La législation genevoise en matière d’Open Data: présentation de Jean-Daniel Zeller, Président de la commission consultative en matière de protection des données, de transparence et d’archives publiques, au Forum des archivistes de l'arc lémanique du 19 novembre 2018
1. Forum des archivistes genevois
Open Data et archives
19 novembre 2018
La législation genevoise
en matière d’Open Data
Jean-Daniel Zeller
Président de la commission consultative en matière de protection des
données, de transparence et d’archives publiques
2. Bases légales de l’Open Data à Genève
Le domaine des données ouvertes dans le canton de
Genève est régit par :
• la loi sur l’administration en ligne (AeL, B 4 23,
adoptée le 23 septembre 2016 par le Grand Conseil
(https://www.ge.ch/legislation/modrec/f/B423-11684.html)
• le règlement sur l’administration en ligne (RAeL, B 4
23.01, adopté le xx.xx.2018 par le Conseil d’Etat)
(https:// ????)
Certaines dispositions techniques complémentaires figurent dans
le règlement sur l'organisation et la gouvernance des systèmes
d'information et de communication (ROGSIC, B 4 23.03, du 26
juin 2013) (https://www.ge.ch/legislation/rsg/f/s/rsg_B4_23P03.html)
et quelques directives transversales.
19/11/2018 2Legislation OD à Geneve
3. Bases légales article par article (1)
Les articles spécifiques aux données ouvertes sont :
l’article 10 de la loi
l’article 18 du règlement
Cependant un certains nombres d’autres articles en
complètent le sens.
On les passe en revue ici, en mettant en regard l’article de
loi avec les articles du règlement correspondants. Les
éléments pertinents sont affichés en rouge.
Ce tableau est disponible sur le site du Forum, à l’adresse suivante :
http://www.forumdesarchivistes.ch/site/wp-
content/uploads/2018/10/OD-GE_Tableau_AeL-RAeL.docx
19/11/2018 3Legislation OD à Geneve
4. Bases légales article par article (2)
AeL (B 4 23) RAeL (B 4 23.01)
Art. 5 Définitions
Dans la présente loi, on entend par :
a) classification : attribution à une donnée ou à une information
d’un niveau de protection en considération de sa nature ou de son
importance;
b) compte usager : ensemble des attributs liés au titulaire du
compte et collectés lors de l’inscription de l’usager, en particulier
son identifiant;
c) confidentiel : caractère d’une donnée qui doit être protégée
contre tout accès indu de tiers, que ce soit en application de la loi
ou en raison d’une décision administrative;
d) données publiques ouvertes : données classifiées «publiques»
qui sont collectées, établies, gérées, traitées et sauvegardées par
l’administration dans le cadre de ses missions légales – notamment
les données géographiques et les données environnementales – et
dont la mise à disposition se fait sous une licence permettant leur
large réutilisation;
e) inclusion numérique : ensemble des politiques visant à rendre
accessibles à tous les informations et services proposés par un site
Internet, indépendamment d’une situation de handicap, ou dans la
mesure du possible des matériels et logiciels d’accès choisis par
l’usager;
f) espace usager : zone de stockage associée au compte usager et
dans lequel l’administration cantonale et l’usager peuvent
échanger des informations en y déposant messages, demandes,
informations et documents;
Art. 4 Définitions
1 Dans le présent règlement d'application, on
entend par :
a) authentification : procédure qui consiste à
vérifier et prouver, au moyen des données
retenues lors de la procédure d’identification,
l’identité d’un usager avant de lui autoriser l’accès
à son compte usager;
b) authentification faible (ou simple) :
authentification qui repose sur un seul facteur
associé à un nom d’usager, tel qu’un mot de passe;
c) authentification forte : authentification qui
repose sur au moins deux facteurs associés à un
nom d’usager et dont l’un d’eux est transmis par
un canal propre, tel qu’un mot de passe et un code
à usage unique;
d) empreinte numérique : nombre que l’on ajoute
à un document ou à un message pour permettre
aux tiers, respectivement à son destinataire, de
vérifier son intégrité.
