978 ou loi Informatique et libertés, qui définit la protection des données personnelles (frise chronologique). Le secret statistique s’applique aux données confidentielles obtenues ou exploitées à des fins de production de résultats statistiques. Pour les agents publics qui y sont soumis, c’est un secret professionnel.

Frise chronologique

Le secret statistique a un double rôle juridique. D’une part, à l’égard des agents du SSP, le non‑respect de la confidentialité les expose à des sanctions pénales sévères, allant jusqu’à un an d’emprisonnement et 15 000 euros d’amende. D’autre part, le secret statistique agit comme une protection. Il dispense le SSP de répondre aux demandes de réquisitions émises par des autorités administratives ou judiciaires concernant des données statistiques. Le secret statistique est opposable à ces réquisitions, ce qui n’est pas le cas du secret professionnel en général. Cependant, le secret statistique autorise la communication de données statistiques confidentielles auprès de chercheurs ou d’autres administrations, en réponse à des demandes d’accès formulées pour des motifs statistiques ou de recherche scientifique ou historique et sous la condition que les demandeurs s’engagent eux-mêmes à respecter la confidentialité des données, sous peine des sanctions prévues par la loi.

En parallèle du droit français avec la loi de 1951, le règlement n° 223 définit, dans le cadre européen les obligations qui s’attachent à l’usage de données confidentielles, lorsque celles-ci sont exclusivement obtenues pour la production de statistiques. Comme la loi de 1951, le règlement 223 interdit dans ce cas toute communication, sauf à des fins de statistiques ou de recherche. Il impose aux États membres de prévoir des sanctions en cas de violation du secret statistique.

Les résultats — agrégats, indicateurs, tableaux, graphiques et autres — issus de l’exploitation de données protégées par le secret statistique sont eux-mêmes soumis au secret statistique. Leur diffusion est possible s’ils ne permettent aucune réidentification des personnes ou organismes. La construction d’une statistique par agrégation n’est cependant pas une condition suffisante pour garantir le secret, pour peu que l’effectif que représente cet agrégat soit faible ou en fonction de la distribution de la valeur d’une caractéristique au sein de cet effectif (si par exemple une même caractéristique est partagée par tous les individus, ou si un individu prévaut excessivement sur les autres) (encadré 2).

Pour savoir quelles statistiques peuvent être librement diffusées, le SSP se réfère à des règles définies en fonction de critères simples.

La loi de 1951 ne spécifie pas directement d’obligation pour la diffusion de résultats statistiques (encadré 2). Le code des relations entre le public et l’administration indique que les données à caractère personnel ne peuvent être rendues publiques qu’après avoir été traitées de manière à empêcher l’identification des personnes concernées (article L312-1-2). Cependant, il ne précise ni les règles ni les méthodes à suivre pour atteindre cet objectif.

Dans tous les cas, la seule obligation résultant de la loi est de s’assurer que les résultats statistiques rendus publics ne permettent pas l’identification des personnes ni de leurs caractéristiques. Face à cette injonction, le SSP a dû mettre en place des méthodes et des moyens facilement opérationnels pour répondre à cette obligation sans nuire aux besoins d’information du public. Traiter les résultats statistiques pour prévenir les risques de réidentification a pour conséquence dans la plupart des cas d’appauvrir le contenu de ces résultats. De manière intuitive, plus les résultats sont détaillés, plus les risques de réidentification sont grands, et donc, inversement, des résultats moins détaillés permettront de réduire ces risques.

Certaines de ces méthodes, relativement simples à mettre en œuvre (à l’exception du problème du secret secondaire, encadré 3), consistent à définir des seuils de diffusion, également appelés « règles de secret statistique ». Ces règles sont élaborées de manière à minimiser les risques de réidentification sans compromettre la pertinence ou l’intérêt des données diffusées. Parmi les règles de secret les plus connues au sein du SSP, on peut citer celles qui limitent la diffusion de valeurs pour les statistiques d’entreprises (une valeur ne doit pas s’appliquer à moins de trois unités ou une unité ne doit pas représenter plus de 85 % du total de la valeur), ou encore celle qui s’applique aux statistiques issues de sources fiscales (une valeur ne doit pas représenter moins de 11 unités).

Une fois établies, ces règles doivent également être appliquées par les utilisateurs ultérieurs de données individuelles protégées par le secret statistique, tels que les chercheurs y ayant accès via le Comité du secret statistique (infra et encadré 4).

Le secret statistique s’applique à toutes données de nature confidentielle collectées ou produites à des finalités statistiques, qu’elles concernent des personnes physiques ou des personnes morales (entreprises, collectivités territoriales, associations, etc.).

Le secret statistique implique de la part des statisticiens l’engagement que les données confidentielles obtenues pour la production de statistiques, ne servent à aucune autre fin que l’établissement de statistiques ou à des travaux de recherche. Cet engagement exclut notamment tout usage à des fins de contrôle ou pour toute mesure ou décision à l’égard d’une personne en particulier.

