En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X
Déposez votre CV Fournisseurs du secteur public

Logo Gazette.fr

 

Réagir

Numérique

“Nous sommes désormais dans une législation de la donnée”

Publié le • Par • dans : Actu juridique, France

0

Commentaire

Réagir

donnees-personnelles-une © LaGazette.fr - M. Gobert

François Rogghe est à la fois correspondant informatique et liberté (CIL), chargé de veiller au respect de la loi Informatique et libertés, et personne responsable de l'accès au sein des administrations (PRADA), le volet CADA, à la Ville de Paris. Une double casquette qui rend son regard sur les évolutions législatives en cours sur l’ouverture des documents et des données d’un côté, leur protection de l’autre, particulièrement intéressant.

 

François Rogghe, CIL et PRADA Ville de ParisComment conjuguez vous vos deux rôles, CIL et PRADA ?

Jusqu’à présent, ce double rôle n’était pas trop “schizophrénique”. Les textes et les organisations sont ainsi faits que nous répondons à des demandes de communication de document facilement car la plupart concernent des documents communicables, pour lesquels il y a peu d’hésitations. La loi CADA de 1978 est, malgré tout, relativement simple à mettre en oeuvre.

La loi Informatique et libertés touche d’autres thématiques, plus complexes, il me semble : l’organisation du traitement, la collecte des données, leur protection, leur utilisation pour les services, le respect des droits des usagers…

Depuis quelques années, les deux environnements peuvent devenir plus perméables. Le développement des politiques d’open data l’illustre. Les demandes d’information du public sont de plus en plus précises et exigeantes. Les envies de mise en ligne des collectivités aussi. Dans bien des cas, il convient de travailler sur les documents à publier car ils contiennent des données personnelles. La dématérialisation aidant, bon nombre de documents sont constitués à partir d’information, personnelles ou non, contenues dans des fichiers déclarés. Cette notion de “donnée mise à disposition du public” oblige à un examen global qui repose sur les deux textes fondateurs de 1978.

L’arrivée de deux nouveaux textes, la loi Lemaire et le projet de règlement européen, peut, et c’est tout l’enjeu, éclaircir les choses, même si les objectifs ne sont pas tout à fait les mêmes.

La notion de donnée et de protection de celle-ci évolue, des droits sont réaffirmés – droit à l’oubli, portabilité des données, mais également ouverture des données publiques, meilleure accessibilité… -, qui doivent être encore précisés pour qu’une mise en oeuvre concrète et homogène puisse s’opérer.

Comment jugez-vous l’articulation entre ces deux textes ?

D’abord, il faut rappeler qu’ils ne sont pas définitifs. Le projet de loi Lemaire doit être examiné au Sénat, avant d’être adopté de manière définitive. Le projet de règlement européen est en gestation depuis plus longtemps, mais, au-delà de quelques mesures phares, il est encore nécessaire de se l’approprier.

Ils ont cependant en commun un même élan. Le fait d’obliger à la mise en place d’un DPO (data protection officer), une nouveauté du règlement, au sein des organismes me semble une bonne chose qui peut très bien s’accorder et favoriser la mise en oeuvre de la loi Lemaire. La responsabilisation des organismes, qui est recherchée, posera aussi la question des moyens.
C’est un élément structurant d’organisation, de gouvernance et de sensibilisation très important. Le règlement européen induit davantage une logique d’engagement de conformité préalable et de contrôles a posteriori. Les organisations auront peut-être un peu plus de mal à trouver le bon niveau d’engagement. La question se posera, au-delà des compétences exigées, des pouvoirs accordés au DPO. D’autres points sont un peu contradictoires, ou du moins méritent d’être précisés.

Le règlement européen a comme légitime objectif la protection des données collectées, la capacité qu’auront les usagers à en contester la collecte, à exercer leur droit de rectification. Ces exigences se retrouvent, exprimées différemment, dans la loi Lemaire,

Le projet de loi numérique se soucie d’ouverture des données publiques. Jusqu’à présent, la réutilisation des documents publics s’exerçait principalement dans le cadre de la loi CADA. Un document public, une donnée privée, je sais ce que c’est. L’ouverture des données publiques, souvent une préoccupation dominante des collectivités, oblige à une vigilance particulière.
Le site open data de la Ville de Paris a été mis en place depuis plusieurs années et a déjà publié de nombreux documents et informations dans plusieurs thématiques. On est maintenant dans des formes de document sur lesquelles il faut travailler, paramétrer, éliminer, car si l’objectif de mise à disposition du public s’impose, ces données peuvent contenir des données individuelles ou susceptibles d’identifier.

Le texte d’Axelle Lemaire introduit aussi la notion de mort numérique, mais les collectivités semblent a priori écartées des obligations(1) Quel est votre avis à ce sujet ?