e) identification : procédure permettant d’établir
de manière sûre une correspondance entre
l’identité physique et l’identité numérique d’un
usager et de l’associer à des données qui lui sont
propres, permettant de l’authentifier par la suite;
19/11/2018 4Legislation OD à Geneve
5. Bases légales article par article (3)
AeL (B 4 23) RAeL (B 4 23.01)
g) sécurité des données : ensemble des mesures
organisationnelles (sécurité de l’information) et techniques
(sécurité opérationnelle) permettant d’assurer la protection de la
confidentialité, de l’intégrité et de la disponibilité des
informations, données et systèmes informatiques de l’Etat;
d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-
répudiation, la conformité à la loi et aux standards, ainsi que la
fiabilité, peuvent également être concernées; ces mesures
intègrent les mesures organisationnelles de protection du
patrimoine informationnel, en particulier la gestion des accès;
h) service en ligne : service de l’administration – transactionnel ou
non – fourni à un usager via le site Internet officiel de l’Etat;
i) site Internet officiel de l’Etat : site unique de mise à disposition
des services en ligne et de la communication institutionnelle en
ligne;
j) système de gestion de la protection des données : ensemble des
mesures et processus mis en œuvre pour assurer la sécurité des
données personnelles et confidentielles;
k) transaction en ligne : service de l’administration fourni via le
site Internet officiel de l’Etat qui suppose une interaction entre
l’usager et l’administration cantonale;
l) usager : toute personne physique ou morale, établissement et
corporation de droit public cantonale et communale, ainsi que les
administrations et les commissions qui en dépendent, qui a le droit
d’accéder à un service en ligne ou à des données publiques
ouvertes.
f) référentiel de données : ensemble de données
faisant autorité pour un ou plusieurs systèmes
d'information et de communication de l'État ; ces
données concernent essentiellement les
personnes physiques, les personnes morales, les
adresses postales, les coordonnées
géographiques, l'organisation de l'État et ses
politiques publiques, ainsi que les nomenclatures
utilisées par les offices;
g) service anonyme : service en ligne dont l’accès
n’est pas soumis à une inscription préalable;
2 Les notions d’«office» et de «systèmes
d’information et de communication» sont
identiques à celles données par le règlement sur
l’organisation et la gouvernance des systèmes
d'information et de communication, du 26 juin
2013.
3 Les instances de préavis qui ne font pas partie de
l’administration et qui sont soumises au présent
règlement sont assimilées à des offices.
19/11/2018 5Legislation OD à Geneve
6. Bases légales article par article (4)
AeL (B 4 23) RAeL (B 4 23.01)
Chapitre III Aspects relatifs à l’administration
Art. 10 Données publiques ouvertes
1 L’administration adopte une politique d’ouverture des
données publiques. De ce fait, elle veille à une mise à
disposition ouverte et gratuite sur le site Internet officiel de
l’Etat des données publiques qu’elle produit sous forme
numérique dans son activité quotidienne.
2 Cette mise à disposition des données publiques doit se faire
sous une licence spécifique et dans des formats standards et
ouverts permettant leur large réutilisation.
3 La mise à disposition de données publiques doit respecter le
droit en vigueur, en particulier les dispositions relatives au droit
d’auteur et à la loi sur l’information du public, l’accès aux
documents et la protection des données personnelles, du 5
octobre 2001, les engagements contractuels de l’Etat ainsi que
les règlements ou directives applicables en matière de
classification des informations. Elle ne doit pas contrevenir à
des intérêts publics ou privés prépondérants.
Art. 18 Données publiques ouvertes (art. 10 de la loi)
1 La classification des données générées par l’Etat est
réglementée par voie de directive.
2 Seules les données classifiées comme « publiques »
peuvent être qualifiées de données publiques ouvertes.
Aucune donnée produite par l’Etat ne peut être qualifiée
d’ouverte ou de publique par défaut.
3 Dans le cadre de sa communication et des services en
ligne, l’Etat favorise l’usage des données publiques
ouvertes et leur exploitabilité dans le sens d’un intérêt
public et général.
4 L’Etat assure en son sein la protection de ces données
contre toute modification ou suppression non autorisée
afin d’assurer leur intégrité et leur exactitude.