La loi de 1951 établit trois régimes distincts par lesquels le service statistique public peut obtenir l’accès à des données individuelles confidentielles. Le bénéfice de ces régimes est lié à une obligation de secret. L’article 3 bis définit le régime d’accès aux bases de données détenues par des personnes morales de droit privé, les articles 1 bis, 2 et 6 bis définissent ensemble le régime applicable aux enquêtes statistiques obligatoires, et l’article 7 bis définit le régime d’accès aux données détenues par les administrations au sens large (y compris les personnes morales de droit privé exerçant une mission de service public).

Cependant, il serait erroné de limiter l’application du secret statistique aux seules données obtenues par l’un ou l’autre de ces trois régimes.

En effet, ne considérer que les données confidentielles obtenues par les régimes d’accès définis par la loi de 1951 exclut les nombreux autres cas où le service statistique public détient des données confidentielles. Par exemple, les données obtenues par accord de gré à gré ainsi que celles dont le service statistique public est directement destinataire grâce à des dispositions législatives ou réglementaires spécifiques, comme c’est le cas pour la déclaration sociale nominative. De plus, il convient de prendre en compte les données individuelles construites ou déduites par le service statistique public à partir des informations auxquelles il a accès. Ces données, qui sont issues de méthodes ou de calculs statistiques, ou qui peuvent être obtenues par appariement sont des résultats statistiques individualisés.

Leur utilisation à d’autres fins que statistiques peut ne pas être neutre pour les personnes concernées.

Au-delà du droit français, les obligations relatives au secret statistique découlent aussi des obligations que définissent les règlements européens, règlements sectoriels propres à un domaine particulier, ou règlements transversaux comme le règlement général sur la protection des données (RGPD, voir plus bas) ou le règlement 223 sur les statistiques européennes.

Le principe de finalité, au regard du considérant 162 du RGPD, implique ainsi que des données relatives à des personnes physiques et traitées pour des finalités statistiques ne peuvent être réutilisées qu’à des fins statistiques ou de recherche, ce qui en pratique revient à imposer le secret statistique à la diffusion ou la communication de ces données. Le règlement 223 interdit toute communication de données confidentielles obtenues pour la production de statistiques européennes, sauf motif statistique ou de recherche. Relevant de règles définies par une norme européenne, de rang supérieur, ces données échappent donc à toute règle de communication ou de diffusion applicable strictement en droit français.

À partir de 1978, la loi Informatique et libertés vient définir les obligations qui s’attachent à la protection des données des personnes physiques, lorsque ces données font l’objet de traitements automatisés, y compris les traitements statistiques. Elle renforce, pour le SSP déjà soumis au secret statistique, les obligations relatives à la protection de la vie privée.

Tout comme le secret statistique, la protection des données personnelles que définit la loi Informatique et libertés s’applique aussi longtemps que des données rendent possibles l’identification de personnes ou de leurs caractéristiques.

La loi de 1978, en commun avec la loi de 1951, vise pour les personnes physiques la protection de la confidentialité de leur vie privée. La loi de 1978 fait néanmoins entrer cette protection dans une nouvelle dimension, en tenant compte des risques spécifiques inhérents à l’automatisation des traitements de données individuelles.

À partir des années 60 en effet, le développement de l’informatique a ouvert la possibilité de collecter et traiter de grands volumes de données et de faciliter leur concentration et leur recoupement. Par les obligations qu’elle impose aux responsables de traitement, la loi Informatique et libertés cherche à répondre aux conséquences pour la protection de la vie privée de l’informatisation croissante de nos sociétés.

La loi Informatique et libertés a instauré de nouvelles obligations qui requièrent de la part des responsables de traitement de données de justifier la légitimité des finalités poursuivies, de garantir que les données traitées sont adaptées à ces finalités et de limiter leur conservation à la durée strictement nécessaire pour atteindre ces finalités.

Le renforcement des objectifs de protection va de pair avec des sanctions fortes en cas de manquement, plus fortes qu’en cas de violation du secret professionnel ou statistique. Les sanctions pénales actuellement prévues par la loi Informatique et libertés peuvent ainsi atteindre 300 000 euros d’amende et 5 ans d’emprisonnement.

La loi Informatique et libertés fait par ailleurs intervenir deux nouveaux acteurs dans le champ de la protection des données personnelles :

Depuis 2018, la loi de 1978 s’inscrit dans le cadre juridique européen harmonisé défini par le règlement général sur la protection des données (RGPD). Le RGPD renforce les droits des personnes concernées, notamment le droit à l’information sur les traitements, d’où une obligation de transparence plus grande encore que par le passé.

