Une opportunité d'innovation territoriale : les maisons DOTE (*)



  • (*) DOnnée TErritoriale

    Contexte

    Les deux jalons temporels que sont l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) et celui de l'ouverture des données publiques sont si proches qu'ils doivent être appréhender de manière concomitante par les organisations territoriales.

    Si l'Open-data mobilise la communication et le marketing du dispositif interministériel en charge d'accompagner les collectivités dans cette voie, il n'en va pas de même pour l'obligation de se conformer au RGPD qui concerne ce même public, mais qui s'étend également aux entreprises du territoire national. Les plus petites étant les moins bien préparées à cette échéance.

    Un règlement qui se substituera à l'actuelle loi Informatique et Libertés. Un texte plus exigeant, plus précis encore sur les conditions de collecte, de stockage, d’exploitation, et qui impose à tous un préalable d'audit de situation, juridique, technique et administratif, impossible à conduire sans une organisation préalable méticuleuse. Force est de constater que très peu de structures ont encore conscience de l'enjeu, et beaucoup seront prises au dépourvu lorsque la date d'application de la loi sera parue.

    Mettre cette problématique dans le commun des acteurs territoriaux, permettra de développer un dispositif innovant en capacité de développer de manière efficiente une politique innovante en matière de développement numérique. Mieux encore, il en dessinera de nouveaux avantages, grâce à l'émergence de co-compétences de nature à favoriser l'attractivité numérique du territoire.
    Un tel dispositif n'est pas une alternative aux démarches de désignation obligatoire d'un « DPD » (le futur ex-CIL), que celui-ci soit privé ou public, mono établissement ou référent d'une délégation externe.

    L’objectif des Maisons DOTE est d'offrir aux collectivités et entreprises les moyens d'une démarche conjointe permettant de mutualiser les opérations de gestion et de veille, tout en maintenant des conditions d'échanges permanents, de compréhension et de suivi.

    Ouvrir ces Maisons DOTE va permettre de constituer la base d'un écosystème sain, garant d'indépendance, de vitalité et d'attractivité par le partage des données irriguant un territoire.

    Il s'agit d'une contribution innovante qui offre à tous les acteurs de cette épopée du 21ème siècle l'opportunité de partager connaissances et savoir-faire, d'additionner des compétences et de permettre ainsi l'émergence de nouveaux talents soucieux et fiers de leurs implications dans la valorisation et la sécurisation de leur « territoire augmenté ».

    En appui sur les attendus du programme DCANT

    Le programme de développement concerté de l'administration numérique territoriale (DCANT 2018-2020) se structure autour de quatre ambitions qui déterminent les axes de travail et de réflexion qui doivent concourir à la transformation numérique du territoire :

    1. Construire un socle commun d’applicatifs et de référentiels
    2. Garantir une gouvernance partagée entre l’État et les collectivités territoriales
    3. Contribuer à une approche globale de la donnée au service des politiques d’intérêt général
    4. Faciliter le passage à l’échelle de l'administration numérique dans les Territoires

    Dès la première phrase de leurs préambules, les partenaires du programme soulignent l’enjeu que représente « le pilotage par la donnée au service de l’intérêt général et la protection des données à caractère personnel » à l’échelle d’un territoire, précisant que l’idée force du programme est de faire émerger un service public rendu aux usagers en mode plateforme, conçu comme « une mise en réseau des acteurs publics et privés, un partage d’expériences et d’expertises, la valorisation d’un patrimoine de biens communs et la conception agile et collaborative des services publics numériques. ».

    Plus avant la troisième ambition du programme qui vise à élargir notre vision générale en valorisant une approche globale de la donnée territoriale, nous interpelle sur trois points structurants :

    1. Accompagner les agents publics dans l’évolution de leurs métiers à l’ère du numérique ;

    2. Promouvoir la création de fonctions dédiées à la donnée ;

    3. Déployer une culture de la donnée en direction des élus, des agents de l’administration, des usagers et des entreprises – notamment des TPE et PME – qui sont en relation directe avec les collectivités territoriales.

    La proposition d'ouverture de Maisons DOTE élaborée ici s’appuie d’une part sur cette volonté d’associer les acteurs et plus précisément sur un accompagnement de l’ensemble des acteurs collectant ou produisant des données à l’échelle d’un territoire et d’autre part sur l’opportunité d’innovation que représente la mise en œuvre du Règlement Général de protection des données (RGPD).

