collectivités open data RGPD

L’open data est l'un des leviers majeurs pour la transformation numérique de la société. Enjeu d’avenir pour le secteur public et le secteur privé, la politique d’ouverture des données est au cœur des préoccupations relatives à la transparence gouvernementale et à l’optimisation du savoir informationnel. Les conditions de cette mise à disposition ne sont toutefois pas exemptes de cadre juridique, notamment lorsque les données des administrés en sont l’origine, la CNIL ayant rappelé récemment l’exemplarité attendue de la part des collectivités en matière de protection des données à caractère personnel. Retour sur les enjeux devant être relevés par les collectivités territoriales.

L’open data français ou la transparence gouvernementale

Au préambule de la Constitution de 1958, la Déclaration des Droits de l’Homme et du Citoyen est citée à titre de source juridique française du concept d’open data. L’article 15 est en effet considéré comme le fondement historique du droit d’accès aux informations publiques : « La Société a le droit de demander compte à tout agent public de son administration ». 230 années plus tard, la France occupe la quatrième place mondiale en matière d’open data au sein du classement mondial et étoilé de la World Wide Web Foundation (W3F). Cette organisation à but non lucratif, créée par Tim Berners Lee en 2009, a pour objectif de promouvoir un « web ouvert » afin que les Etats s’engagent en matière d’ouverture des données publiques.

Membre du Partenariat pour un Gouvernement Ouvert (Open Government Partnership), la France continue à œuvrer pour assurer la qualité de l’ouverture des données de ses administrations. Au centre de son plan d'action sur la période 2018-2020, l’open data est l’un des engagements gouvernementaux à côté des actions prévues en matière de marchés ouverts, de transparence algorithmique, d’intelligence artificielle, de participation des citoyens ou de science ouverte.

Par une circulaire du 26 mai 2011, la politique d’ouverture des données publiques a été confiée à la Mission Etalab. Ce département est aujourd’hui rattaché à la Direction interministérielle du numérique, la « DINUM » [1]. Appartenant aux services du Premier ministre, Etalab accompagne l’ouverture des données de l’Etat et de ses administrations. Ces actions sont coordonnées par l’intermédiaire de la plateforme interministérielle data.gouv.fr qui permet la mise à disposition de jeux de données émanant des acteurs du secteur public [2], en plus d’en inciter le partage et d’en recenser les réutilisations ultérieures à travers les différentes licences.

La plateforme data.gouv.fr recense aujourd’hui plus de 39 000 jeux de données, rendus accessibles par près de 2400 organisations. Depuis la loi pour une République numérique, adoptée le 7 octobre 2016 (dite « Loi Lemaire »), Etalab est également chargé du service public de la mise à disposition des données de référence en vue de faciliter leur réutilisation. En octobre 2019, Etalab a lancé le site code.etalab.gouv.fr permettant de découvrir la liste des codes sources publiés par des organismes publics. Souhaitant encourager de nombreuses pratiques de la matière, Etalab organise différents événements publics, mobilisant ce mois-ci la communauté des Blue hats, ces « hackeurs d’intérêt général » afin d’encourager l’usage du logiciel libre au sein de l’administration.

L’open data local au cœur de la transition numérique des collectivités

Les collectivités territoriales manifestent un réel engouement quant à l’utilisation des nouvelles technologies pour remplir leurs missions de service public, qu’il s’agisse de la dématérialisation des procédures administratives, de la mise en place de consultations publiques en ligne ouvertes aux citoyens ou de tout autre constituant de l’administration numérique. Les collectivités territoriales incarnent ainsi l’enjeu gouvernemental à l’échelle locale en matière de politique de gouvernement ouvert. Dans ce contexte de modernisation de l’action publique, l’accompagnement des collectivités territoriales est devenu primordial en matière d’open data et de protection des données.

Alimentant ces missions et objectifs, l’open data sert l’innovation numérique, l’attractivité des territoires et l’optimisation des nouveaux services proposés dans le cadre de l’administration numérique, remplaçante de l’administration électronique. Réponse forte à la transparence de la vie publique, l’open data se veut incarner un vecteur gage de confiance des administrés. Suite à la loi LENOTRe, la loi pour une République numérique a consacré le principe d’ouverture par défaut des données publiques, l’exception devant la règle. En conséquence, les administrations d’État, les collectivités locales de plus de 3 500 habitants, les établissements publics et les organismes privés chargés d’un service public, à l’exception des entités de moins de 50 agents doivent donner accès à leurs principaux documents dès lors qu’ils traduisent un intérêt économique, social, sanitaire ou environnemental. Les administrations concernées doivent également partager les règles définissant les traitements algorithmiques utilisés au fondement de décisions individuelles.

