Data : 2018, une année clé pour les collectivités

En effet, dans le contexte d'explosion du volume de données collectées, les collectivités territoriales détiennent une part significative de ce patrimoine immatériel qui ne demande qu'à être valorisé…

Elles recueillent, stockent, échangent et brassent une quantité considérable de données, notamment à travers les services aux usagers (e-administration, téléservices, état civil, recensement, logements sociaux, gestion des établissements scolaires, versements d'aides sociales, SIG, etc.), les dispositifs de contrôle et de sécurité (vidéoprotection par exemple) ou encore les innovations déployées dans les smart cities.

Porté par la loi pour une République numérique promulguée le 05 octobre 2016, le mouvement d'ouverture des données publiques (open data) implique une transformation profonde de la manière de conduire les politiques publiques.

Il s'agit de fait de répondre aux attentes accrues de la société civile, en termes de transparence, d'animation des pratiques démocratiques et d'accès à l'information, mais également d'amélioration de l'efficacité des services publics. Le passage d'une logique de demande à une logique d'offre est donc au cœur de la démarche et implique de questionner les besoins réels des utilisateurs pour définir le socle, le format des données à partager et les modalités d'enrichissement (publication des données d'une commune seule vs mutualisation des données de la commune et de son EPCI par exemple; placement des données en licence ouverte ou non…).

Le cadre posé par le législateur impose ainsi aux collectivités de plus de 3 500 habitants ou employant plus de 50 agents de se soumettre à une obligation de mise à disposition de leurs bases de données d'ici fin 2018, sous réserve d'anonymisation des données personnelles et à l'exception de certaines catégories de données (dérogations pour celles répondant à un intérêt national, ou liées à des problématiques de protection de la propriété intellectuelle). A minima, l'ensemble du périmètre des données existantes au format numérique déjà échangées dans le cadre de la loi CADA[1] sont concernées.

Sans préjuger de leur potentiel, tous les secteurs d'intervention des collectivités collectent et stockent des données valorisables. Dans une société de la connaissance où les technologies et applications web ne cessent de se développer, les promesses de la réutilisation des données sont démesurées tant comme levier de la modernisation de l'action publique que pour soutenir la dynamique d'innovation des territoires. Le développement d'une culture de la donnée au sein des services peut ainsi être synonyme de gain de temps et d'économies budgétaires pour les collectivités : une meilleure appréhension du patrimoine de données facilite en effet le décloisonnement des équipes dans la mise en œuvre des processus internes et permet une redirection des citoyens vers les sources d'information existantes.

N.B : Comme souvent, la mutualisation de la stratégie et des outils constitue un levier activable entre collectivités pour limiter les coûts générés et bénéficier d'une émulation dans l'innovation.

Mais si certains acteurs du paysage local se sont lancés en pionniers dans l'aventure en proposant des plateformes et portails open data grâce auxquels foisonnent les études, projets et applications de réutilisation (par des tiers ou l'administration elle-même), le processus est encore loin d'être mature pour tous et les petites communes - en particulier - ont un besoin d'accompagnement prégnant pour franchir le cap technologique…et organisationnel associé !

Car le plan d'actions pour réussir la libération de ses données n'est pas mince et représente nécessairement un coût financier et humain :

• Etat des lieux des données existantes et documentation d'un catalogue des données
• Nettoyage des données (enjeu de qualité et de fiabilisation des données)
• Protection et confidentialité des données
• Enrichissement éventuel des données et transformation en un format exploitable standardisé (permettant une interopérabilité et pour faciliter le croisement avec d'autres sources)
• Stockage sécurisé des données (avec la contrainte d'un hébergement sur le territoire français[2])
• Publication des données (dont portail informatique et fonctionnalités associées – data visualisation -, référencement et gestion du contenu)
• Communication auprès des concitoyens, entreprises et partenaires

• Handicap : projet HandiMap de calcul des itinéraires accessibles aux personnes à mobilité réduite en fonction (voirie, transports publics, stationnement, etc.). A noter sur le développement des SIM[3] est particulièrement important grâce à la multitude de données libérées dans le domaine des transports et de la mobilité urbaine
• Engagement citoyen : lors des régionales de 2015 et des législatives de 2017, le site panneaux-election.fr a proposé aux militants en charge des tournées d'affichage électoral de calculer le trajet le plus optimisé en fonction de la localisation des panneaux
• Smart City : croisement des données afin de limiter les dépenses énergétiques dans une logique de maintenance prédictive
• Soutien à la création d'entreprises : fourniture de données locales et de statistiques thématiques / sectorielles permettant d'alimenter la constitution de business plans pour les entrepreneurs
• Tourisme : mise à disposition de l'ensemble des informations agrégées (vérifiées et de qualité) visant à renseigner les voyageurs en devenir sur le territoire
• Habitat : publication du programme local de l'habitat de l'EPCI, pour une plus grande transparence des critères de priorisation pour l'attribution des logements sociaux
• Calcul du quotient familial municipal : la ville de Lyon propose un simulateur permettant de calculer le quotient familial municipal, qui détermine les réductions pour les prix des repas des cantines scolaires ou sur les activités culturelles et sportives
• Déchets : Rennes Métropole a mis en ligne un guide du tri des déchets, qui comporte une fonctionnalité permettant de connaître les horaires de passage théoriques des bennes à 2h prêt en saisissant son adresse

