Homologation de sécurité des systèmes d’information et d’analyse d’impact sur la protection des données

Conseil municipal du vendredi 23 novembre 2018

Délibération 1.12 : Homologation de sécurité des systèmes d’information et d’analyse d’impact sur la protection des données. Création d’une commission. Approbation de règlement intérieur

La délibération 1.12 prévoit l’homologation de sécurité pour les systèmes d’information et d’analyse d’impact de protection des données, avec la création d’une commission ad hoc.

Il s’agit, dans le cadre de l’application du règlement général de protection des données, de mettre en place une commission qui déterminera quel est le niveau de vigilance et de justification sur le stockage et les traitements réalisés qui devraient être mis en œuvre.

Le RGPD -pour lui donner son acronyme européen- a inversé la charge de la preuve, désormais il n’y a plus de déclaration préalable des fichiers et des traitements, mais une justification a posteriori du caractère adapté des traitements effectués par rapport à l’objectif poursuivi. C’est en vue de préparer la qualité des réponses qui pourraient être apportées aux questionnements de la CNIL sur ce sujet-là, que cette commission est constituée exclusivement de membres de l’administration.

Je vous remercie pour votre unanimité.

Vous pouvez peut-être enchaîner sur l’ensemble des rapports qui suivent, et puis nous répondrons individuellement aux questions qui seront posées. Vous les présentez en totalité.

[…]

LE MAIRE.

Monsieur Cuturello, vous avez la parole.

CUTURELLO.

Merci, Monsieur le maire, Monsieur l’adjoint, concernant la délibération 1.12, sur l’homologation de sécurité des systèmes d’information, cette délibération propose de créer une commission destinée à rendre un avis consultatif sur les dossiers soumis à analyse d’impact sur la protection des données (l’AIPD) et homologation de sécurité, d’en fixer la composition et d’en approuver le règlement intérieur.

Comme le stipule l’article 9 du projet de règlement intérieur, cette commission traitera de deux démarches : celle concernant l’objectif de protection de la vie privée, qui est de protéger les personnes des atteintes liées à leurs données personnelles, il s’agit des risques que la collectivité fait encourir aux personnes ; celles concernant l’objectif de la sécurité des systèmes d’information, qui est de protéger la collectivité des atteintes liées à son patrimoine informationnel, il s’agit des risques encourus par le système d’information de la collectivité. Ces deux démarches sont souvent complémentaires et donc traitées en parallèle.

Dans son fonctionnement, la commission articule la protection des données personnelles des citoyens et la protection des systèmes d’information de notre collectivité. Cette double mission touchant au domaine sensible de la protection des données personnelles m’amène à formuler deux remarques :

La première concerne la composition de la commission. Tel que défini par le règlement intérieur dans son article 9, ses membres titulaires seront tous des membres de l’administration. Cela me paraît déséquilibré, dans la mesure où la commission aura à traiter des questions concernant la sécurité des données personnelles.

Un rééquilibrage me paraît nécessaire, et je propose d’y ajouter des personnalités compétentes extérieures à l’administration municipale. Ces regards extérieurs et indépendants représentent, selon moi, une garantie indispensable pour une bonne gestion de la commission.

La seconde remarque concerne le rôle du président de la commission. Toujours dans l’article 9, il est indiqué que la commission émet un avis consultatif, le président prenant, lui, la décision. Le rôle du président est prépondérant par rapport à celui de la commission qui n’émet qu’un avis, suivi ou non.

Je pense pour ma part qu’il serait plus logique que les décisions soient soumises au vote de la commission et prises à la majorité des membres, avec voix prépondérante du président en cas d’égalité. C’est le mode de fonctionnement des commissions, comme par exemple les commissions d’appel d’offres, il me paraît plus équilibré et plus adapté à ce domaine sensible de la protection des données.

Je vous propose donc, d’une part, de modifier la composition de la commission en y ajoutant des personnalités qualifiées indépendantes, et d’autre part, de modifier le règlement intérieur pour que les décisions soient prises à la majorité des membres.

Concernant la délibération n° 66.1 qui devait être présentée par M. Nofri, qui est peut-être en train de préparer son permis de conduire : Monsieur le conseiller, mes chers collègues, suite à la création le 8 novembre dernier par la Métropole d’un label d’autopartage à partir du 1er janvier 2019, destiné aux opérateurs privés possédant une flotte de véhicules électriques en autopartage, vous nous proposez aujourd’hui de fixer pour les opérateurs labellisés, une redevance pour l’utilisation par leur véhicule des emplacements de stationnement payant sur voirie. Cette redevance serait de 50 € par an et par véhicule.

