Le magazine des maires et présidents d'intercommunalité
Maires de France


Pratique
07/04/2021
Numérique, réseaux sociaux

Comment cartographier les applications de la collectivité

La cartographie des logiciels, sites et données est le gage de leur sécurisation. Elle dessine aussi le potentiel des données exploitables. Par Olivier Devillers

Illustration
© AdobeStock
La cartographie des applications de la collectivité s’impose d’autant plus que les pratiques informatiques ont changé. De moins en moins d’applications sont installées sur les postes de travail, et donc gérées directement par le service informatique ou un prestataire. De plus en plus sont hébergées dans le « cloud », louées à un prestataire. Or, parfois, le service informatique n’en est pas informé alors même que toutes les applications sont placées sous la responsabilité de la collectivité.

Inventaire exhaustif. La cartographie des applications va consister à réaliser un inventaire exhaustif des logiciels utilisés par la collectivité, qu’ils soient gérés par un prestataire ou mis à disposition gratuitement, comme c’est par exemple le cas de certains téléservices proposés par l’État. L’inventaire comprendra aussi le site internet et toutes les bases de données « maison » utilisant Excel ou Access… Dans les informations minimales figureront le nom du logiciel, sa version, l’éditeur, sa fonction, les données qu’il traite et le service de la collectivité qui en est responsable. Il devra indiquer s’il traite des données personnelles, s’il permet d’exporter des données structurées et comment les données sont sauvegardées.

Mises à jour et sécurisation. À partir de cette base, la première préoccupation de la collectivité doit être la sécurité, sujet devenu critique avec les rançongiciels. L’un de leurs modes opératoires est en effet de passer par des failles logicielles. À cet égard, l’usage de versions de logiciels obsolètes doit être prohibé, et les mises à jour automatiques privilégiées. On notera qu’avec les logiciels hébergés (mode SaaS), ce risque est minimisé car reposant sur le fournisseur de service. La collectivité doit aussi s’intéresser au(x) compte(s) utilisateur(s) en faisant en sorte que les accès administrateurs soient distincts des accès utilisateurs. Les identifiants/mots de passe doivent être robustes et régulièrement changés. La collectivité devra enfin veiller à l’existence de sauvegardes des données, si possible quotidiennes.

Registre RGPD. La collectivité pourra extraire tous les traitements de données personnelles pour créer et mettre à jour le registre imposé par le règlement général sur la protection des données (RGPD). La CNIL rappelle que ce registre obligatoire doit indiquer, a minima, les catégories de données personnelles traitées (état civil, profil social, géolocalisation, etc.), les objectifs poursuivis par le traitement, les responsables des traitements (y compris en sous-traitance), et préciser les flux indiquant l’origine et la destination des données. La Cnil a mis en ligne un modèle de registre RGPD dont peuvent s’inspirer les collectivités (www.cnil.fr/professionnel).

Liste de données « ouvrables ». Par déduction enfin, tous les logiciels et bases de données ne comportant pas de données personnelles peuvent être concernés par l’Open data. On rappellera que toutes les administrations de plus de 3 500 habitants (50 ETP) sont concernées par le principe « d’ouverture par défaut » des données produites dans le cadre de leurs missions, exception faite des données personnelles, et de celles couvertes par le secret commercial ou les règles de propriété intellectuelles. L’ouverture des données n’a cependant de sens que si les données respectent des standards, autrement dit une présentation normalisée permettant leur réutilisation par des machines. Les standards de données existants sont répertoriés sur le site schema.data. gouv.fr. Pour les collectivités, il en existe d’ores et déjà une dizaine : adresse, équipements publics, délibérations, subventions, liste des marchés publics, etc.
 

Algorithmes publics : obligations

La Loi du 7 octobre 2016 pour une République numérique (art. L311-3-1 du Code des relations entre le public et l’administration, CRPA) prévoit la publication des algorithmes publics intervenant dans des décisions individuelles (personne physique ou morale). Pour les communes, il s’agit par exemple du mode de calcul des barèmes pour la cantine, la crèche ou les activités périscolaires qui font intervenir des critères comme le niveau de revenu ou le nombre de parts. Ces algorithmes sont généralement intégrés aux logiciels métiers mais ce peut être aussi de simples tableurs. Les décisions individuelles générées par un algorithme doivent a minima indiquer la finalité du traitement et un contact pour obtenir le détail du calcul.

Suivez Maires de France sur X: @Maires_deFrance

Couverture

Cet article a été publié dans l'édition :

n°389 - AVRIL 2021
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions
Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).