5 Les tiers qui utilisent les données publiques ouvertes ou
les modifient restent soumis à une licence spécifique
édictée par l’Etat. Ils doivent s’assurer que tous ceux qui
réutiliseront ces données aient connaissance de cette
licence. La licence prévoit des sanctions en cas de violation
de ses termes sous forme de suppression du droit
d’utilisation et de restitution des avantages indus qui ont pu
être obtenus de la sorte.
6 Toute réutilisation des données qui viserait à les relier à
une personne physique est interdite. L’Etat peut supprimer
le droit d’utilisation, de réutilisation, de distribution et de
modification des données lorsqu’un risque d’identification
des personnes est apparu.19/11/2018 6Legislation OD à Geneve
7. Bases légales article par article (6)
AeL (B 4 23) RAeL (B 4 23.01)
Art. 14 Système de gestion de la protection des données
1 Un système de gestion de la protection des données est
mis en place afin d’assurer une protection adéquate des
données dans le cadre des services en ligne. Il prévoit
notamment une grille d’évaluation des risques et permet la
protection des données en fonction de leur classification.
2 Le système de gestion de la protection des données est
intégré dans les structures de coordination mentionnées à
l’article 3.
Art. 25 Protection des données (art. 14 de la loi)
1 Le système de gestion de la protection des données est aligné avec le
système de gestion des risques de l’Etat et s’inscrit dans le système de
gestion de la sécurité de l'information défini dans la politique de sécurité
de l’information (PSI).
2 Le système de gestion de la protection des données est en outre
appliqué par les structures de coordination mentionnées à l'article 33 let.
b du présent règlement.
3 Le stockage et l’échange des informations à travers l’Internet,
notamment les données techniques collectées en application de l'article
30 du présent règlement, font l’objet de mesures de protection contre les
incidents et la malveillance, en particulier contre tout accès non autorisé,
leur modification ou leur suppression indues.
4 Ces mesures doivent être conformes à l’état de l’art et adaptées à la
classification de l’information traitée.
5 Les décisions formelles et leurs éventuelles annexes sont stockées dans
le coffre-fort électronique du système.
6 Lorsque les tiers doivent pouvoir s'assurer de l'intégrité d'une attestation
ou de tout autre type de document, il leur est possible, depuis le site
Internet officiel de l'Etat, de le faire sans être titulaires d'un compte en
entrant le code identifiant figurant sur le document, ainsi que le code
transmis par un autre canal au titulaire de l'attestation.
7 Lorsque l'office en charge de délivrer une prestation met en place une
interaction avec l'administré dans le cadre d'un service anonyme,
l'administré devra fournir le code identifiant figurant sur le formulaire
reçu, ainsi que le code qui lui aura été transmis par un autre canal.
19/11/2018 8Legislation OD à Geneve
8. Bases légales article par article (7)
AeL (B 4 23) RAeL (B 4 23.01)
Chapitre VI Dispositions finales et transitoires
Art. 18 Dispositions d’application
1 Le Conseil d’Etat édicte les dispositions
nécessaires à l’application de la présente loi.
Art. 30 Communication des données entre offices (art. 18, al. 1 de la loi)
1 Lorsqu’un service en ligne nécessite la collaboration de plusieurs offices, ceux-ci
sont habilités à se communiquer les informations pertinentes pour la délivrance de
la prestation lorsqu’une loi le prévoit ou dans la mesure où l’usager a donné son
accord, notamment lors de son autorisation d’accès ou par l’envoi de sa requête.
2 Entre offices, l’accès à distance des informations utiles est préféré à la remise de
copies à chaque fois que cela est possible.
3 Seul l’office qui est l’auteur des données ou qui est le dépositaire originel des
données fournies par les usagers peut les transmettre à d’autres offices ou à des
tiers.
4 Lorsqu’un tiers qui veut accéder à des données s’adresse à un office qui y a accès,
l’office dépositaire requis transmet sa demande à l’office auteur des données.
5 En cas de recours contre une décision rendue par un office sur la base de données
dont un autre office est l’auteur, ce dernier assiste l’office à l’origine de la décision
contestée s’il y a lieu de prouver l’exactitude des données transmises.