Les collectivités,comme tout organisme, sont sensibles et pourront être impactées par ce sujet légitime mais d’une réelle complexité. Au-delà de la compétence à faire ou ne pas faire, le législateur donne ou redonne à l’usager, la capacité de faire valoir leur propres directives. C’est une des particularités de la loi Lemaire et ceci obligera nécessairement les responsables de traitement à l’intégrer dans leur réflexion. Ceci dit, quel est le périmètre de la mort numérique ? Comment l’assure-t-on techniquement ? Ce n’est pas si simple.

Anticipez-vous le règlement européen, comme y invitait fortement Edouard Geffray, secrétaire général de la CNIL lors des universités annuelles des CIL en janvier ?

Un des aspects important du règlement européen est l’organisation qu’il impose avec l’institution du DPO. Toutes les collectivités devront désigner, d’ici 2018, demain en clair, un DPO. Ce point a été soulevé par les CIL lors de ces universités, alors même que le règlement n’est pas encore définitivement adopté. C’est en réponse que le secrétaire général de la CNIL a pu dresser les principales caractéristiques du futur DPO (niveau de formation et d’usage exigé, place dans les organisations, relations avec la CNIL, elle-même devant évoluer dans ses missions, etc.). Aujourd’hui, ce nouveau paradigme demeure encore théorique et bien des précisions doivent être données dans la meilleure manière de répondre aux nouvelles exigences

L’évolution est réelle. Les collectivités – nombreuses heureusement – qui réfléchissent et se sont déjà organisées autour de ces sujets auront un temps d’avance ou, à défaut, une base plus solide pour évoluer plus rapidement..

Paris est une grande collectivité, qui a déjà réfléchi à la gouvernance de la donnée, qui est la clé des enjeux, Mais ce n’est pas le cas de toutes, sauront-elles faire face ?

Il me semble que pour notre collectivité, le sujet est identifié. Malgré tout, l’organisation reste à définir et, plus complexe, la nécessaire sensibilisation auprès des différents responsables et acteurs dans la mise en oeuvre des traitements. Les futures relations entre la CNIL et les DPO sont également au coeur du dispositif. Pour une collectivité qui serait aujourd’hui plus loin de ces problématiques, l’enjeu d’adaptation sera nécessairement plus compliqué.

De ce point de vue, et pour tous, il va falloir que la CNIL diffuse son aide institutionnelle et, c’est ce que j’ai compris de l’intervention d’Edouard Geffray, elle s’y prépare avec force. C’est aussi un enjeu fort pour la Commission : elle va devoir reconsidérer ses méthodes en terme de contrôle et d’organisation. S’agissant de la loi Lemaire, une fois définitivement adoptée et la publication des décrets ou circulaires opérée, un des enjeux sera sa cohérence avec les mécanismes du règlement européen.

Dans ce contexte encore flou, la notion, centrale, de privacy by design, ne semble-t-elle pas un vœu pieux ?

C’est un vœu que nous devons tenir en tout cas ! Je ne pense pas que cela soit illusoire, car c’est le coeur du sujet. Ce n’est plus un paradoxe de penser que les usagers sont à la fois demandeurs de publication de données les intéressant et attachés de manière attentive au respect de leur vie privée.

La CNIL a su proposer des aides efficaces pour apprécier l’impact sur la vie privée des traitements que nous souhaitons mettre en oeuvre. La prise en compte de cette dimension dès la création du traitement ne me semble nullement remise en cause. Au contraire, elle est une nécessité qui se trouve renforcée par les objectifs portés par les deux textes

La fusion CNIL/CADA, un temps envisagée mais finalement limitée pour le moment à un rapprochement, vous parait-elle une bonne idée ?

Nous sommes désormais, il me semble, dans une législation de la donnée. L’idée qu’il y ait une seul(e) AAI ou service capable de parler de la donnée et de dénouer les différents aspects et les liens transverses de ces deux textes ne me semblait pas inintelligente.

Par facilité, je dirais qu’il n’y a pas d’un coté les documents administratifs et de l’autre les données numériques En tout cas pas de la même manière qu’il y a presque quarante ans. La volonté de promouvoir la réutilisation des informations détenues (données et documents), les typologies de conservation et de protection, la place de l’usager dans la demande d’évolution, auraient pu militer pour un regroupement des forces et l’homogénéité de la direction de ce désormais large secteur d’activité.

Haut de page

  • VoirRéduire

    Notes

    Note 01 - les dispositions ne s’appliquent pas :

    “2° Pour respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; (…)

    « 4° À des fins d’archivage dans l’intérêt public ou à des fins scientifiques, statistiques ou historiques”. - Retourner au texte

0

Commentaire

Réagir
Publicité
Publicité

Télécharger
l'appli!

En savoir plus

Formations d’experts

0 Commentaire

Ajouter un commentaire
  1. Ajouter un commentaire

      Votre e-mail ne sera pas visible

    Conformément à la loi "Informatique et libertés" du 6 janvier 1978, vous pouvez accéder aux informations vous concernant, les rectifier ou vous opposer à leur traitement et à leur transmission éventuelle à des tiers en écrivant à : Groupe Moniteur - 17, rue d'Uzès 75018 Paris cedex 02 ou en cliquant ici.