Où en sont les collectivités territoriales dans la gestion des données ?

L’Observatoire Data Publica s’est intéressé à la percée des données et à leur utilisation au sein des collectivités territoriales, qui font face à des flux d’informations, de réglementations et de menaces de plus en plus intenses. Si les consciences s’éveillent, la route est encore longue pour de nombreuses collectivités, notamment les plus petites.

Il ne vous a pas échappé que, ces dernières années, le paysage autour de la donnée a changé en profondeur. On parle plus souvent des acteurs du numérique ou du monde économique de tous les jours, mais les collectivités territoriales ont une certaine appréhension des enjeux de la gestion publique des données. Elles traitent des informations aujourd’hui foisonnantes, qui quelque part appartiennent toutes aux Français, et sont également victimes de cyberattaques et rançongiciels. La bonne nouvelle, c’est qu’elles sont près de 95 % à souhaiter utiliser les données pour améliorer leur relation aux citoyens et rendre les politiques publiques plus efficaces.

Les outils et données sont plus nombreux, mais le cadre juridique aussi a évolué. Il s’est enrichi d’un RGPD (Règlement général sur la protection des données) dont on pourrait dire qu’il est entré dans les mœurs, mais qui peut crisper, que l’on soit issu d’une entreprise, d’une association, ou d’une collectivité, le cas d’espèce qui nous intéresse aujourd’hui. On peut aussi aborder les épineux sujets des menaces cyber, de l’intelligence artificielle et de la smart city. 

Deux ans après sa création, l’Observatoire Data Publica, association à but non lucratif, vient de publier, en partenariat avec l’Institut Ipsos, une enquête menée auprès de plus de 300 élus, cadres numériques (SI, SIG, data) ou autres DPO (délégués à la protection des données) représentant 277 collectivités, qui vont de la grande à la petite commune, en passant par la région, le département, la métropole, l’EPCI ou le centre de gestion.

Cette étude fait elle-même suite à une enquête d’opinion conduite auprès de 1 000 Français, qui aide à comprendre leur connaissance et leur maîtrise (ou pas) des enjeux liés à l’utilisation des données par les acteurs publics. Et si tout n’est pas parfait, loin de là, chacun progresse, même si les plus petites collectivités présentent un retard logique dans la plupart des aspects de leur transformation numérique.

Des disparités selon le type de collectivité (et leur taille) dans la conformité au RGPD

Nous le disions, le cadre réglementaire a évolué (RGPD, loi Lemaire ouvrant l’ère de l’open data etc.), avec les obligations en matière de gestion des données qui en découlent. Lorsqu’on demande aujourd’hui aux collectivités si elles estiment être en conformité avec le RGPD, seules 26 % d’entre elles répondre « Oui, tout à fait », quand 46 % (une majorité relative ici) avouent être en passe de l’être.

2 collectivités territoriales sur 10 disent n'être « pas complètement » en conformité avec le texte européen, et 1 sur 10 va même jusqu’à reconnaître ne pas être en conformité, tout simplement. Pourtant, le règlement date de 2016 et il est entré en application le 25 mai 2018, il y a plus de quatre ans. 

Les collectivités sont-elles en conformité avec le RGPD ? © Observatoire Data Publica

Si les bons points sont distribués aux régions (60 % déclarent être en conformité, 40 % « partiellement »), les communes sont les dernières de la classe. 34 % ne sont pas copines avec le RGPD. Sans surprise, les plus petites communes ont plus de mal à se mettre en conformité avec le règlement, à l’instar des petites entreprises, pas suffisamment bien informées ni aidées dans ce processus.

Au même titre que les régions, aucune ville de plus de 100 000 habitants ne figure dans la liste de celles ayant avoué ne pas être encore en conformité avec le RGPD. Plus la tranche d’habitants se rétrécit, plus le score négatif est important : entre 6 et 9 % des communes de 3 500 à 100 000 habitants ne sont pas du tout en conformité. C’est pire encore pour les petites communes de moins de 3 500 habitants (19 %).

© Observatoire Data Publica

De manière générale, 3 Français sur 4 affirment avoir déjà entendu parler du règlement européen. Ils sont même 41 % (soit 4 sur 10) à avoir une idée précise de ce dont il s’agit. 66 % des personnes sondées ajoutent même que le dispositif leur offre suffisamment de garanties dans la protection de leurs données personnelles.

Et ce sont justement les services publics qui inspirent la plus grande confiance aux Français (72 % de confiance), assez largement devant les entreprises françaises (58 %) et étrangères (24 %).

