Inventaire exhaustif. La cartographie des applications va consister à réaliser un inventaire exhaustif des logiciels utilisés par la collectivité, qu’ils soient gérés par un prestataire ou mis à disposition gratuitement, comme c’est par exemple le cas de certains téléservices proposés par l’État. L’inventaire comprendra aussi le site internet et toutes les bases de données « maison » utilisant Excel ou Access… Dans les informations minimales figureront le nom du logiciel, sa version, l’éditeur, sa fonction, les données qu’il traite et le service de la collectivité qui en est responsable. Il devra indiquer s’il traite des données personnelles, s’il permet d’exporter des données structurées et comment les données sont sauvegardées.
Mises à jour et sécurisation. À partir de cette base, la première préoccupation de la collectivité doit être la sécurité, sujet devenu critique avec les rançongiciels. L’un de leurs modes opératoires est en effet de passer par des failles logicielles. À cet égard, l’usage de versions de logiciels obsolètes doit être prohibé, et les mises à jour automatiques privilégiées. On notera qu’avec les logiciels hébergés (mode SaaS), ce risque est minimisé car reposant sur le fournisseur de service. La collectivité doit aussi s’intéresser au(x) compte(s) utilisateur(s) en faisant en sorte que les accès administrateurs soient distincts des accès utilisateurs. Les identifiants/mots de passe doivent être robustes et régulièrement changés. La collectivité devra enfin veiller à l’existence de sauvegardes des données, si possible quotidiennes.
Registre RGPD. La collectivité pourra extraire tous les traitements de données personnelles pour créer et mettre à jour le registre imposé par le règlement général sur la protection des données (RGPD). La CNIL rappelle que ce registre obligatoire doit indiquer, a minima, les catégories de données personnelles traitées (état civil, profil social, géolocalisation, etc.), les objectifs poursuivis par le traitement, les responsables des traitements (y compris en sous-traitance), et préciser les flux indiquant l’origine et la destination des données. La Cnil a mis en ligne un modèle de registre RGPD dont peuvent s’inspirer les collectivités (www.cnil.fr/professionnel).
Liste de données « ouvrables ». Par déduction enfin, tous les logiciels et bases de données ne comportant pas de données personnelles peuvent être concernés par l’Open data. On rappellera que toutes les administrations de plus de 3 500 habitants (50 ETP) sont concernées par le principe « d’ouverture par défaut » des données produites dans le cadre de leurs missions, exception faite des données personnelles, et de celles couvertes par le secret commercial ou les règles de propriété intellectuelles. L’ouverture des données n’a cependant de sens que si les données respectent des standards, autrement dit une présentation normalisée permettant leur réutilisation par des machines. Les standards de données existants sont répertoriés sur le site schema.data. gouv.fr. Pour les collectivités, il en existe d’ores et déjà une dizaine : adresse, équipements publics, délibérations, subventions, liste des marchés publics, etc.