Vers une protection « exemplaire » des données des administrés par les collectivités territoriales

Dans le cadre de la politique d’open data, la diffusion des données des collectivités doit nécessairement être conciliée avec les impératifs liés à la protection des données personnelles. Un certain nombre de données traitées relevant du secret de la vie privée des administrés, il convient pour les collectivités territoriales de respecter le cadre juridique et les mesures techniques associées afin de produire un open data local de qualité.

Suite à l’entrée en application du Règlement Général sur la Protection des Données (« RGPD ») à la date du 25 mai 2018, les traitements de données personnelles doivent être cartographiés et recensés au sein d’un registre des traitements. Il convient pour les collectivités d’être en capacité de démontrer le consentement des administrés pour justifier de la licéité de certains traitements et de réaliser des analyses d’impact en cas de traitements susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Autre axe majeur renforcé par le RGPD, la sécurité des systèmes d’information, qui est essentielle face aux cyberattaques. En effet, les collectivités territoriales sont de plus en plus sujettes à des menaces liées à l’utilisation des outils informatiques et à la dématérialisation de leurs procédures. Loin d’être réservées au secteur privé, ces attaques ciblent les vulnérabilités des collectivités et peuvent être constitutives de violations de données personnelles.

Ce dernier mois, plusieurs collectivités françaises ont été victimes de ce type d’attaques informatiques visant à la fois la violation de données des administrés et le paiement de rançon de la part des entités publiques. A titre d’exemple, la ville de Cognac a été victime d’un cryptovirus qui a affecté son système informatique à travers son serveur principal ainsi que ses sauvegardes, contaminant des milliers de fichiers touchant aux particuliers, aux agents et aux entreprises. De même, la ville de Nuits-Saint-Georges a été victime d’un virus s’étant introduit dans ses systèmes informatiques par le site Internet de la Médiathèque et doit aujourd’hui remplacer l’ensemble des ordinateurs de sa Mairie, en plus d’en changer l’intégralité des adresses électroniques.

A l'occasion du Congrès des Maires ayant eu lieu le 20 novembre 2019, la présidente de la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a rappelé que les collectivités devaient « montrer l’exemple » en matière de protection des données personnelles. Au regard des différents degré de mise en place de la protection des données et des systèmes informatiques à l’échelon local, l’accompagnement des collectivités territoriales est aujourd’hui au cœur des préoccupations.

L’accompagnement renforcé des collectivités territoriales fin 2019

La CNIL a récemment multiplié les actions afin d’aider les collectivités territoriales à réaliser leur mise en conformité au RGPD et à les accompagner dans les enjeux liés à l’open data à travers différentes publications sur son site Internet (guides, fiches pratiques, formulaires dynamiques en ligne, etc.).

Ainsi, au mois de septembre 2019, la CNIL a publié un guide de sensibilisation au RGPD à destination des collectivités territoriales afin de leur rappeler les enjeux et les conseils principaux liés à la mise en place du cadre légale en matière de protection des données des citoyens (registre, analyses d’impacts, désignation d’un DPO, etc.).

En collaboration avec la Commission d'accès aux documents administratifs et en partenariat avec Etalab, la CNIL a également publié un guide sur la réutilisation des données publiques et sur leurs conditions de publication en ligne. Rappelant le cadre juridique applicable, le guide propose à titre d’exemple une fiche pratique sur l’anonymisation des documents administratifs produits. Cette technique est une obligation préalable à toute diffusion de données administratives, conformément au Code des relations entre le public et l’administration.

Au mois de novembre, la CNIL a signé avec l’Association des maires de France une convention de partenariat d’une durée de trois ans, afin de soutenir les communes et intercommunalités dans leur mise en conformité au RGPD et à la dernière version en vigueur de la Loi Informatique et Libertés. Enfin, la CNIL a mis à disposition un formulaire dynamique sur son site Internet afin d’aider les collectivités à décider de la publication en ligne de leurs documents dans le cadre de l'open data.

Le respect de ces pratiques, outre la forte mobilisation des services de l’Etat en matière d’ouverture des données publiques, permettra peut-être à la France de retrouver la troisième place du podium qu’elle occupait en 2014 au sein du classement de référence de la World Wide Web Foundation.

 [1] La Direction interministérielle du numérique de l’Etat, la « DINUM », a succédé à la Direction interministérielle du numérique et du système d'information et de communication de l'Etat, la « DINSIC », par décret du 30 octobre 2019.

[2] Il s’agit principalement de la centralisation des données publiques de l’Etat, de ses établissements publics ainsi que de certaines collectivités territoriales et de personnes de droit public ou de droit privé chargées d’une mission de service public.

jade-charlotte.caboche
Jade Charlotte CABOCHE
Consultante