    Elle part d'un constat simple : une majorité d’acteurs de ces territoires ignorent encore la portée de ce bouleversement structurel qu’apporte le RGPD. Plus encore, quand bien même la prise de conscience émerge elle se heurte à deux écueils majeurs : l’état d’impréparation et le coût de cette mise en conformité, notamment pour les structures les plus faibles parmi lesquelles les PME-TPE sont particulièrement exposées.

    Concevoir une vision globale de la donnée territoriale suppose donc de s’intéresser aux moyens devant permettre de répondre à cette problématique organisationnelle.

    Le législateur a prévu des dispositifs de délégations afin de permettre à une collectivité ou une entreprise de désigner un tiers en capacité d'effectuer les opérations de mises en conformité et de remplir les obligations de renseignements et déclarations des traitements mises en œuvre à leur place.

    Dans ce contexte il existe donc matière à innover dans le cadre d'une mission de service public pour intervenir dans la défense et la valorisation d'un bien commun : les données à caractère personnel et plus largement les données produites ou collectées sur un territoire donné.
    Ce règlement - au-delà de ses aspects contraignants est aussi digne d'un intérêt tout autant pédagogique que prospectif. S’il y a d'un côté la défense de l’intérêt individuel du citoyen, il y a en miroir à celle-ci la capacité des organismes – collectivités ou entreprises – à valoriser leurs actions en ce sens.
    Il s'agit aussi d'une réelle opportunité d'appréhender dans toutes ses dimensions, l'économie de la data. Que celle-ci soit individuelle ou collective, les administrations, les entreprises et les citoyens se l'échange, se la confie, l'exploitent et parfois cherchent à la valoriser tout autant qu'ils ont obligation de la protéger.

    Principes de la proposition d’innovation "Maison DOTE"

    • L'administration publique au travers de ses collectivités territoriales notamment délègue à ces dernières de nombreuses prérogatives de services à destination des TPE/PME ;
    • Le développement de structures dédiées à cette nouvelle mission d'accompagnement des acteurs économiques devra répondre à la fois à ce besoin de conformité tant auprès des entreprises que des collectivités ;
    • L'action permettra de repérer les compétences territoriales existantes en matière de ressources techniques et juridiques, de sensibiliser ces agents au projet et d'évaluer la capacité de ce nouveau réseau à soutenir l'action dans le temps et de déterminer ses besoins en formation ;

    La coopération durable recherchée suppose en effet de faire émerger à la fois des profils, des idées et de l'agilité.

    C’est le point de départ, celui qui donne son sens à la démarche toute entière et favorisera l'émergence de structures territoriales efficientes, adaptées au pilotage du RGPD, capables de protéger, d'anticiper et de valoriser la collecte et les échanges de données concernant le territoire et ses habitants.

    Pré-requis : identifier les acteurs

    Une demande nouvelle de soutien et d’analyse va devenir nécessaire afin d’épauler les acteurs économiques confrontés au calendrier de mise en conformité de leur organisme au RGPD.
    Certaines collectivités ont des compétences obligatoires en matière d'aménagement et de développement économique.

    Compte tenu de l'enjeu collectif qui sous-tend la démarche, la question du financement et des moyens suppose la mobilisation de facilitateurs tels que la CDC (Caisse des Dépôts et Consignation). D'ailleurs, dans le cadre de sa mission d'aide aux développements des PME-TPE, la CDC a ouvert sa "nouvelle plateforme numérique des territoires" afin de proposer une ingénierie financière et une aide juridique notamment aux communes et intercommunalités jusqu'à 10.000 habitants.

    Une autre opportunité se présente depuis que la loi du 7 octobre 2016 pour une République Numérique rend obligatoire la mise en ligne des principales données publiques des administrations. Cette obligation s’appliquera aussi aux collectivités locales de plus de 3 500 habitants, à compter d’octobre 2018. Or, suite à un appel à candidature clos fin 2016 Open-data France à qui le Gouvernement a confié l’animation d’une phase d’expérimentation, huit territoires pilotes ont été retenus, en fonction de leur capacité à soutenir les petites et moyennes collectivités dans leur périmètre et les accompagner à l’ouverture des données publiques. L'annonce de cette action précise que « Les territoires sélectionnés bénéficieront du support méthodologique et technique d’Open-data France, qui assurera notamment la mutualisation des ressources et l’émergence d’un socle commun de données prioritaires. La capitalisation de cette expérimentation permettra un déploiement généralisé des dispositifs au niveau national. »

    Seules manquent à cette expérimentation et ses attendus, l'intégration et l'application du RGPD. La démarche d'innovation proposée peut donc venir s'inscrire avantageusement dans cette expérimentation et bénéficier de l'effort déjà produit, notamment en termes de mutualisation.