6 Tout transfert récurrent de données entre offices nécessite l’adoption d’une
convention écrite, précisant ses conditions et modalités et stipulant ce qui le justifie
aux yeux de la loi sur l’information du public, l’accès aux documents et la protection
des données personnelles, du 5 octobre 2001.
Art. 31 Protection de certains utilisateurs (art. 18, al. 1 de la loi)
1 Les services en ligne qui s’adressent spécifiquement à des mineurs, à des
personnes en formation ou à des personnes bénéficiant de mesures sociales doivent
être fournis par les services informatiques de l’Etat.
2 En cas de nécessité, ils peuvent être fournis par des sous-traitants dont le siège et
les serveurs concernés se trouvent en Suisse.
3 De plus, ni le sous-traitant ni sa maison-mère ne doivent être soumis à la loi d’un
pays offrant une protection insuffisante au sens de la loi suisse applicable en matière
de protection des données personnelles.
19/11/2018 9Legislation OD à Geneve
9. Bases légales article par article (8)
AeL (B 4 23) RAeL (B 4 23.01)
Chapitre VI Dispositions finales et
transitoires
Art. 18 Dispositions d’application
1 Le Conseil d’Etat édicte les
dispositions nécessaires à
l’application de la présente loi.
Art. 28 Gestion de l'information (art. 18, al. 1 de la loi)
1 La direction générale des systèmes d’information met en
place un système permettant de recueillir des données
techniques d’usage des services en ligne afin d’identifier en cas
de nécessité l’auteur d’une action dans le respect du cadre
légal et réglementaire.
2 Par ailleurs, les données traitées par les services en ligne
doivent utiliser les référentiels de données existants.
3 La gestion de l’accès aux référentiels de données doit être
configurée de manière à éviter tout croisement des données
sensibles permettant d’élaborer des profils de personnalité.
4 La consolidation des données de plusieurs transactions en
ligne n’est possible que si la loi l’autorise pour les prestations
correspondantes.
5 L’administration cantonale s’efforce de ne demander qu’une
seule fois à l’usager une information donnée pour l'ensemble
de ses offices.
19/11/2018 10Legislation OD à Geneve
10. Bases légales article par article (9)
AeL (B 4 23) RAeL (B 4 23.01)
Chapitre VI Dispositions finales et
transitoires
Art. 18 Dispositions d’application (suite)
2 Le règlement d’application précise
notamment les points suivants :
a) les détails de l’organisation mise en
place afin d’assurer la gouvernance et
l’harmonisation des services en ligne et de
la communication institutionnelle en ligne;
Art. 37 Répartition des compétences au sein de l’administration (art. 18, al. 2, let. a
de la loi)
Les entités de l’administration compétentes sont définies par le
règlement sur l’organisation et la gouvernance des systèmes
d’information et de communication, du 26 juin 2013.
Art. 12 Dates prises en compte et notification (art. 18, al. 2, let. a de la loi)
1 Dans le cadre des échanges entre usager et administration, seules font foi les
données collectées par les systèmes d’information et de communication de l’Etat, en
particulier en matière d’horodatage des envois de documents ou d’accusés de
réception.
2 L’inscription aux transactions en ligne vaut acceptation par l’usager de la
notification par voie électronique des décisions y relatives au sens de l’art. 46, al. 2 de
la loi sur la procédure administrative, du 12 septembre 1985.
3 La date de notification d'une communication de l’administration à l’usager
correspond à la date de sa mise à disposition dans l'espace usager.
4 Tout dépôt d’un document ou toute communication dans l’espace usager sera
signalé au titulaire du compte par un message envoyé sur l’adresse de messagerie
qu’il aura indiquée. L’envoi de ce message ne vaut toutefois pas notification au sens
de l’art. 12, al. 3 du présent règlement.
Art. 22 Mise à disposition des services en ligne (art. 18, al. 2, let. a de la loi)
1 De manière générale, l’Etat peut mettre à disposition des usagers de nouveaux
services en ligne, modifier des services en ligne existants ou les supprimer.
2 Un catalogue des services en ligne est disponible à l’attention des usagers sur le site
Internet officiel de l’Etat.
3 Le catalogue des services en ligne est basé sur le recensement des besoins des
usagers.
