lundi 25 juin 2018

RGPD : la centralisation des SI des collectivités locales en vue

Le RGPD qui vise à assurer un traitement adéquat des données des citoyens européens a peut-être été imaginé avec les GAFAs en tête, mais il s'applique à tous ceux qui traitent ces données personnelles.
Et il y a des acteurs auxquels on ne pense pas immédiatement et dont pourtant l'impact du RGPD sur elles sera très fort : les collectivités locales.
En France, ce sont les municipalités, conseils départementaux et régionaux et les EPCI qui sont bien sûr totalement concerné par le règlement et où certains élus, éloignés des sujets numériques, découvrent que leur responsabilité est engagée ! Toutes les collectivités en Europe sont également concernées.

Et oui les collectivités exploitent de nombreuses bases de données avec notamment les données personnelles de leurs administrés, vous, moi et 65 millions de français, mais également d'européens, pour les dizaines de services gérés, de la cantine scolaire de vos enfants, à l'État civil en passant par la e-administration qui ouvre le champ de la cybersécurité.
Contrairement aux bases de données des administrations centralisées, ces données sont réparties dans les milliers de systèmes d'information de cette administration territoriale décentralisée sur plus de 35.000 communes et les départements.

Cette fragmentation augmente ainsi l'effort de sécurisation et de mise en œuvre du RGPD. Ainsi les 5,8 millions de français (9%) qui habitent dans des villes de moins 1.000 habitants, et les 53% dans une ville de moins de 10.000 habitants, montrent de facto l'éparpillement des données personnelles sur le territoire et les redondances certaines entre toutes ces bases de données.
Mais la tendance générale est quand même au regroupement des systèmes d'information au niveau des intercommunalités ou des métropoles comme l'ont montré les réorganisations suite à la mise en place de la loi Notre qui met en place la réforme territoriale.

Dans ce contexte, on se demande comment l'arsenal du RGPD, à commencer par la mise en place d’un DPO (Data Privacy Officer) est possible dans toutes les communes.
Le RGPD vient sans aucun doute de monter la barre requise pour la compétence de traitement des données. Un premier impact sera certainement la poursuite accélérée d'une centralisation des systèmes d'information. Moins de SI mais plus conformes, proposés comme services (ça rappelle le développement du SaaS dans les entreprises), sera une tendance dans une économie de plus en plus numérique.

Cette semaine se tenait à la Maison de la Chimie à Paris une conférence sur "les collectivités territoriales faces au défi du RGPD". GreenSI est allé y jeter une oreille. Deux tables rondes s'y sont tenues pour répondre à la question de savoir si ce règlement était une contrainte ou une opportunité, et comment en optimiser la mise en œuvre.

 
Le premier enseignement de ces échanges est que l’arrivée tardive de la loi qui transpose le RGPD (arrivée cette année pour une loi européenne de 2016) et l’absence de préparation et d’accompagnement des collectivités pour la mise en conformité, sont à l’origine des multiples interrogations, voir difficultés, au sein des petites communes et des élus. En premier lieu bien sûr la question du financement de l'adaptation des systèmes d'information.

L’État s’est attribué un statut spécial en s’exonérant des amendes de la CNIL, mais les collectivités n'en bénéficieront pas (malgré la tentative du Sénat qui l'a proposé) et elles ne recevront pas non plus d'aides de l’État pour en supporter le coût de mise en conformité. Comme toutes les collectivités devront être conformes, même si on entend dans les couloirs que la CNIL ne va pas les viser en premier, elles vont devoir s'adapter et notamment nommer un DPO.

Une possibilité envisagée est la mutualisation des DPO. Cette mutualisation permettra le partage de compétences entre petites communes, avec ce profil issu de l’informatique, du juridique et ou du contrôle interne.

Le côté positif c'est que le règlement va demander à ces communes de se réapproprier les données qu’elles possèdent, de mieux les cartographier, d'en identifier les données personnelles, et pour certaines pourquoi pas de réfléchir à leur valorisation. Mais pour John Billard Vice-Président, en charge du numérique, de l’association des Maires Ruraux de France (AMRF), le RGPD rajoute des contraintes, notamment l’obligation de sécurisation des données, à des mairies qui ne sont ni préparées, ni accompagnées.