Même son de cloche pour les DPO, davantage sollicités dans les plus grosses collectivités

Dans la logique des choses, arrive ensuite le moment d’évoquer celui qui est censé être devenu, ces dernières années, le garant de la conformité au RGPD de tout organisme privé ou public : le fameux DPO (Délégué à la protection des données), sur lequel la CNIL a récemment publié un guide.

Qu’en est-il au niveau de nos collectivités territoriales ? Les résultats sont ici bien meilleurs, puisqu'elles sont 86 % à déclarer avoir nommé un DPO.

Les collectivités ont-elles désigné un DPO ? © Observatoire Data Publica

On sait que les collectivités, comme les entreprises, ont la possibilité de désigner un DPO interne ou externe. Du côté des collectivités territoriales, il n’y a pas photo. Elles sont 53 % à avoir fait le choix d’un délégué interne. Une statistique de choix donc, et de raison. Un DPO connaît déjà les membres de la collectivité et son fonctionnement, ce qui offre une meilleure réactivité qui peut être bien utile, surtout en situation d’urgence.

Mais un DPO interne peut engendrer un coût parfois trop important à supporter et peut être plus rarement sollicité selon la taille de la collectivité. Les régions (à 90 %), départements (81 %) et métropoles (94 %) sont nombreuses à avoir désigné un DPO en interne.

Du côté des communes, c’est plus disparate. Elles ne sont plus que 39 % à avoir un DPO interne, et 22 % à… ne pas en avoir du tout. Les métropoles et régions ont toutes nommé un délégué, et la quasi-totalité des départements (96 %) également.

© Observatoire Data Publica

Tous les DPO des collectivités territoriales françaises ne sont cependant pas internes à ces dernières. 13 % sont externalisés auprès d’une autre collectivité (on parle ici de mutualisation), tandis que 20 % des collectivités ont recours à un prestataire, pour des besoins logiquement plus ponctuels (c’est le cas pour 27 % des communes). Plus criant en revanche : selon l’Observatoire Data Publica et l’institut Ipsos, 66 % des communes n’auraient en réalité pas de DPO. C’est bien plus que ceux ayant répondu à l’enquête (30 %).

La CNIL était d'ailleurs monté au créneau en avril de cette année avec la mise en demeure de 22 communes, suite à des actions de contrôle en juin 2021 sur les communes de plus de 20 000 habitants. Il y a quelques jours la Commission publiait un bilan de son action : 18 communes ont depuis désignées un DPO, deux sont en train de le faire, mais il en reste encore deux qui « n’ont à ce jour ni répondu à la CNIL, ni désigné de DPO via le téléservice mis à leur disposition sur cnil.fr ». Preuve en est qu'il reste effectivement du travail.

Pour le cabinet Haas Avocats, la Commission sifflerait en quelque sorte la fin de la récréation : « si la CNIL a jusqu’ici fait preuve d’une relative clémence envers les collectivités territoriales de petite taille, telles que les communes, la Commission marque clairement la fin de la période de tolérance avant d’entrer en voie de sanction ». La liste des organismes ayant désigné un délégué à la protection des données est disponible en open data.

L’intelligence artificielle : pas encore la cote sur le plan local, mais un débat ouvert, sous l’impulsion du Conseil d’État

D’autres pans moins associés habituellement à l’activité des collectivités, comme l’intelligence artificielle, font leur arrivée sur le devant de la scène, en ce qu’elle décuple les possibilités d’analyse des données. Si le recours à l’IA aura à coup sûr un impact sur la gestion de nombreuses politiques publiques, des doutes et préoccupations subsistent encore, vis-à-vis par exemple des citoyens et des valeurs démocratiques.

76 % des collectivités interrogées dans le cadre de l’Observatoire indiquent n’avoir encore jamais mis en place la moindre expérimentation ayant recours à l’intelligence artificielle. Elles ne sont que 15 % à avoir déjà fait appel à l’IA. La proportion de l’utilisation de celle-ci est logiquement plus importante dans les métropoles (50 %) que dans les départements (11 %) ou les communes (9 %).

Les régions, les départements ou les EPCI ont beau avoir lancé ces dernières années des programmes de subvention, la sécurité n’est pas l’une de leurs compétences. Si l’on prend le cas très médiatique de la vidéosurveillance, dont La Quadrature du Net réclame la fin, celle-ci reste plutôt une compétence de la métropole.

L’idée d’une utilisation plus importante de certaines techniques d’IA, comme la reconnaissance d’images ou de vidéos, la reconnaissance du langage ou la mise en place de modèles prédictifs de comportements, fait manifestement son trou, jusqu’au sommet de la pyramide juridique administrative.