    Définition de l'objectif

    → favoriser l'émergence d'une structure type « tiers certificateurs » constituée et supportée au niveau d’un territoire :
    – Mutualisant les compétences techniques, juridiques et administratives du territoire
    – Fédérant en un seul point le traitement des problématiques de chacune de ses collectivités rattachées,
    – Agissant pour le compte de l'ensemble de la communauté et réalisant ainsi des économies d'échelle substantielles,
    – Mettant cette structure et ses nouvelles compétences au service des entreprises du territoire afin que celles-ci puissent bénéficier des mêmes avantages, contribuer à ses frais de fonctionnement, et participer activement à son développement.

    → Constituer un portefeuille de prestation de services proposé par la structure :
    – Audit des traitements
    – Support à la mise en conformité (privées/publiques),
    – Enregistrement des déclarations, tenu et mise à jour du Registre des traitements
    – Labellisation des collectivités et entreprises (valorisation de l'image + sécurité + transparence = Avantage concurrentiel & renforcement de l'attractivité)
    – Assistance à la formation : organisation des cycles / sélections de prestataires
    – Veille technologique et juridique
    – Interface avec les autorités de contrôle

    L’objectif étant de répondre aux premières propositions d’actions à engager au premier semestre 2018, la création d’une offre de service public à destination des acteurs économiques du territoire fait sens.

    Elle offre un triple avantage :

    • Sécuriser le tissu économique territorial
    • Elever le niveau d’acculturation par la mise en place de méthodes certifiées par les acteurs nationaux (CNIL, DITP, DINSIC)
    • Accroître le potentiel d’attractivité du territoire

    Elle permet d’agir sur trois des leviers essentiels au développement du numérique par :

    • L’appropriation des bonnes pratiques : un partage des savoir-faire
    • La mise en commun des possibles : des ressources en données partagées
    • La création d’une dynamique de groupe : favorable au développement d’initiatives citoyennes

    Réalisation : sous quelle forme

    Ils existent au moins deux pistes possibles pour mettre en place ces maisons DOTE :

    • S’appuyer sur une structure existante de type syndicat intercommunal, sous réserve du déploiement par celle-ci des outils et des process validés ou conçus par les instances nationales (CNIL- DITP – DINSIC). La simple adhésion à une charte précisant les modalités de conformité de l’action conduite.

    o Avantages : les compétences sur le plan technique et sur le maniement des données administratives (cf. OpenData)

    o Inconvénients : manque de connaissances juridiques. Portefeuille de missions conséquents. Allocation de ressources et budget non provisionnés (exercice 2018) ;

    • Créer une structure ex-nihilo en fonction de la localisation des tissus économiques du territoire (ZAC, ZI, etc.)

    o Avantages : agir de suite en mode startup. Possibilité de faire intervenir les compétences d’agents territoriaux – par vacation sur la base d’un volontariat par exemple - de profils Juridique, DSI, Responsables de l’Innovation permettant d’établir un lien de confiance avec les PME-TPE et de rapides retours de connaissances sur les flux de données générés par le tissu économique local. Capitalisation avec les données administratives permettant d’élargir et de partager une vision « agrandie » du territoire numérique.

    o Inconvénients : Nécessite la mise à disposition de structure d’accueil, de l’investissement matériel et la création d’emploi nouveau (Délégué à la Protection des Données mutualisé, Data-Scientist, Responsable Sécurité Informatique, Chef de projets, …).

    Méthodologie : phase d’étude

    Identifier les acteurs de la chaîne d'administration des traitements : du donneur d'ordre au gestionnaire, du responsable juridique au responsable technique ;
    • Constituer les équipes pour identifier ensemble les procédures et outils existants à l'échelle de la collectivité ;
    • Élaborer un diagnostic de situation permettant de recenser les traitements existants dans le périmètre territorial et de vérifier leur état déclaratif ;
    • Observer les bonnes pratiques en place pour s'appuyer sur les savoir-faire existants, en assurer la diffusion et la mise en commun ;
    • Informer les citoyens du lancement du projet et lancer l'appel à contribution, notamment auprès des entreprises attachées au Territoire.

