Les collectivités territoriales jouent un rôle majeur dans la transformation numérique, notamment en matière de diffusion des données publiques ou open data. Toutefois, cette démarche doit être menée en respectant les obligations imposées par le Règlement général sur la protection des données (RGPD). Cet article aborde donc comment les collectivités territoriales peuvent combiner ces exigences pour une mise en ligne réussie et sécurisée des données.
Le cadre légal de l’open data
L’ouverture des données publiques est une politique initiée depuis plusieurs années sur le territoire français. La loi pour une République numérique a introduit différentes dispositions relatives à la diffusion des informations détenues par les administrations et les collectivités territoriales. Plus récemment, la Loi d’orientation des mobilités a renforcé cette dynamique en rendant obligatoire la publication de certaines données liées aux transports par les autorités organisatrices de la mobilité.
Obligations de publication des données publiques
Les collectivités territoriales ont ainsi plusieurs obligations légales en ce qui concerne la mise à disposition de leurs données. Parmi les catégories de documents concernées :
- Les documents administratifs (délibérations, arrêtés, décisions)
- Les budgets et comptes annuels
- Les subventions attribuées
- Les conventions conclues entre les personnes morales de droit public
- Les informations liées à l’occupation du domaine public par des opérateurs de communications électroniques
- Les données de transport et de stationnement, notamment pour les collectivités responsables de la mobilité
Notez que cette liste n’est pas exhaustive et doit être adaptée en fonction du contexte local et des compétences exercées par chaque collectivité.
Les principes fondamentaux du RGPD dans le contexte de l’open data
Le respect du RGPD est essentiel pour les collectivités territoriales qui diffusent leurs données. Il exige plusieurs précautions spécifiques liées à :
- La protection des données à caractère personnel
- La transparence et la traçabilité des informations en ligne
- L’accès aux données pour les personnes concernées et leur droit à l’oubli
Protection des données personnelles
Pour être conforme au RGPD, une donnée publique ne doit pas contenir d’information permettant d’identifier une personne physique, directement ou indirectement. Les collectivités doivent donc veiller à anonymiser les données avant de les publier. Cela peut impliquer un traitement préalable comme la suppression des noms, adresses, numéros de téléphone, emails ou tout autre élément pouvant révéler l’identité d’une personne.
Transparence et traçabilité
Le principe de transparence oblige les collectivités à informer les usagers lorsque leurs données sont susceptibles d’être publiées en ligne dans le cadre de l’open data. Il convient également d’établir une procédure claire et documentée sur la manière dont les données sont traitées et anonymisées avant leur publication.
Droit d’accès, de rectification et d’effacement
Les personnes concernées par les données publiées ont le droit de demander à accéder à leurs informations, de les faire rectifier, ou même de les supprimer si elles sont inexactes, incomplètes ou obsolètes. Les collectivités doivent prévoir un dispositif permettant de donner suite à ces requêtes dans les délais impartis par le RGPD.
Mettre en place des bonnes pratiques pour allier open data et RGPD
Afin de réussir à conjuguer l’ouverture des données publiques avec la protection de la vie privée, les collectivités territoriales doivent adopter plusieurs démarches :
- Consulter l’ensemble des services compétents (juridiques, informatiques, communication) pour cerner les obligations légales et les besoins techniques liés aux projets d’open data.
- Réaliser une analyse d’impact sur la protection des données (AIPD) afin d’identifier les risques potentiels engendrés par l’ouverture des données et de mettre en œuvre des mesures adéquates.
- Anonymiser systématiquement les données personnelles avant leur publication, en ayant recours à des algorithmes de pseudonymisation ou de masquage adaptés.
Un exemple concret : la Cartographie collaborative des projets urbains
De nombreuses collectivités mettent en place des plateformes collaboratives pour recueillir les avis et propositions des citoyens sur des projets urbains. Ces démarches participatives peuvent être une source de données personnelles, comme les noms, adresses ou coordonnées.
Pour se conformer au RGPD, il est essentiel que ces plateformes garantissent l’anonymisation des contributions et limitent la collecte d’informations personnelles à ce qui est strictement nécessaire. Par exemple, un formulaire de participation pourrait demander uniquement un code postal et un pseudonyme pour permettre aux citoyens de s’exprimer tout en préservant leur vie privée.
L’aide des partenaires pour assurer la réussite des projets
Les collectivités territoriales peuvent s’appuyer sur différents interlocuteurs pour mener à bien leurs projets d’open data et respecter le RGPD :
- La Commission nationale de l’informatique et des libertés (CNIL) fournit un accompagnement personnalisé dans la mise en œuvre du RGPD et dans l’intégration des principes de protection des données dans les projets d’ouverture des données publiques.
- Le groupement d’intérêt public Etalab propose des outils et des ressources pour aider les acteurs publics locaux à ouvrir leurs données, en collaboration avec la Délégation à la prospective et à l’innovation territoriale.
- Les prestataires spécialisés dans les services numériques, tels que les éditeurs de logiciels, les hébergeurs, les intégrateurs et les consultants en protection des données, peuvent contribuer à la réalisation de projets d’open data sécurisés et conformes aux réglementations.
En combinant ces expertises et les bonnes pratiques présentées dans cet article, les collectivités territoriales seront à même de relever les défis liés à l’open data et au RGPD, pour une diffusion optimale et sécurisée de leurs données publiques en ligne.