A moins d'un an[4] de l'entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD), nouveau cadre de référence qui vient compléter et renforcer les grands principes de la loi Informatique et Libertés, les collectivités territoriales ne sont pas épargnées par les efforts de mise en conformité.

Plusieurs obligations s'imposent directement aux collectivités sous peine de lourdes sanctions administratives[5] pour les organismes et pénales en cas de manquement grave pour les responsables de l'exécutif, à savoir :

• L'obligation de désigner un délégué à la protection des données (DPO), qui peut être une fonction mutualisée (ou sous-traitée) pour les organismes publics compte tenu de leur structure organisationnelle et de leur taille[6]

​​​​​​Disposant d'un rôle assez similaire à son prédécesseur[7], le DPO a pour missions :

• d'accompagner la mise en application du règlement (recensement des données, analyse d'impact sur la vie privée pour les traitements à risque, gestion des risques, etc.) ;
• de sensibiliser / former les agents aux enjeux de protection des données et d'ancrer une culture "informatique et libertés" au sein de la collectivité ;
• d'informer et de conseiller le responsable de traitement des données et d'encadrer les opérations assurées par des sous-traitants;
• de garantir le respect du règlement et du droit national en matière de protection des données (à travers des audits juridiques et techniques), en collaboration avec le service juridique et le responsable des systèmes d'information;
• de documenter les éléments et mesures justifiant de la mise en conformité, dans une logique d' "accountability" (passage d'un régime déclaratif à un paradigme d'auto-responsabilisation des acteurs);
• de gérer toute faille de sécurité quant à la protection des données, dont la notification à la CNIL voire aux usagers concernés;
• de constituer l'interlocuteur privilégié de la CNIL.

• La réalisation d'une analyse de l'existant : cartographie exhaustive des traitements de données à caractère personnel présents au sein de la collectivité​
• La formalisation d'une documentation et de procédures internes, tenues à jour, communicables à la CNIL en cas de contrôle (sous forme d'un registre recensant l'ensemble des traces techniques et moyens organisationnels déployés et les activités de traitement) pour démontrer que la collectivité offre un niveau optimal de protection aux traitements de données
• La mise à jour des informations spécifiées dans les appels d'offres des marchés publics pour s'assurer de la responsabilisation des prestataires et sous-traitants
• L'information des administrés quant à leurs droits (accès; rectification / opposition / effacement dans le cadre de l'auto-détermination informationnelle[8]; portabilité des données) ainsi qu'aux modalités de traitements des données (par exemple via une complétion des mentions légales d'un portail internet, à la formalisation des politiques de confidentialité, à l'adoption de code de conduite ou encore à la labellisation de la collectivité)
• L'intégration du principe de protection des données dès la conception du traitement (privacy by design) et par défaut (privacy by default)

   

  Le durcissement du cadre réglementaire constitue un véritable défi pour les collectivités les plus modestes, pour lesquelles les SI et portails Web demeurent majoritairement artisanaux avec une cyber-sécurité loin d'être invulnérable. Or, le caractère sensible de nombreuses données qu'elles détiennent (comme l'Etat civil) en fait des cibles privilégiées et le développement des usages impliquant des objets connectés, mal maîtrisés, complexifie d'autant les risques de fuites…  

Si la libération des données et le développement de l'e-administration représentent des leviers prometteurs pour la modernisation de l'action publique, le corollaire indispensable réside dans une utilisation responsable et sécurisée des données personnelles collectées.

Au-delà des contraintes normatives, il est essentiel que les collectivités s'approprient dans leurs modes de fonctionnement ces exigences de protection et de sécurité des données sous peine de rompre le lien de confiance avec leurs administrés, extrêmement soucieux des modalités d'utilisation de leurs informations.

[1] Loi Cada n°78-753 du 17 juillet 1978, modifiée en 2005

[2] Principe d'un cloud dit souverain

[3] SIM : systèmes d’information multimodaux

[4] 25 mai 2018

[5] susceptibles de s'élever à 20 millions d'euros en cas de mauvaise gestion ou de fuites de données personnelles !

[6] Article 37 du RGPD

[7] le correspondant Informatique et Libertés (qui était toutefois une fonction facultative)

[8] Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant »