Un billet de Jacques Priol, publié sur le blog Territoires intelligents de la Caisse des Dépôts et Consignations.
« L’année 2018 va être placée sous le signe de la donnée. Deux priorités s’imposent à tous les acteurs publics : une mise en conformité à marche forcée avec le nouveau cadre européen de protection des données personnelles (en mai) puis l’obligation de l’open data par défaut (en octobre). Mais attention ! Ces légitimes préoccupations risquent fort de masquer l’essentiel : il y a un enjeu majeur à construire des stratégies publiques locales de la donnée.
Ce sera l’acronyme du printemps : RGPD. Le Règlement général de protection des données (personnelles) entre en application, décliné par une loi nationale ou non, dans les 28 pays européens le 25 mai prochain. C’est la fin de la loi « Informatique et libertés ». Votée en 1978, régulièrement enrichie et complétée, elle n’était plus en mesure de protéger nos données personnelles à l’ère du big data, des modèles algorithmiques prédictifs et de l’intelligence artificielle. Le nouveau règlement est protecteur. Il harmonise par le haut la législation des 28, s’alignant peu ou prou sur les deux standards les plus élevés jusqu’alors (français et allemand). Il y a fort à parier que cette évolution va intéresser les français. Les médias sont devenus friands d’analyses (et de scoops) sur les fuites de données et les violations des droits en matière de données personnelles. Les « CNIL » des 28 fourbissent leurs armes. A compter du mois de mai, leurs multiples avertissements aux géants du Web (récemment encore Facebook et Whatsapp, Microsoft, Google…) vont se transformer en sanctions pécuniaires spectaculaires, jusque 4% du chiffre d’affaires mondial des entreprises coupables !
Les acteurs publics sont concernés. Tous devront se conformer à la Loi. C’est bien le moins. Ils devront notamment désigner un « délégué à la protection des données », obligation qui ne concerne en revanche pas toutes les entreprises. Ils vont devoir évaluer les risques qui pèsent sur les données qu’ils collectent, stockent et gèrent dans l’accomplissement de leurs missions de service public. Et elles sont massives : état-civil, listes électorales, barèmes de quotients familiaux, urbanisme, inscription aux écoles, données de stationnement, d’accès aux piscines, aux bibliothèques, données sociales… S’il est probable que Google en sait plus que Monsieur le Maire sur ses habitants, les services municipaux en savent quand même beaucoup… raison de plus pour se conformer parfaitement au RGPD.
Mais à l’heure de Google, des réseaux sociaux et du big data, les élus locaux ont une autre obligation : se préoccuper des nouveaux usages des données qui décrivent, expliquent, anticipent et prédisent les comportements des habitants. De multiples acteurs se penchent sur ces modèles, et « moissonnent de la data » dans nos villes. Leurs modèles économiques sont « data driven ». Ils bousculent, perturbent et parfois prétendent supplanter l’action publique ; sans offrir en retour de garanties sur le respect de quelques principes, équité et égalité d’accès entre autres.
Ils se nourrissent aussi de l’open data. Le deuxième sujet de l’année. Début 2018, les collectivités locales françaises qui ouvrent de manière significative des jeux de données sont environ 200, seulement. Elles l’ont fait par un choix volontariste, dans le sillage de Rennes, Paris, Bordeaux, Montpellier et d’autres depuis 2010 ; ou par anticipation d’une obligation légale. En octobre 2018, l’entrée en vigueur de la Loi pour une République numérique devrait contraindre 4000 collectivités de plus de 3500 habitants à « ouvrir leurs données par défaut ». La belle affaire ! La France est le seul pays au monde à avoir légiféré de la sorte. Disons le tout haut : elles seront quelques centaines au rendez-vous, pas plus.
Là aussi le risque est grand que l’attention des acteurs publics locaux soit attirée sur le seul enjeu du respect de la loi. Et pas sur les enjeux réels de la loi. Le texte prévoit que les collectivités ouvrent leurs données. Mais il prévoit aussi que les délégataires de service public fassent de même. Il pose la notion essentielle de la donnée d’intérêt général, toutes ces données produites par des acteurs qui peuvent être 100% privés, mais qui produisent des informations dont l’utilisation publique peut s’avérer essentielle. Deux exemples font régulièrement polémique mais illustrent cet enjeu. Qu’Airbnb cache une partie des données de ses locations pour des raisons fiscales n’est pas acceptable, mais il n’est pas plus acceptable qu’il ne les mette pas loyalement à disposition des territoires qui accueillent des touristes, et doivent calibrer en pleine saison des services culturels, de transports ou d’urgence hospitalière. Waze, 1er GPS collaboratif en France, collecte pour sa part massivement des données des territoires et conventionne parfois avec eux, restituant alors d’utiles données et informations sur la circulation. Mais Waze dispose d’autres données, d’intérêt éminemment général : le signalement « crowdsourcé » des accidents. Qu’en faire ? Comment les collecter ? Pour quelle procédure de déclenchement des secours ?
La loi pour une République numérique impose aux territoires une réflexion stratégique. Il leur faut imaginer une stratégie pour la donnée publique, et une stratégie publique de la donnée.
Tout ceci ne coule pas de source. Nous sommes en France, en Europe. Pas à Toronto où le Sidewalklabs d’Alphabet installe un premier démonstrateur grandeur nature d’une ville monitorée, automatisée et pilotée par la donnée. Chez nos amis canadiens, la polémique commence à poindre : ce modèle de ville intelligente ne serait pas aussi intelligent qu’il le prétend. La gestion algorithmique, trop rapide et peu transparente, laisse peu de place à l’implication citoyenne. Voire supplante le rôle de la représentation démocratique.
En France de belles expérimentations de « smartcity » sont en cours. Elles affichent la volonté d’être inclusives et d’associer les citoyens. Les nouveaux cadres juridiques de la protection des données personnelles et de l’ouverture des données doivent servir d’appui pour poser des questions qui font sens. Les territoires doivent réfléchir aux enjeux économiques, juridiques, éthiques, politiques et démocratiques des nouveaux usages de la donnée. Ils doivent dire quelles données ils utilisent, comment, avec quelles ambitions et quels objectifs, mais aussi quels garde-fous. La loi nous dit « privacy by design », ajoutons « confiance by design ».
RGPD et open data sont des leviers de transformation, pas des fins en soi. Alors, vivement 2019 que l’on s’attaque aux vrais enjeux de la data des territoires ! »