Concrètement, cela veut dire que les clients utilisateurs des véhicules labellisés ne paieront pas le stationnement sur voirie, celui-ci ayant été réglé par l’opérateur via la redevance forfaitaire annuelle. Cette mesure allant dans le sens de l’autopartage favorisant la réduction de la circulation urbaine, nous y sommes, a priori favorables.

Elle suscite néanmoins quelques interrogations à propos du devenir d’Autobleue. Elle est aussi électrique, en autopartage, gérée par un délégataire, la SEMAP, qui dispose de 140 véhicules et 68 stations avec deux systèmes de location : le système Zen avec réservation préalable du véhicule qui devrait être ramené à sa place de stationnement d’origine ; le système Flex, sans réservation, et restitution du véhicule dans une autre station que celle de départ.

Mon interrogation concerne les conséquences que pourrait avoir le développement de l’autopartage des opérateurs privés labellisés Métropole sur l’exploitation du Parc d’Autobleue qui n’est pas, me semble-t-il, dans une situation florissante. Comment voyez-vous l’avenir d’Autobleue dans le contexte de concurrence nouvelle qui démarrera le 1er janvier 2019 ? Je vous remercie de vos précisions.

[…]

PRADAL.

Merci, Monsieur le maire. Je vais répondre aux interventions sur les 1.10, 1.11, 1.12 et 66.1, et je vous laisserai, Monsieur le maire, répondre sur la 1.8, pour garder le ton précédent.

Sur la 1.10, Madame Chesnel, les privatisations seront très ponctuelles. La grille d’analyse que nous avons voulu mettre en place est, effectivement, pour éviter un effet d’éviction. Ces biens font partie du patrimoine commun des Niçois avant toute chose. En revanche, il est vrai que la mise à disposition de ces lieux dans des circonstances particulières peut contribuer à une meilleure connaissance, y compris par le public niçois. L’idée n’est véritablement ni de procéder à une éviction, ni de procéder à des privatisations systématiques, mais que nous puissions le faire de façon ponctuelle, et il pourra arriver -mais très ponctuellement et très rarement- qu’il y ait une réduction des horaires de fréquentation, afin de permettre soit des mises en place, soit des organisations, mais ce sera de toute façon très limité.

Nous avons fait le choix, a priori, que les mariages ne fassent pas partie des activités admises. L’idée est la mise en valeur des lieux, et pas forcément une appropriation des lieux. A ce titre-là nous n’avons pas prévu d’organiser des mariages pour des familles princières, quelles qu’elles soient dans nos lieux magnifiques, même si je ne doute pas qu’ils pourraient être intéressés, et que nous pourrions recevoir des sollicitations.

Sur la délibération 1.11, Madame Boy-Mottard, nous sommes dans la gestion de l’équilibre, et nous sommes effectivement dans un sujet où il est parfois difficile de trouver l’équilibre entre les attentes, qui sont toutes légitimes, mais sont parfois contradictoires, voire antagoniques.

Nous essayons, avec la mesure qui a été faite, qui ne prévoit pas une impossibilité au-delà d’une certaine heure, qui prévoit juste une réduction des émergences sonores à partir d’une certaine heure, un dispositif en deux temps : d’abord une réduction des émergences, puis une interruption, mais il y a d’abord la réduction des émergences. L’idée est aussi de réserver les autres usages et les autres fréquentations qu’il peut y avoir à proximité. On regardera, comme toute expérimentation elle mérite d’être évaluée. Il est vrai qu’à chaque fois que l’on fixe une borne, de toute façon, la moitié des gens disent que l’on est pas allé assez loin et l’autre moitié dit que l’on est allé trop loin, c’est probablement que l’on est à peu près à l’endroit où il faut. Pour le moment, nous pensons expérimenter avec ce dispositif-là.

Sur la délibération 1.12 qui est cette mise en œuvre du RGPD et cette déclinaison, Madame Chesnel, je vous confirme que de par leur nature, les projets safe city rentrent dans le champ de contrôle de l’AIPD. Les champs ont été fixés par le règlement, cela peut être rattaché soit au dispositif de surveillance systématique, soit au dispositif de collecte de données sensibles ou à caractère hautement personnel, et à ce titre-là, cela fait partie des données qui feront l’objet du contrôle.