Dans une étude sur le sujet parue à la fin de l’été, le Conseil d’État, à la demande du gouvernement, a formulé plusieurs propositions pour une utilisation encadrée de l’intelligence artificielle dans les administrations. Nous y avons d'ailleurs consacré un dossier :

• Le Conseil d’État encourage l’intelligence artificielle dans les administrations

Le juge administratif y voit des opportunités pour l’action publique. Il ne faut qui plus est pas limiter l’utilisation de l’IA à la seule sécurité. Les projets peuvent être multiples. L’Observatoire Data Publica a notamment recueilli des éléments descriptifs de projets autour de la transition écologique (îlots de chaleur), de la mobilité (gestion des feux, comptage des flux), de l’emploi, de la construction, des cours d’eau, de l’occupation des sols ou encore de la gestion des déchets.

Il va de soi que la majorité des projets évoqués est à l’état embryonnaire. Pour le moment, peu de données sont engagées, et si certains projets comme les chatbots fonctionnent à l’aide d’algorithmes aux arborescences logistiques techniques et sophistiquées, on ne peut pas encore pleinement les assimiler à de l’intelligence artificielle.

Cloud et cybersécurité : ce n’est pas tout à fait ça encore…

Autre grande question à aborder : celle de la gestion stricte des données, comprenez la collecte, le stockage puis le traitement. Et là aussi, les collectivités ont changé d’époque, poussées par la nécessité d’engager une transformation numérique profonde.

Le Cloud, qui fait l’objet d’une stratégie nationale de l’État, reste pourtant un sujet encore abstrait pour de nombreux territoires. En moyenne, les collectivités sont entre 40 % (pour les régions) et 71 % (pour les communes de plus de 100 000 habitants) à héberger majoritairement leurs données sur des serveurs internes. Les logiciels en mode SaaS constituent le second mode d’hébergement des données à distance des collectivités (13 %).

L’option de l’hébergement dans un service labellisé SecNumCloud (un prestataire de confiance certifié par l’ANSSI) n’est franchement pas privilégiée par les collectivités, si ce n’est les communes de plus de 100 000 habitants (14 %). Les régions, elles, ont recours pour 30 % d’entre elles à des data centers publics locaux, un record au niveau des collectivités.

Où sont hébergées les données collectées par les collectivités ? © Observatoire Data Publica

Un mot enfin de la cybersécurité. Il faut dire que les collectivités territoriales sont loin d’être épargnées par les cyberattaques. 30 % d’entre elles furent déjà victimes d’un ransomware en 2020 selon le Clusif, Elles sont désormais 89 % à reconnaître ressentir le risque d’une attaque cyber, 57 % allant même jusqu’à évoquer un sentiment fréquent, voire continu. Et pourtant, 37 % des collectivités sondées pour ce sondage Ipsos avouent ne pas suffisamment prendre en compte le risque cyber. De la crainte à l’action, il y a bien plus qu’un pas ici : on parle d’un véritable gouffre.

Peut-être est-ce dû à cette réaction humaine qui consiste à penser que tant que sa collectivité n’est pas touchée, il n’y a sans doute pas péril en la demeure, et donc pas de quoi s’alarmer. Seules 18 % des collectivités affirment avoir déjà dû affronter une attaque informatique d’ampleur, sous forme de cryptolockers ou de rançongiciels principalement. Et comme toujours, la taille de la collectivité joue sur l’appréhension du risque cyber, à la défaveur des plus petites le plus souvent.

Le manque de temps (47 %), le défaut de compétences (46 %) et le manque de moyens financiers (44 %) sont les arguments qui reviennent le plus souvent pour justifier de la difficulté de diffuser des outils de cybersécurité. Seules les régions semblent avoir pris la mesure de la menace en octroyant plus de moyens à l’enjeu cyber. Pourtant, le risque est bien réel comme le rappelle le département de la Seine-Maritime en partie paralysé par une cyberattaque.

Finalement, c’est peut-être Jacques Priol, le président de l’Observatoire Data Publica, qui résume le mieux l’évolution que doivent affronter les collectivités en matière de données. « Sujet innovant réservé à quelques régions et à des grandes métropoles il y a encore 4 ou 5 ans, la gestion des données est devenue un enjeu de politique publique, y compris dans les collectivités moyennes et petites », commente-t-il. Aux collectivités à présent d’utiliser au mieux les données sans froisser la confiance des citoyens.