Quel est l’impact de la loi SREN pour les données territoriales ?
Schéhérazade Abboub et Khadija Kazouz, avocate associée et avocate du pôle data publique chez Alerions Avocats, décryptent avec nous les enjeux de la loi SREN pour les données territoriales. En introduisant de nouvelles définitions, comme celles de « données sensibles » et d’« organismes altruistes », ce texte ouvre des perspectives pour les collectivités en matière […]
Schéhérazade Abboub et Khadija Kazouz, avocate associée et avocate du pôle data publique chez Alerions Avocats, décryptent avec nous les enjeux de la loi SREN pour les données territoriales. En introduisant de nouvelles définitions, comme celles de « données sensibles » et d’« organismes altruistes », ce texte ouvre des perspectives pour les collectivités en matière de gestion et de valorisation des données publiques.
Les 3 enjeux à retenir :
Un cadre sécurisé pour le partage et la valorisation des données territoriales
La loi SREN, comme son acronyme l’indique, vise à « Sécuriser et Réguler l’Espace Numérique », et s’inscrit en complément du cadre législatif européen sur le numérique. Elle transpose dans le droit français certains éléments du Data Governance Act (DGA). Parmi ces mesures, on retrouve la notion d’intermédiaire en matière de données (plateformes vouées à collecter et à redistribuer la donnée, à l’instar d’une application de smartphone), la classification des données sensibles et la reconnaissance des organismes altruistes. Les deux derniers points concernent — de manière plus ou moins implicite — les collectivités territoriales.
Le Data Governance Act européen, qu’est-ce que c’est ?
Applicable dans les pays de l’UE, ce règlement européen porte l’ambition de créer un cadre harmonisé pour bâtir une économie des données en Europe, en stimulant l’innovation tout en garantissant la sécurité, la transparence et l’éthique dans leur utilisation.
Actuellement, les dispositions précisant les normes de sécurité à mettre en place du côté des collectivités, par exemple l’obligation d’utiliser le référentiel SecNumCloud, n’ont pas été établies. Les modalités d’application de la loi SREN seront détaillées dans des décrets, dont la publication est encore attendue.
La définition de « données sensibilité particulière » : une nouvelle catégorie pour protéger les données territoriales
La loi SREN introduit une définition de « données sensibles », attendue pour donner une valeur spéciale aux données publiques. La nouvelle classification s’adresse, d’une part, aux données publiques « jugées essentielles à la santé, à la vie privée des personnes, à la sécurité nationale, ou à la propriété intellectuelle », et, d’autre part, aux données des entreprises protégées par le secret des affaires.
Cette distinction permet aux collectivités d’identifier les données nécessitant une protection renforcée et d’adopter des mesures de sécurité adaptées, via des solutions de stockage conformes aux standards européens, comme le référentiel SecNumCloud de l’ANSSI. Qui dit cadre rigoureux, dit évidemment démarches administratives supplémentaires. Mais la reconnaissance du rôle stratégique des données territoriales est avant tout un vecteur d’opportunité : sécuriser ces ressources sensibles, c’est aussi affirmer le rôle essentiel des collectivités dans la souveraineté numérique et l’innovation territoriale.
L’« altruisme » en matière de donnée : une opportunité pour les collectivités
L’introduction des « organisations altruistes » par le DGA offre une nouvelle façon d’envisager la gestion et le partage des données. Ces entités, supervisées en France par la CNIL, sont définies comme des personnes morales à but non lucratif poursuivant des objectifs d’intérêt général, dans des domaines tels que la recherche, la santé ou les projets locaux d’intérêt public.
L’« altruisme en matière de données » repose sur une idée simple : les citoyens, les entreprises ou les institutions peuvent volontairement partager leurs données dans le cadre de projets ayant un impact positif sur la société. Par exemple, un habitant pourrait accepter de contribuer à une base de données sur la qualité de l’air pour aider à améliorer les politiques environnementales locales, ou encore une collectivité pourrait fournir des données anonymisées pour soutenir des initiatives visant à réduire les inégalités numériques.
Cependant, l'application concrète reste limitée. La loi SREN n’a pour l’instant proposé qu’une transposition minimaliste de ce concept, laissant une marge de réflexion (et d’action !) pour les collectivités locales sur les initiatives à mettre en œuvre. Des « embryons » d’organismes altruistes semblent déjà montrer la voie, comme le Climate Data Hub en Centre-Val de Loire ou le projet RUDI à Rennes.
Vous avez compris toutes les subtilités à mettre au service de votre collectivité ? Alors, Vrai ou Faux ?
La loi SREN a pour but de sécuriser l’espace numérique, tout en permettant la libre circulation des données.
Vrai. > La loi SREN vise avant tout à renforcer la sécurité des données, tout en facilitant leur partage au sein de l’Union européenne. L’objectif est de créer un cadre de confiance, pour que les données circulent librement sans risquer d’être captées par des acteurs étrangers. La vocation de ces textes est d’assurer un partage sécurisé et européen, à l’abri des GAFAM (Google, Amazon, Facebook, Apple, Microsoft) et des intérêts asiatiques.
La loi propose une définition de « données sensibles » qui s’adresse aux données publiques.
Vrai. > La loi SREN introduit une nouvelle classification des « données à sensibilité particulière », regroupant des informations issues des infrastructures critiques des territoires : réseaux d’eau, d’énergie, ou de communication. Ces données, vitales pour la sécurité nationale et les missions essentielles de l’État, comme la protection de la santé, le respect de la vie privée des personnes, ou la protection de la propriété intellectuelle doivent être sécurisées et stockées dans des environnements conformes aux standards européens.
Les statuts d’« organismes altruistes » pourraient correspondre aux collectivités.
Vrai. > Bien qu’il n’y ait pas encore de lien clair dans la loi SREN, ce rôle pourrait naturellement être assumé par les collectivités. Les critères pour être un organisme altruiste, tels que l’intérêt général et le but non lucratif, correspondent déjà aux missions des collectivités locales. Elles ont l’expérience et les structures nécessaires, comme les syndicats mixtes numériques.
Les décrets de la loi SREN sont déjà publiés et spécifient les conditions d’application.
Faux. > Les décrets d’application de la loi SREN ne sont pas encore disponibles, ce qui crée une incertitude sur la mise en œuvre. De nombreux élus se demandent comment respecter les nouvelles exigences de sécurité.
Cette loi encourage les collectivités à lancer leurs propres initiatives.
Vrai. > La loi SREN offre de nouvelles perspectives pour les collectivités en termes de valorisation des données publiques, et des défis subsistent :
- Renforcement des compétences : la mise en conformité suggère un socle de connaissances techniques à maîtriser pour les agents des collectivités.
- Réticences des citoyens face à l’ouverture des données : la culture de l’open data n’est pas encore bien implantée, et beaucoup craignent les implications liées à la protection des données personnelles.
- Complexité des nouvelles normes : les exigences du référentiel SecNumCloud et les obligations de partage peuvent représenter une lourde charge administrative.