Au delà de l’open data

Doigt Touch Main Structure Internet Réseau

L’ouverture des données publiques (open data) collectées par les administrations locales est-elle compatible avec les attendus du nouveau Règlement Général de Protection des Données (RGPD) ?

Cette question peu débattue mérite de l’être si l’on considère l’un des points centraux portés par ce règlement européen dont la nouvelle loi Informatique et Libertés transposera les attendus dans le droit français d’ici la fin mai 2018.

Il s’agit de l’anonymisation des données personnelles.

Un principe incontournable qui suppose que quel que soit le système applicatif traitant ces jeux de données, celui-ci doit être conçu ou mis à niveau de manière à rendre « impossible » la ré-identification des personnes physiques.

En regard des données ouvertes que nos administrations livrent aujourd’hui gratuitement à qui les veux et sans aucune contrepartie, la donnée à caractère personnel n’a pas fait explicitement l’objet d’une exclusion de collecte, ou plutôt la question des recoupements possibles que permettent désormais des algorithmes de plus en plus puissants, n’a pas été approfondie de manière à sécuriser totalement ce nouveau territoire d’exploitation de nos data.

Pour rester pragmatique quant aux enjeux, il est utile de rappeler qu’aujourd’hui la mise en œuvre de l’Open Data concerne moins d’une centaine de collectivités, 80 précisément selon l’association des collectivités engagées dans le mouvement d’ouverture des données publiques, Open Data France (http://www.opendatafrance.net/ ).

Pour être encore plus précis, l’association indique que le catalogue de « Dataset » (jeux de données) disponible s’élève à 19.500 fichiers et a permis le développement de 346 applications réutilisatrices dont 76 % sont conçues pour les mobiles.

Elle indique par ailleurs que la « population touchée » s’élève à 48.000 (en milliers d’habitants), ce qui paraît considérable mais qui peut s’expliquer assez logiquement par l’apport de l’Insee et de sa banque de données macro-économique : recensement et statistiques sur les habitants et les logements, leur nombre et leurs caractéristiques, répartition par sexe et âge, professions, diplômes-formation, conditions de logement, modes de transport, déplacements domicile-travail, etc. (cf. https://www.data.gouv.fr/fr/datasets/population/).

Certains de ces fichiers livrent des données à caractère personnel. Ainsi les noms, prénoms, et date de naissance de l’élu à la charge de maire d’une commune par exemple. D’autres permettent des recoupements de données commerciales avec des personnes physique qui, sans manifester aujourd’hui une quelconque volonté de nier l’existence d’une liquidation judiciaire et de leur propre faillite personnelle, n’auront pas demain forcément le désir de voir ainsi leurs déboires et accidents de la vie aussi aisément compilables, traçables et rapportés à l’envi.

D’ailleurs ce point interpelle d’autres valeurs portées par les textes : le droit d’accès, le droit à l’oubli et le droit à l’effacement par exemple.

Ainsi au-delà des délais légaux de publication de ces informations, la publicité et les récolements dont auront été l’objet ces données à caractère personnel, seront autant de difficultés auxquelles devront faire face les collectivités sollicitées par des demandeurs dont on peut logiquement imaginer que la population suivra la courbe de la croissance des applications existantes et à venir.

Autrement dit, il va falloir du monde au balcon pour traiter ces demandes et démêler l’écheveau des interconnexions et responsabilités croisées en cas de litige.

Et il est à craindre justement que le peu d’adéquation apparent entre ces deux démarches, l’une d’ouverture et l’autre de contrôle d’une même matière, à savoir la data, ne nous réservent de mauvaises surprises.

Casse-tête

Ce ne serait pas le moindre des paradoxes de cette situation : en érigeant en protecteur de nos données un règlement qui sonne comme une réponse économico-juridique à ces « Gafa » que l’Europe n’a pas, l’application de celui-ci risque in fine de contrarier le développement de ce territoire numérique que doit justement favoriser l’ouverture des données dites publiques !

Des données publiques dont la collecte ouvre d’ores et déjà un champ du possible vers plus de détails que la simple macro-économie d’un territoire et qui ira naturellement au-delà de ce que l’open data actuel a déjà été capable de produire, et ce pour au moins une raison qui tient à la nécessaire accélération que le législateur devra imposer pour que le territoire numérique prenne réellement corps.

La faiblesse des réalisations actuelles et les engagements pris demeurent assez largement en retrait de l’objectif fixé il y a 2 ans par la Loi Numérique qui, rappelons-le, prévoit que l’ensemble des collectivités (> 3500 hbts) seront « open-data compatible » dès l’automne prochain.

Sur ce point, l’étude menée par le CNAM Innovation et publiée après enquête en octobre dernier était certes un indicateur à contre-courant d’un engouement largement partagé dans les médias au sujet du développement de l’Open Data, mais elle avait le mérite d’en distinguer les causes : la charge des obligations pesant sur les collectivités confrontées aux chantiers des infrastructures (THD) et de la dématérialisation a pour effet de reléguer la question de l’ouverture des données à un traitement ultérieur (cf. enquête sur les schémas directeurs et politique numérique territoriale ).

Un sujet qui d’ailleurs dans la plupart des cas restait encore à planifier à l’automne dernier.

Et ce n’est peut-être pas plus mal si l’on prend en considération la réflexion sur l’interopérabilité des flux et des jeux de données versus le risque d’une exploitation que viendrait contester des citoyens s’appuyant sur la nouvelle loi Informatique et Libertés.

Ce fameux RGPD qui nécessite également de considérables travaux de recensements des fichiers, des moyens de collectes et de sécurisation des systèmes informatiques pour être au rendez-vous du mois de mai prochain.

On ne saurait trop recommander aux collectivités déjà engagées dans l’open data de s’interroger rapidement sur la démarche qui permettra de s’assurer de la compatibilité RGPD des « dataset » déjà mis à disposition, d’en assurer l’anonymisation lorsque l’audit de situation révèlera des failles ; ou bien – faute de temps et de moyens à allouer à cette tâche –  d’abandonner purement et simplement les publications concernées en attendant des jours meilleurs.

Une sorte de principe de précaution dicté par la loi de ce marché numérique qui lorsqu’il voit quelque chose de gratuit s’offrir à lui ne peut s’empêcher de voir au-delà de l’open data.

Hervé Manfrini, le 2 mars 2018

À propos de MagnaData

Hervé Manfrini est le fondateur de Magna Data, l’observatoire des pratiques de contrôle et de valorisation des données à caractère personnel au sein des organismes privés ou publics. Magna Data fait référence aux travaux des états européens qui visent à favoriser l'émergence d'une charte européenne respectueuse des droits individuels et de l'économie numérique. En savoir plus: https://fr.linkedin.com/in/hmanfrini Suivre : https://twitter.com/HManfrini

Voir tous les articles de MagnaData

Pas encore de commentaire.

Laisser un commentaire

Unblog.fr | Créer un blog | Annuaire | Signaler un abus