Entretien avec Anne Le Hénanff, adjointe au maire de Vannes, vice-présidente de Villes Internet

Anna Mélin : l’arrivée du règlement général sur la protection des données (RGPD) dans les collectivités a-t-elle permis de mieux défendre la souveraineté numérique ?

Anne Le Hénanff : la mise en place du RGPD — qui a démultiplié la responsabilité pénale du maire et du directeur général des services — a entraîné un changement culturel dans les collectivités. En effet, si nous ne mettons pas en place les mesures pour protéger les données à caractère personnel des citoyens, nous sommes fautifs en cas de perte. La perte peut être due à un vol, à des attaques cyber ou des actes malveillants. Mais elle peut aussi tout simplement faire suite à un accident dans une mairie dû à un système d’information qui n’est pas bien protégé ou à un problème réseau. Je fais partie des personnes qui ont été effrayées par le RGPD, je pensais avoir affaire à une énième réglementation supplémentaire et que nous n’étions pas prêts. Mais l’intégration de ce règlement nous a obligés à revoir nos systèmes d’information et à donc introduit des mesures de cyber-sécurité.
Dans ce contexte, la souveraineté ce sont les actions que nous allons mettre en œuvre par nous-mêmes pour protéger les données que nous collectons.

Morbihan énergie[1] – établissement public de coopération intercommunale, syndicat mixte d’énergie qui s’est diversifié dans les éoliennes, les hydroliennes, l’hydrogène et la fibre – a fait une enquête auprès de 40 communes sur leurs pratiques numériques. Les résultats sont assez effrayants. Certes, il y a une prise de conscience chez les élus depuis le RGPD, ils sont désormais tout à fait lucides sur leur responsabilité et savent que c’est une priorité. Mais dans les faits, plus d’un an après, presque rien n’a changé. Aujourd’hui, s’il y a une attaque cyber ou un problème dans le système informatique d’une commune de 3000 habitants, nous serons exactement dans la même situation qu’avant le RGPD.

AM : Comment expliquez-vous que les choses avancent si lentement sur un sujet pourtant déterminant ?

ALH : D’abord, les collectivités n’ont pas les moyens de faire face aux enjeux. Les moyens financiers, les moyens en ressources humaines et les expertises. Par exemple, 40 % des communes interrogées par l’enquête de Morbihan énergie n’ont pas de responsable informatique en interne.
La deuxième raison, c’est que depuis le lancement du RGPD nous n’avons pas du tout été accompagnés. L’État demande seulement maintenant aux préfectures de guider les collectivités sur la protection des données. C’est un petit peu tard.

AM : Quels sont les défis de la souveraineté numérique ?

ALH : Les acteurs publics étatiques sont en train de réfléchir sérieusement à la question de la souveraineté, car les enjeux sont énormes. La préservation de la souveraineté de notre pays passe par la protection des données. Or, les plus gros collecteurs de données en dehors des administrations publiques, ce sont les collectivités locales. Nous savons tout sur un individu, sur sa famille, sa vie privée. Les collectivités sont donc des actrices majeures et incontournables de la souveraineté numérique et de la donnée.

AM : Les collectivités doivent-elles prendre la main et innover à leur échelle ou c’est à l’État de déployer une solution unique à l’échelle nationale ?

ALH : L’État a incontestablement un rôle à jouer, notamment sur les bonnes pratiques. 40 % des communes délèguent leurs données et leur système informatique à des sociétés extérieures. C’est beaucoup. Elles doivent être plus exigeantes vis-à-vis de ces intervenants.
L’enquête que nous avons menée montre que 85 % des maires et des DGS ne savent pas comment sont traitées leurs données. C’est-à-dire qu’ils confient leur politique numérique, la sauvegarde et la gestion de leurs données à des prestataires qui sont souvent de leur commune — ce sont des voisins, des entrepreneurs locaux, parfois des amis — mais 50% d’entre eux ignorent si ce prestataire respecte le RGPD, et ils sont 80 % à être incapables de dire où sont stockées les données ni dans quelles conditions. C’est inquiétant.

Nous oeuvrons actuellement à répondre à cet enjeu avec Morbihan énergie. En tant qu’acteur local, le syndicat mixte apparaît en effet comme un tiers de confiance.
Nous travaillons à la création d’un data center de données publiques. Grâce à l’enquête que nous avons menée, les collectivités ont exprimé leurs besoins et nous allons adapter ce data center à ces besoins. Ce data center aura trois niveaux d’intervention.
La sauvegarde des données. Il s’agira de préserver les données collectées par les communes et les EPCI. Elles peuvent être issues des procédures dématérialisées imposées par l’État ou par les dématérialisations développées par les collectivités elles-mêmes.
La souveraineté nationale passe par la sauvegarde des données que nous confient les Français, mais elle passe aussi par la protection des celles que nous produisons.
Lorsqu’une commune nous confiera ses données, nous la formerons sur les bonnes pratiques ainsi que les bonnes questions à poser à son prestataire informatique.
L’accompagnement des communes sur les usages dématérialisés en proposant des services : sites Internet, fichiers, partage de fichiers, messagerie interne ou externe, téléphonie.
L’open data et la ville intelligente. Sur ce sujet, l’État va vouloir aller vite, l’Europe encore plus donc il faut anticiper. Nous allons essayer, en utilisant les données avec l’accord des communes, de proposer des usages intelligents et open data qui seraient réinjectés dans les territoires.

AM : Quelles sont les échéances de votre projet ?

ALH : Les élus de Morbihan énergie l’ont validé donc il a toutes les chances d’aboutir. Nous espérons qu’il voit le jour à l’été 2020. Certains aspects restent encore à définir : la question du statut juridique — la forme envisagée est celle d’une société publique locale —, qui est liée à la question financière.

Le data center des données publiques que vous présentez est totalement innovant ou a-t-il déjà été mis en place ?

Des data center publics existent déjà, mais ils s’arrêtent aujourd’hui au stockage et à la protection des données. Avec ce projet, nous couvrons tous les enjeux.
Cela permettra d’innover et de réduire les coûts en mutualisant. De même, dans l’esprit de solidarité territoriale, nous utiliserons l’avancée de certaines grosses villes dans les petites communes qui n’ont pas les moyens de travailler sur cette question.

La donnée est un trésor national, dès lors, nous souhaitons être proactifs sur le sujet. Nous sommes dans un changement de culture : les grands groupes ne doivent plus se faire de l’argent sur notre dos pour ensuite nous revendre nos propres données.
Inventer et protéger les citoyens, c’est le sens de la souveraineté numérique.

[1] Morbihan énergies a été créé le 7 mars 2008, succédant ainsi au Syndicat départemental d’électricité qui regroupait, depuis 1965, les 253 communes du Morbihan. Propriétaire des réseaux d’électricité à basse et moyenne tension, le Syndicat organise, dans la continuité, le service public de la fourniture et de la distribution d’électricité.