Language

[Product Talk] Aider les métiers à consommer les données : data marketplace ou data catalog ?

Je m'inscris
Accès aux données

RGPD : la nouvelle gouvernance des données dans le secteur public

Data governance

Si le RGPD peut représenter une source d’inquiétudes pour les organisations publiques, il s’inscrit surtout comme l’opportunité d'exploiter les données en sa possession pour mieux se structurer et renforcer la confiance avec ses administrés.

Brand content manager, Opendatasoft
Voir tous ses articles

Le Règlement Général sur la Protection des Données (RGPD) entrera en application le 25 mai 2018. Ce nouveau texte européen marque un tournant majeur pour les organismes publics puisque ceux-ci sont désormais considérés comme des responsables de traitement de données personnelles au même titre que les entreprises privées.

Si le RGPD peut représenter une source d’inquiétudes pour les organisations publiques du fait des nombreuses obligations qu’il implique, il s’inscrit surtout comme l’opportunité de procéder à un examen précis des données en sa possession – qu’elles soient sensibles ou non – pour mieux se structurer et renforcer la confiance avec ses administrés.

Copy to clipboard

Les données, aussi variées soient-elles (urbanisme, logement, mobilité, budget, fonctionnement démocratique, équipements et usages culturels, etc.), occupent une place centrale dans le pilotage d’un territoire ou d’une administration. Leur bonne gestion, leur bonne compréhension et leur bonne circulation dans l’entité aident à produire une réponse plus précise et adaptée aux problématiques qui touchent de près les citoyens (comment mieux se déplacer à l’intérieur du territoire, où inscrire ses enfants à l’école, quelles sont les mesures de sécurité mises en place par sa commune dans les lieux publics, etc.).

Nombre de ces données revêtent un caractère personnel, dès lors que celles-ci apportent une information permettant de reconnaître les citoyens. Listes électorales, emprunts d’ouvrages à la bibliothèque municipale, consommation énergétique dans les habitations, occupation des logements sociaux, bénéficiaires d’aides de l’État… de telles données comportent des éléments d’identification des administrés. Cette détention de données à caractère personnel rend les organismes publics, et de facto les citoyens, hautement vulnérables à des attaques visant à récupérer ces données. Il est donc plus que nécessaire de se prémunir contre ces usages malveillants en prenant diverses mesures prescrites par le RGPD.

Copy to clipboard

Le Règlement requiert en effet un certain nombre d’obligations que les organismes publics devront respecter avant le 25 mai 2018. Vous pourrez parcourir ces obligations en détails dans ce livre blanc et en retrouver un condensé ci-dessous :

Désigner un délégué à la protection des données (DPD ou DPO en anglais – Data Protection Officer) : il veille au respect du droit à la protection des données et fait en sorte que le traitement des données personnelles effectué par l’organisme public soit en conformité juridique. Le DPD peut être désigné en interne (un salarié) ou être extérieur à l’organisme public (un cabinet d’avocats par exemple).

Cartographier les traitements des données personnelles : l’organisation devra établir un registre des traitements, lequel mentionne notamment le nom et les coordonnées de l’organisme responsable des traitements, les finalités desdits traitements, les personnes tierces pouvant y avoir accès (prestataires, sous-traitants, administrations), les types de données, la durée de conservation de ces données, les flux de données et l’existence de flux transfrontaliers.

Mener une étude d’impact sur la vie privée (PIA) : cette étude a pour objectif de déterminer quels impacts les traitements des données personnelles peuvent avoir sur la vie privée des personnes physiques. Le responsable des traitements pourra alors déterminer quelles mesures techniques et organisationnelles il devra prendre pour assurer la pleine protection de ces données.

Notifier les failles de sécurité à la CNIL (Commission nationale de l’informatique et des libertés) : toute faille de sécurité devra être notifiée auprès de la CNIL dans les 72 heures dès la connaissance d’une telle faille, sauf si celle-ci est insusceptible de porter atteinte aux droits des personnes.

Copy to clipboard

Les mesures à déployer pour se mettre en conformité avec le règlement européen constituent des leviers puissants de structuration de la donnée à l’intérieur de l’organisme public. Ils encouragent à la rigueur et à l’examen minutieux de ses données pour en déceler le caractère personnel et les risques potentiels pour les administrés.

En outre, un programme open data déjà initié ou en projet peut tout à fait venir soutenir la mise en conformité avec le RGPD. Il offre la possibilité à l’entité publique de mener un processus d’identification et de localisation de toutes les données (et de leurs sources) qu’elle détient, pour ensuite décider quelles données pourront être ouvertes et réutilisées. Cet inventaire permet de dresser un panorama complet de l’ensemble des données qui circulent dans l’organisme et d’établir un référentiel commun pour chacun des collaborateurs de l’entité. La construction d’un tel référentiel peut s’inscrire comme une aide précieuse pour baliser l’établissement du registre des traitements des données personnelles requis par le RGPD.

La loi pour une République numérique du 7 octobre 2016 a largement intensifié le mouvement open data en France. De plus en plus de collectivités et d’administrations ont donné un accès public à un certain nombre de leurs données, devenant ainsi plus transparentes vis-à-vis de leurs administrés. Un telle initiative permet aussi l’essor de nouveaux services basés sur les données ouvertes.

La législation ne doit donc pas être une contrainte mais au contraire représenter une opportunité : celle de mieux penser sa stratégie de gestion des données pour que celles-ci ne présentent aucun risque pour les droits et libertés des citoyens, et qu’elles leur permettent même d’améliorer leur relation au service public et leur vie sur le territoire.

Articles sur le même thème : Institutions publiques
Plus d'articles
Les 5 principaux défis rencontrés par les Chief Data Officers Tendances
Les 5 principaux défis rencontrés par les Chief Data Officers

Toute entreprise ayant pour ambition de devenir data-centric a besoin d’un Chief Data Officer dont le rôle est de garantir à chaque utilisateur un accès immédiat aux informations dont il a besoin. Découvrez les défis auxquels il est confronté, et quelles sont les stratégies et technologies à adopter pour les surmonter.

Quelle est la différence entre un data product et un data asset ? Services data
Quelle est la différence entre un data product et un data asset ?

Les organisations génèrent des volumes croissants de données, mais à elles seules, ces données brutes ne peuvent pas générer de valeur. Elles peuvent être difficiles à interpréter, au mauvais format ou simplement être trop basiques pour être utiles, c’est pourquoi il est plus que nécessaire aujourd’hui de transformer les données brutes en data assets (actifs de données) et en data products (produits de données) à valeur ajoutée et plus accessibles.

Gouvernance des données vs data management : quelles sont les principales différences ? Accès aux données
Gouvernance des données vs data management : quelles sont les principales différences ?

Pour maximiser la valeur de leurs données, les organisations se concentrent à la fois sur la gouvernance des données et sur le data management. Il n'est pas rare de confondre ces concepts qui sont étroitement liés.