L’action de la Cnil évolue, d’un contrôle a priori vers un contrôle a posteriori : la mise en œuvre d’un traitement ne dépend plus systématiquement d’une formalité auprès de la Cnil. Néanmoins, la conformité du traitement peut être vérifiée à tout moment et il incombe au responsable de traitement de s’assurer par lui-même de cette conformité. Pour cela, la loi impose la tenue d’un registre des activités de traitement et la réalisation d’études d’impact sur la vie privée pour les traitements les plus sensibles, en se faisant assister par un délégué à la protection des données, qui agit auprès du responsable de traitement pour des missions d’assistance et de conseil et comme relais auprès de la Cnil.

Protection des données personnelles, secret statistique ne sont pas les seules obligations légales liées à la collecte et la production de données statistiques auxquelles le SSP est tenu de se conformer.

Comme toute administration, l’Insee et les services statistiques ministériels sont tenus de répondre aux demandes de communication relatives aux documents qu’ils produisent ou collectent, sur le fondement soit du Code des relations entre le public et l’administration, soit du Code du patrimoine. Ce dernier organise spécialement l’accès aux archives publiques, sachant que tout document administratif constitue dès sa production une archive publique.

Chacun a le droit de demander et d’obtenir l’accès aux documents et archives produits par les administrations, sous réserve que cette communication ne porte pas « une atteinte excessive aux intérêts que la loi a entendu protéger » autrement dit aux secrets définis par la loi. Les bases de données statistiques sont des documents ou des archives publiques au sens où le définissent ces deux Codes et sont donc soumises au droit d’accès.

Le Code des relations entre le public et l’administration organise par ailleurs les conditions de diffusion des documents – au sens large – produits par les administrations. Ces documents ne peuvent être diffusés sur un site Internet par exemple, que dans le respect des secrets définis par la loi et sous réserve que les informations relatives à des personnes physiques soient préalablement traitées pour ne permettre aucune réidentification de ces personnes, autrement dit anonymisées.

Jusqu’en 2016, la diffusion était une possibilité offerte aux administrations. Il leur était possible de publier ou pas. Avec la loi pour une République numérique ou loi Lemaire, le paradigme change. La diffusion devient la règle ; tout document, dès lors qu’il est communiqué, doit être diffusé, et cette diffusion doit se faire par publication sur un site Internet.

La France franchit un nouveau cap dans l’ouverture des données publiques ou Open Data, conçu comme un vecteur de transparence et d’amélioration de l’action publique ainsi qu’un puissant levier pour l’innovation économique. L’évolution de la législation française s’inscrit dans un mouvement porté au sein de l’Union européenne par la « stratégie européenne pour les données », dont le RGPD, le règlement sur la gouvernance de la donnée, adopté le 30 mai 2022, et le projet de règlement sur la donnée constituent les principaux vecteurs juridiques.

Néanmoins, l’obligation de diffusion portée par la loi Lemaire, en contraignant le SSP à réévaluer les risques de réidentification de certaines de ses bases de données, a eu des conséquences inattendues, voire paradoxales.

L’Insee et les services statistiques ministériels ont de longue date une politique d’ouverture relativement généreuse de leurs bases de données individuelles statistiques, dans le respect des règles de confidentialité et du secret statistique, à destination en particulier du monde de la recherche.

Cette politique s’organise sous un régime de communication et d’accès restreints, essentiellement sous deux formes :

S’il était admis que les FPR étaient anonymisés dans un contexte de communication, ce n’était plus le cas s’ils devaient être publiés. La mise en ligne d’un fichier de données individuelles l’expose en effet à des risques de tentatives de réidentification menées à l’aide d’autres informations, connues ou rendues publiques, sur les personnes concernées. Des travaux de recherche (Ouvrir dans un nouvel ongletNarayanan et Shmatikov, 2008 ainsi que Ouvrir dans un nouvel ongletSweeney, 1997) ont montré la vulnérabilité de données mises en ligne, bien qu’elles aient fait l’objet d’une anonymisation poussée. En d’autres termes, le risque de réidentification est toujours plus élevé pour des données mises en ligne et rendues publiques.

Dans le contexte de la loi Lemaire, le SSP s’est trouvé contraint de publier ces FPR, et ainsi de courir le risque de rompre la confidentialité des données, sauf à décider d’en arrêter la communication. En définitive, ces fichiers sont restés accessibles aux chercheurs et aux services publics pour des finalités statistiques, moyennant une procédure qui soumet maintenant leur communication à un avis du Comité du secret statistique. En revanche ces fichiers, désormais couverts par le secret statistique, ne sont plus accessibles pour des motifs non statistiques, notamment pour des utilisations commerciales.

Ainsi, paradoxalement la loi voulue pour promouvoir l’accès le plus large possible aux données publiques, a eu pour conséquence de restreindre l’accès à certaines données statistiques. Ce que l’on peut considérer comme une manifestation de l’attachement viscéral du SSP à la protection du secret statistique et de la confidentialité des données qu’il détient.