Pour ce qui est de l’ouverture éventuelle de la commission et la modification du mode de prise de décision de l’avis au sein de la commission -puisqu’il est bien rappelé qu’il s’agit, dans tous les cas, d’un avis- ce n’est pas le choix que nous avons opéré. Il ne faut pas perdre de vue que ce dispositif ne vise pas à modifier la responsabilité du traitement du contrôle. C’est toujours la collectivité qui est responsable, et l’avis donné par la Commission porte sur des traitements existants et sur la documentation de la justification de l’opportunité du traitement, c’est ce que nous demande le RGPD, de dire que sur « ces traitements qui présentent des caractéristiques particulières, vous devez documenter à la fois le traitement au plan technique, mais également sa justification, ses modalités de conservation, les modalités de stockage, etc. » Cela ne transfère pas la responsabilité. Un avis positif de la commission ne réduirait pas, et ne serait certainement pas suffisant pour convaincre la CNIL que le dispositif respecte, c’est pour cela que nous avons estimé qu’il était important que la commission reflète ceux qui sont responsables de la justification de la qualité du traitement et de sa conservation, c’est-à-dire notre administration.

Sur la prise de décision, oui, on pourrait imaginer un règlement intérieur, sauf que l’on est dans le cadre d’un domaine où, fort heureusement, le consensus est le bon mode de décision, et je ne doute pas, connaissant les gens prévus pour siéger dans la commission, que s’il y avait des intentions contradictoires… Ne réalisons pas de confusion, quel que soit l’avis de la commission, cela n’entrave en rien le pouvoir des autorités de contrôle que sont à la fois les autorités administratives indépendantes comme la CNIL, ou les autorités judiciaires.

Il s’agit juste de créer un dispositif d’avis aux côtés de l’Exécutif pour dire : « nous pensons que ce type de traitement, de contrôle, nécessite une documentation approfondie ».

Après, si l’Exécutif prend le risque, soit de ne pas suivre l’avis de la commission, soit que l’avis de la Commission ait été imparfait, cela n’entravera en rien le pouvoir des autorités de contrôle, et le pouvoir de recours des tiers qui pourraient s’estimer victime d’une mauvaise qualité de traitement. C’est pour cela que la Commission, telle qu’elle est composée, nous paraît susceptible de répondre à l’objectif fixé par le RGPD. Je rappelle que cette commission existe depuis une délibération de 2016, il s’agit en fait simplement de l’actualisation de ses missions.

Sur l’avenir d’Autobleue, pour être très clair, mais je crois que cela a déjà été dit dans d’autres lieux, Monsieur Cuturello, d’un commun accord entre les parties, ce que vous relevez, c’est-à-dire le caractère relativement insatisfaisant de l’équilibre financier de ce dispositif, les deux parties ont décidé d’y mettre fin au 31 décembre 2019. Il n’y a pas de dispositif concurrentiel. En revanche, nous avons veillé en tant qu’autorité organisatrice de la mobilité à la Métropole Nice Côte d’Azur, premièrement, à la continuité du service public et deuxièmement, au renforcement du dispositif de bornes de recharge, de façon que ce dispositif ne soit pas détérioré, ne soit pas maintenu, mais qu’il soit au contraire amplifié par une répartition des tâches entre la Métropole d’une part, qui sera en charge de l’infrastructure et du développement de l’infrastructure avec de nouveaux dispositifs de recharge renforcés, ainsi que Monsieur le maire l’a indiqué dans le cadre du partenariat qui a été signé avec le président d’EDF, et d’autre part des opérateurs industriels qui vont apporter tout le savoir-faire en matière de fourniture de véhicules, de gestion client, on est vraiment dans leur cœur de métier, tout ceci se passant en parfaite transparence pour les abonnés. Voilà la répartition des tâches qui est effectuée, qui permettra à notre territoire qui a été pionnier en matière de mobilité électrique partagée, de continuer à l’être, et d’ailleurs les opérateurs industriels sont plutôt très intéressés et nombreux à taper à la porte en disant : « à compter du 1er janvier nous serions très intéressés à bénéficier du label autopartage métropolitain et à venir nous déployer sur le territoire de la Métropole Nice Côte d’Azur.

LE MAIRE.

[…]

Je vous propose de mettre aux voix l’ensemble des rapports de M. Pradal.

La délibération n° 1.12, mise aux voix, est adoptée à l’unanimité des suffrages exprimés.

S’abstiennent : Mme Christine Dorejo, MM. Patrick Allemand, Paul Cuturello.