    Durant cette phase, il est possible d'utiliser une méthode rétro-prévisionnelle (« Backcasting ») permettant de prédéfinir le contour de la cible visée par le projet. En l’occurrence une activité de service d'autant plus aisée à appréhender que le socle de ses actions se base sur du réglementaire (recensement, finalité et déclarations des traitements).

    • Déterminer pour chaque lot du projet les besoins en ressources humaines et techniques ;
    • Construire un rétroplanning intégrant les données exogènes telles qu'élections, regroupements prévus -ou potentiels- de services, territoires et/ou compétences ;
    • Faire émerger les points-clés de la problématique organisationnelle et prospective.

    S'organiser pour bâtir une solution alternative crédible en tant qu’« aidants-compétents » pour renseigner des problématiques auxquelles les entreprises vont devoir faire face, c'est également le moyen de maîtriser une certaine inflation d'offres privées, sans pour autant s'opposer au choix d'y recourir pour celles et ceux qui en ont à la fois la nécessité et les moyens.

    Durant cette phase, les principes d'agilité attendue seront exposés, notamment lorsque le lotissement aura permis de déterminer le séquençage des tâches et leurs interconnexions.

    Méthodologie : construction

    La phase de construction quant à elle se dotera d’indicateurs efficients sur au moins quatre typologie d’actions qui de par le champ des possibles qu’elles explorent représentent, comme dans tous projet, la phase critique de coûts cachés liés à l’inconnu des délais de réalisation :

    1. Analyse comparative des outils de gestion d'un registre des traitements ;
    2. Évaluation des charges (reprise de données, nettoyage des bases existantes, ...) ;
    3. Définition des processus de conception « Privacy by Design » ;
    4. Élaboration du manuel des procédures.

    Durant cette phase dans laquelle prédomine le développement de procédures administratives permettant l'enregistrement, la désignation et le suivi d'un traitement de données, un soin particulier sera apporté à l'audit de sécurité informatique : l'analyse d'impact de la protection des données étant une obligation portée par le RGPD.

    De ce fait la désignation du « DPD » si elle n'a pas encore été faite, est à ce stade obligatoire : c'est à lui (ou elle) qu'il appartient en effet de superviser et de notifier les travaux de l'analyse d'impact conduite par les responsables techniques du SI.

    Méthodologie : déploiement

    Cette phase va permettre de présenter le projet au public et de démontrer les modes opératoires permettant de répondre aux principes fondamentaux de la loi, à l'échelle des traitements mis en œuvre dans la collectivité : Droit d'accès, Pseudonymisation, Chiffrement des données personnelles, etc.

    Ce sera aussi l'opportunité d'inviter les dirigeants des PME/TPE, contributeurs ou pas au projet, de manière à poursuivre la sensibilisation et accroître les liens de coopération entre les acteurs privés et publics.

    Le territoire se verra augmenté de compétences nouvelles et bénéficiera ainsi d'un mode d'acculturation dynamique à la hauteur de cet enjeu territorial nouveau : le partage permanent de la connaissance des sujets techniques, légaux, économiques, et de l'évolution des droits et des obligations liés à l'exploitation des données du territoire et du citoyen.

    Contribution de Hervé Manfrini / Février 2018



  • @hmanfrini Pour éclairer la problématique du point de vue du financement d'une mise en conformité pour les PME/ TPE, je recommande l'article de Gilmar Martin Sequeira paru dans Liaisons Sociales Magazine.
    Extrait : « Certaines PME découvrent le RGPD maintenant, rappelle Ely de Travieso, élu de la CPME et référent sur les sujets de cyber sécurité. La plupart ne sont pas en mesure d’investir dans des audits externes pour établir leur degré de conformité. Aujourd’hui, il existe un marché naissant des DPO consultants mais une journée coûte jusqu’à 1 500 euros. C’est un coût exorbitant pour les PME qui utilisent les outils de la Cnil et font le travail elles-mêmes. Le processus de mise en conformité prendra nécessairement du temps. ».
    Je suis de plus en plus convaincu du bien fondé d'instruire une démarche de co-construction au plus vite, à l'initiative des collectivités. Surtout pour celles qui abritent sur leur territoire ces milliers d'entreprises aujourd'hui laissées sans solution et qui vivront demain dans la crainte des contrôles que le législateur instruira à coup sûr, à son initiative ou à la demande de citoyens soucieux du devenir et de la gestion de leurs données personnelles.
    N'hésitez pas à commenter ce projet, vos remarques et suggestions seront les bienvenues !


Log in to reply