Avec la multiplication des plateformes de participation en ligne se multiplie également les interrogations sur l’utilisation des données de participation. Plus que légitimes, ces questions autour de la gestion des données de participation, dans un cadre européen de protection des données, occupent de plus en plus les responsables de la participation comme les Directions des Services d’information sans pour autant trouver les réponses. Explications. . .
Protection des données et démocratie numérique : un sujet majeur
Le sujet des données personnelles est sensible et mérite de l’être. Les nombreuses affaires et scandales autour de ce sujet ces dernières années ont marqué l’actualité : création du Health Data Hub français sur des technologies étasuniennes, invalidation du Privacy Shield par l’arrêt de la Cour de Justice de l’UE en 2018 et encore plus récemment la note de la CNIL qualifiant d’illégale l’utilisation de Google Analytics, outil utilisé dans le suivi du trafic web de nombreux sites et applications, etc. Les entreprises de la civic tech, dont fait partie Open Source Politics, sont directement concernées par ces problématiques. Leur cœur de métier est de produire et maintenir des sites webs sur lesquels des citoyens donnent leurs avis sur des politiques publiques, voire participent à leur élaboration. Ils sont donc producteurs de données spécifiques, les données de participation, qui comprennent une dimension politique, et donc… sensible.
Mais de quoi parle-t-on ? Toutes les données sont-elles à protéger de la même manière ? Quels sont les mécanismes humains et techniques à mettre en place pour éviter la fameuse “fuite de données” ?
Une définition européenne de la donnée personnelle
En mai 2016 a été votée au niveau européen la directive du désormais célèbre RGPD – Règlement Général de la Protection des Données – qui définit le cadre dans lequel toute organisation traitant des données à caractère personnelles doit travailler. Le règlement est entré en vigueur en 2018.
Selon lui, une donnée personnelle est une information permettant d’identifier de manière unique un individu : une adresse mail, un nom et un prénom, un numéro de téléphone par exemple. Cela peut aussi être un ensemble d’informations qui, croisées entre elles, permettent cette identification : connaître l’adresse IP de la personne qui a rédigé une proposition par exemple.
Ce règlement oblige également les organisations à un devoir de vigilance quant aux éventuels sous-traitants qu’elles emploient. Dans le cas des entreprises de la civic tech, on peut notamment évoquer les hébergeurs de données (sont-ils européens ou non ?) mais également tous les outils utilisés pour assurer le fonctionnement des plateformes (monitoring, détection des bugs, etc.)
En France, une application pratique laborieuse
2 ans ont été donnés aux organisations pour appliquer ces nouvelles règles. La France est pourtant aujourd’hui en retard sur leur application. En effet, la CNIL, organisme indépendant chargé de veiller à l’application du règlement, a tardé à prendre des mesures de rétorsion contre de grands acteurs ne respectant pas les principes édictés par le RGPD concernant le consentement des utilisateurs aux traitements de leurs données.Il faut citer le cas de la “CNIL autrichienne”. L’Autriche a sanctionné l’utilisation de Google Analytics par certaines entreprises. Notre CNIL a attendu cette décision pour mettre en demeure des entreprises françaises utilisant l’outil de la multinationale états-unienne. Peut mieux faire…
Quand on parle de protection des données, il faut garder en tête que rien n’est blanc ou noir : la protection parfaite n’existe pas. Il n’y a qu’à constater les nombreux incidents frappant les grandes entreprises, pourtant beaucoup mieux dotée que les entreprises du secteur de la civic tech sur le sujet.
Ce qui est attendu, en revanche, c’est de mettre des moyens suffisants en place pour éviter les fuites de données, ou bien décourager/freiner les éventuelles attaques visant à accéder à ces données. Cela passe par des moyens techniques, par exemple la limitation des accès aux données, la sécurisation des outils utilisés par l’entreprise par des mots de passe solides ou encore le chiffrement des données critiques. Le facteur humain est également critique : la formation des utilisateurs à ces procédures de sécurité est essentielle.
Une première mesure simple pour limiter la diffusion des données est très prosaïque : stocker ces données sur ses serveurs, ou du moins les serveurs loués chez un hébergeur localisé en Europe. Le second échelon concerne les mesures de sécurité au sein de l’entreprise pour limiter la diffusion des informations : mettre en place un gestionnaire de mot de passe pour que seules les personnes ayant à traiter la donnée aient accès à ces outils par exemple.
S’il l’on prend encore du recul, on peut également discuter de tous les outils utilisés autour de la mise en place de ses plateformes : outils de collaboration (chat d’entreprise, gestion des documents, etc.), de suivi des plateformes dont avons parlé (monitoring, suivi des bugs, support utilisateur).
Pour finir – le plus complexe -, travailler avec des organisations qui n’ont pas connaissance de cette législation. Il faut alors entamer un dialogue durable, déployer un certain sens de la diplomatie, pour expliquer la nécessité de changer d’outil(s), auprès de personnes dont, très souvent, ce n’est pas le métier principal.
Le sujet de la protection des données est riche d’enseignements, puisqu’en s’intéressant au traitement des données, c’est toute l’infrastructure logicielle de l’entreprise qui doit être repensée, apportant un éclairage nouveau sur les manières de travailler et de les faire évoluer. Pourtant, ce sujet est souvent le parent pauvre de beaucoup d’organisations : à la manière de l’airbag, personne ne s’en soucie vraiment jusqu’au jour où survient un accident ! Mais avec des utilisateurs de plus en plus soucieux de ces enjeux, ce sujet sera de plus en plus un avantage dans le choix des outils logiciels de participation citoyenne. S’en occuper, c’est donc prendre une longueur d’avance sur la démocratie numérique de demain.
Le sujet de la protection des données est piégeux et ingrat, il touche à la manière dont travaillent toutes les organisations, à travers leurs pratiques quotidiennes et leurs interactions avec leurs clients.
Mais il est aujourd’hui absolument nécessaire de l’attaquer de front, sous peine de risquer, au mieux, des mesures de rétorsion de la part du régulateur, au pire, des attaques en règles pouvant nuire au fonctionnement des plateformes de participation citoyenne.