Faire porter le rôle de la transformation numérique dans l'équipe municipale devient donc une priorité pour sensibiliser largement.
Pour les moyens techniques, les collectivités qui passent par des prestataires du domaine privé, vont certainement pouvoir monter en compétence plus vite et exploiter la mutualisation offerte par ces entreprises. 

Mais la collectivité n'est pas isolée dans ses traitements de données, et les Départements vont concentrer de nombreuses données des communes et ainsi augmenter naturellement le risque à cet échelon.
Ces échanges réguliers de données au sein du "mille-feuille" (département, agences, ...) doivent donc être revus pour être sécurisés, quand dans le même temps la loi pour une République numérique de 2016 a mis en avant lobligation de l'opendata pour les communes de plus de 3.500 habitants, ce qui va augmenter le nombre de ces échanges.

Certes, l'open data ne concerne pas les données personnelles, mais, avec la sophistication croissante des algorithmes, de plus en plus de données vont rentrer dans la catégorie des données personnelles car elles pourront être croisées "intelligemment" avec des sources externes.
Il y a d'ailleurs des points communs entre le RGPD et l'open data et même avec la Smart City, comme par exemple la démarche de recensement des données et un objectif d'aller vers une meilleure connaissance des données et de qui les utilisent. La maîtrise des données et de leurs flux, devient donc un enjeu pour toutes les collectivités, une base pour faire reposer une nouvelle gouvernance de la donnée.


Autre acteur avec qui la collectivité interagit : l'usager.

On assiste ici à une transformation profonde de la relation usagers avec l’avènement d’un "usager acteur", qui a des droits nouveaux vis-à-vis de ses données. Le mode de pensée précédent mettait en avant le côté irréprochable de l'administration, qui se déclinait de facto dans son système d'information, mais sans trop avoir besoin de le démontrer à l'usager. Le RGPD demande lui une déclaration à priori des traitements effectués, une acceptation par les usagers, un accès aux données et la démonstration de l'assurance à tout moment de la protection de ces données. Après tout si le RGPD est arrivé là pour donner le pouvoir à l'usager de se défendre contre les GAFA, cela fonctionne aussi avec des collectivités peu scrupuleuses dans l'usage ou la protection des données.


Pour GreenSI il ressors de ces débats que le RGPD vient d'enclencher le compte à rebours de la centralisation des systèmes d'information des collectivités locales pour atteindre une conformité à un coût raisonnable.

Les grandes collectivités et les territoires comme la Manche, qui ont déjà monté la compétence des SI en support de toutes les communes, n'ont pas attendu le RGPD pour engager cette rationalisation. Mais les petites collectivités n'auront pas d'autre choix que de partager leur DPO et les traitements informatiques standards avec d'autres collectivités.

C'est aussi un signal fort pour toutes les collectivités pour engager une transformation autour des données, de bénéficier de plus de transversalité en interne, de leur ouverture en open data en externe, voir jusqu'à leur valorisation avec des tiers.
Devant ces nouveaux enjeux de mutualisation, de sécurisation des données, de big data et de centralisation des traitements, le Cloud a quelques atouts. C'est donc dommage que les projets de clouds souverains engagés par l'État il a plus de 5 ans (CloudWatt, Numergy) aient échoués, car avec l'entrée en vigueur le mois dernier du "Cloud Act" qui permet à l'Administration américaine de mettre la main sur les données hors de son territoire (malgré le RGPD), l'offre Cloud devient réduite pour les collectivités. 
GreenSI n'est donc pas surpris cette semaine par Outscale (racheté par Dassault Systèmes) qui annonce aux Cloud Days, lancer un Cloud dédié au secteur public. La transformation numérique des collectivités locales passera d'abord par celle de leur infrastructure.
Previous Post
Next Post
Related Posts

L'humour de ceux qui aiment le numérique