4 Lors de la mise à disposition d’un nouveau service en ligne, l’Etat communique
toute information utile sur son objectif, ses avantages, ses éventuelles restrictions,
ainsi que ses modalités d’autorisation d’accès et d’usage.
19/11/2018 11Legislation OD à Geneve
11. Bases légales - Conclusions
La loi et le règlement établissent les principes gouvernant les
données ouvertes de l’Etat , mais ils disent peu de choses sur la
manière pratique de les gérer.
Ils ne disent rien non plus sur la pérennité de ces données, ce
qui laisse supposer une vision « éditoriale » des données
ouvertes, c’est-à-dire que les données ouvertes sont des
données « publiées » alors que les données de bases restent
dans les bases de données opérationnelles.
La stratégie en dit en peu plus en ce qui concerne les aspects
techniques de la mise en œuvre mais ne pale pas non plus de
l’archivage de ces données.
19/11/2018 12Legislation OD à Geneve
Notes de l'éditeur
Le règlement aurait du être adopté par le Conseil d’Etat en juin/juillet 2018.
A ce jour cela n’est pas les cas. Les articles du règlement cités sont donc une version non-officielle.
Le tableau sur le site est un peu plus complet que celui que je vous présente ici.
Classification: il existe une directive transversale qui défini ces différents niveaux de classification. Elle n’est actuellement pas publique.
Définition des Donnée publiques ouvertes: = classifiée publique / mise à disposition sous licence.
En gros elle considère 3 niveaux de classification :
Public (où se trouvent les données potentiellement ouvertes)
Non public (= non ouverte)
Non public avec secret renforcé (= non ouverte)
A cela s’ajoute une qualification des données personnelles.
Les données personnelles seront à priori non ouvertes, à moins d’une opération d’anonymisation (dont la directive sur la classification ne parle pas).
De cette classification découlent des contraintes techniques pour les métiers et la DGSI en terme : d’accès, d’architecture, de stockage, de diffusion, de traçabilité, et de destruction.
Le principe de sécurité des données est nécessaire à leur ouverture éventuelle. En effet l’administration doit veiller à ce que ces données soit fidèles fiables et à jour (ce qui n’est pas toujours facile en l’état des systèmes d’information existant, voir présentation de la stratégie). Elles sont en partie décrites dans la directive sur la classification de l’information.
Le référentiel des données fait référence à ce qu’on appelle souvent ailleurs les « master data »
Ces deux articles forment le cœur des dispositions légales open data.
Dans la loi - article 10 :
L’alinéa 1 affirme le principe de la mise à disposition des données publiques.
L’alinéa 2 pose le principe d’une licence et de formats standards.
L’alinéa 3 rappelle les dispositions d’autres textes légaux et le respect de la classification des informations, repris à l’alinéa 1 du règlement.
Dans le règlement – article 18 :
L’alinéa 2 défini que seules les données classifiées comme publiques peuvent être déclarées ouvertes, et pose le principe qu’il n’y a pas de données ouvertes « par défaut ».
L’alinéa 3 pose le principe de l’effort de l’Etat pour produire des données ouvertes le plus facilement exploitable.
L’alinéa 4 pose la nécessité de l’intégrité des donnée et de leur exactitude.
L’alinéa 5 indique que le non respect de la licence implique des sanctions.
L’alinéa pose l’interdiction de relier des données ouvertes à des données personnelles (vœux pieux).
Inclusion numérique: Déclaration d’intention dont la mise en œuvre n’est pas encore parfaite.
Le dernier alinéa de l’article 21 résume les contraintes que l’administration s’efforce de respecter:
Compatibilité aux équipements mobiles – Inclusion numérique – Protection des données personnelles.
La protection des données est gérée via le mode de classification
La directive, dans sa forme actuelle, pose un certain problème dans la mesure où elle utilise le concept « d’information » qui recouvre aussi bien les « documents » que les « données », sans distinguer le traitements approprié à chacune de ses formes.
L’article 30 du règlement règle la question de la transmission de données entres offices de l’état.
L’article 28, alinéa 2 et 3 précise l’usage obligatoire des référentiels de données pour les services en ligne, et précise que ces référentiels doivent être conçu pour éviter le recoupement de données pour établir des profils de personnalité.