Données sensibles : comment développer des usages vertueux dans un cadre éthique et sécurisé ?

Saisir la valeur de la donnée : un atout pour les acteurs publics

La donnée est aujourd’hui le moteur de nos systèmes et touche tous les aspects de notre quotidien : l’école, la santé, notre vie privée... C’est pourquoi « nous ne pouvons plus seulement nous concentrer sur le stockage de la donnée mais bien sur sa durée de vie de bout en bout : sa collecte, son exploitation, son partage, sa protection » affirme Benoît Parizet, Directeur général adjoint de Docaposte en charge du Secteur Public. Un message fort qui introduit les échanges.

Un premier constat est alors posé : la donnée doit être travaillée pour pouvoir exploiter son plein potentiel et garantir une maîtrise des systèmes. 

Lionel Chaine, Directeur des systèmes d’information de Bpifrance, déclare à ce sujet : « la data est synonyme de connaissance. Nous devons donc la classifier, la localiser et surtout travailler sa résilience. Ce point est essentiel, d’autant plus que notre business s’appuie sur la confiance numérique. Grâce à la règlementation DORA, qui est aujourd’hui la plus aboutie en matière de résilience, nous sommes poussés à agir encore plus en ce sens. » 

En effet, « la donnée n’est pas neutre et sert au pilotage des politiques publiques » rappelle Audran Le Baron, Directeur du numérique pour l’éducation au ministère de l’Éducation nationale. Plus encore, « son utilisation est stratégique pour l'État, car elle apporte de la simplification et de la valeur à l'écosystème » complète Stéphanie Schaer, Directrice interministérielle du numérique de la DINUM.

Seulement, pour travailler la donnée, il faut s’appuyer sur des cas d’usage qui présentent des résultats. « Cela garantit que les données sont réellement utiles et qu’on les mobilise de manière progressive et itérative. On ne commet pas l’erreur d’investir dans des infrastructures dont on ne connaît pas la pertinence. Et surtout, on évite les résultats “cathédrale”, c’est-à-dire dont on perçoit les premiers bénéfices des années après » poursuit Stéphanie Schaer.

Organiser et protéger nos données : comment faire ?

Deuxième constat : pour garantir le travail des données, celles-ci doivent être précisément structurées. Le Directeur des SI de Bpifrance assure qu’« une DSI agile nécessite une organisation stricte, presque militaire, s’appuyant sur des données de qualité. Pour en garantir la maîtrise, nous avons notamment travaillé notre organisation de la donnée avec un dictionnaire et un vocabulaire dédié. » 

A ce titre, Stéphanie Schaer salue la réussite de la plateforme data.gouv.fr, reposant sur « des systèmes qui standardisent, hébergent et protègent les données, y compris les plus sensibles, grâce à un système d’habilitation ».  

Cette classification distingue la donnée publique de la donnée confidentielle ou sensible au regard du RGPD. L’objectif est simple : garantir l’intégrité et la sécurité des données pour déployer les moyens adéquats. Véronique Lacour, Directeur exécutif groupe transformation et efficacité opérationnelle de EDF, met en garde. « Le curseur de protection ne se déplace pas quand les données sont sensibles. Nous devons protéger toutes nos données. Des barrières règlementaires existent pour cela, et bien qu’elles soient contraignantes, elles ont une véritable importance » souhaite-t-elle faire entendre. 

Au-delà du cadre règlementaire, s’appliquer une éthique stricte garantit ici une meilleure sécurisation de la donnée. Point sur lequel insiste Audran Le Baron : « nous traitons les données scolaires comme des données sensibles, bien qu’elles ne soient pas considérées comme telles au sens du RGPD. Pourtant, elles sont des traces d'apprentissage et peuvent en dire beaucoup sur les profils des élèves. » Pour les données scolaires confiées à des tiers, la logique d’État plateforme s'applique donc. « Il s'agit d'un juste milieu entre l'État qui gère tout et l'État qui laisse complètement faire. Dans cette dynamique, nous proposons une structure et une doctrine numériques pour encadrer et favoriser une interopérabilité éthique et de confiance des données scolaires. »

Les dataspaces ont aussi fait leurs preuves, comme le dataspace nucléaire déployé par EDF. L’objectif : favoriser les échanges de données entre acteurs de la filière, en toute confiance et sécurité. Cela repose sur une idée simple : « la donnée est décentralisée mais circule de façon maîtrisée. En clair, chaque acteur conserve ses données, mais quand l’un d’entre eux a besoin d'une information particulière, il demande l'accès à celui qui la détient » explique Véronique Lacour sous le prisme de son expérience chez EDF.

C’est en conjuguant maîtrise, éthique et sécurité que l’on obtient une politique de la donnée solide, vectrice d’innovation et de confiance.

Mutualiser pour mieux innover

Si la confiance suscite l’innovation, qu’en est-il de la mutualisation des moyens ? Les intervenants ont conclu ce temps d’échange en rappelant l’importance effective de mutualiser les ressources humaines, techniques, technologiques... Stéphanie Schaer affirme qu’il est important de mutualiser, notamment pour les infrastructures coûteuses. « Ainsi, l’État peut apporter de l’excellence dans les services numériques. Un commun numérique nous permettrait de regagner puissance et autonomie ». Audran Le Baron ajoute qu’il « existe une véritable tension entre innovation et sécurité, le plus simple étant de fixer un cadre ». 

Mais avec nuance. Véronique Lacour remarque « qu’il faut des règles communes tout en restant vigilants à ce qu’elles ne freinent pas l’innovation ». Lionel Chaine appuie ce point : « on tend effectivement à plus de mutualisation. Toutefois, le monde va tellement vite avec l'IA qu'il faut aussi conserver de l’autonomie ».

Cette table ronde a révélé à la fois « la diversité et la similarité des enjeux autour de la classification des données, de leur protection et de l’innovation », est venu souligner Benoît Parizet. Tous partageaient une ambition : repenser le cadre commun des données, l’autonomie et l’agilité des systèmes, pour garantir un partage des données en confiance.