Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

La législation genevoise en matière d’Open Data

130 views

Published on

La législation genevoise en matière d’Open Data: présentation de Jean-Daniel Zeller, Président de la commission consultative en matière de protection des données, de transparence et d’archives publiques, au Forum des archivistes de l'arc lémanique du 19 novembre 2018

Published in: Government & Nonprofit
  • Be the first to comment

  • Be the first to like this

La législation genevoise en matière d’Open Data

  1. 1. Forum des archivistes genevois Open Data et archives 19 novembre 2018 La législation genevoise en matière d’Open Data Jean-Daniel Zeller Président de la commission consultative en matière de protection des données, de transparence et d’archives publiques
  2. 2. Bases légales de l’Open Data à Genève Le domaine des données ouvertes dans le canton de Genève est régit par : • la loi sur l’administration en ligne (AeL, B 4 23, adoptée le 23 septembre 2016 par le Grand Conseil (https://www.ge.ch/legislation/modrec/f/B423-11684.html) • le règlement sur l’administration en ligne (RAeL, B 4 23.01, adopté le xx.xx.2018 par le Conseil d’Etat) (https:// ????) Certaines dispositions techniques complémentaires figurent dans le règlement sur l'organisation et la gouvernance des systèmes d'information et de communication (ROGSIC, B 4 23.03, du 26 juin 2013) (https://www.ge.ch/legislation/rsg/f/s/rsg_B4_23P03.html) et quelques directives transversales. 19/11/2018 2Legislation OD à Geneve
  3. 3. Bases légales article par article (1) Les articles spécifiques aux données ouvertes sont :  l’article 10 de la loi  l’article 18 du règlement Cependant un certains nombres d’autres articles en complètent le sens. On les passe en revue ici, en mettant en regard l’article de loi avec les articles du règlement correspondants. Les éléments pertinents sont affichés en rouge. Ce tableau est disponible sur le site du Forum, à l’adresse suivante : http://www.forumdesarchivistes.ch/site/wp- content/uploads/2018/10/OD-GE_Tableau_AeL-RAeL.docx 19/11/2018 3Legislation OD à Geneve
  4. 4. Bases légales article par article (2) AeL (B 4 23) RAeL (B 4 23.01) Art. 5 Définitions Dans la présente loi, on entend par : a) classification : attribution à une donnée ou à une information d’un niveau de protection en considération de sa nature ou de son importance; b) compte usager : ensemble des attributs liés au titulaire du compte et collectés lors de l’inscription de l’usager, en particulier son identifiant; c) confidentiel : caractère d’une donnée qui doit être protégée contre tout accès indu de tiers, que ce soit en application de la loi ou en raison d’une décision administrative; d) données publiques ouvertes : données classifiées «publiques» qui sont collectées, établies, gérées, traitées et sauvegardées par l’administration dans le cadre de ses missions légales – notamment les données géographiques et les données environnementales – et dont la mise à disposition se fait sous une licence permettant leur large réutilisation; e) inclusion numérique : ensemble des politiques visant à rendre accessibles à tous les informations et services proposés par un site Internet, indépendamment d’une situation de handicap, ou dans la mesure du possible des matériels et logiciels d’accès choisis par l’usager; f) espace usager : zone de stockage associée au compte usager et dans lequel l’administration cantonale et l’usager peuvent échanger des informations en y déposant messages, demandes, informations et documents; Art. 4 Définitions 1 Dans le présent règlement d'application, on entend par : a) authentification : procédure qui consiste à vérifier et prouver, au moyen des données retenues lors de la procédure d’identification, l’identité d’un usager avant de lui autoriser l’accès à son compte usager; b) authentification faible (ou simple) : authentification qui repose sur un seul facteur associé à un nom d’usager, tel qu’un mot de passe; c) authentification forte : authentification qui repose sur au moins deux facteurs associés à un nom d’usager et dont l’un d’eux est transmis par un canal propre, tel qu’un mot de passe et un code à usage unique; d) empreinte numérique : nombre que l’on ajoute à un document ou à un message pour permettre aux tiers, respectivement à son destinataire, de vérifier son intégrité. e) identification : procédure permettant d’établir de manière sûre une correspondance entre l’identité physique et l’identité numérique d’un usager et de l’associer à des données qui lui sont propres, permettant de l’authentifier par la suite; 19/11/2018 4Legislation OD à Geneve
  5. 5. Bases légales article par article (3) AeL (B 4 23) RAeL (B 4 23.01) g) sécurité des données : ensemble des mesures organisationnelles (sécurité de l’information) et techniques (sécurité opérationnelle) permettant d’assurer la protection de la confidentialité, de l’intégrité et de la disponibilité des informations, données et systèmes informatiques de l’Etat; d’autres propriétés, telles que l’authenticité, l’imputabilité, la non- répudiation, la conformité à la loi et aux standards, ainsi que la fiabilité, peuvent également être concernées; ces mesures intègrent les mesures organisationnelles de protection du patrimoine informationnel, en particulier la gestion des accès; h) service en ligne : service de l’administration – transactionnel ou non – fourni à un usager via le site Internet officiel de l’Etat; i) site Internet officiel de l’Etat : site unique de mise à disposition des services en ligne et de la communication institutionnelle en ligne; j) système de gestion de la protection des données : ensemble des mesures et processus mis en œuvre pour assurer la sécurité des données personnelles et confidentielles; k) transaction en ligne : service de l’administration fourni via le site Internet officiel de l’Etat qui suppose une interaction entre l’usager et l’administration cantonale; l) usager : toute personne physique ou morale, établissement et corporation de droit public cantonale et communale, ainsi que les administrations et les commissions qui en dépendent, qui a le droit d’accéder à un service en ligne ou à des données publiques ouvertes. f) référentiel de données : ensemble de données faisant autorité pour un ou plusieurs systèmes d'information et de communication de l'État ; ces données concernent essentiellement les personnes physiques, les personnes morales, les adresses postales, les coordonnées géographiques, l'organisation de l'État et ses politiques publiques, ainsi que les nomenclatures utilisées par les offices; g) service anonyme : service en ligne dont l’accès n’est pas soumis à une inscription préalable; 2 Les notions d’«office» et de «systèmes d’information et de communication» sont identiques à celles données par le règlement sur l’organisation et la gouvernance des systèmes d'information et de communication, du 26 juin 2013. 3 Les instances de préavis qui ne font pas partie de l’administration et qui sont soumises au présent règlement sont assimilées à des offices. 19/11/2018 5Legislation OD à Geneve
  6. 6. Bases légales article par article (4) AeL (B 4 23) RAeL (B 4 23.01) Chapitre III Aspects relatifs à l’administration Art. 10 Données publiques ouvertes 1 L’administration adopte une politique d’ouverture des données publiques. De ce fait, elle veille à une mise à disposition ouverte et gratuite sur le site Internet officiel de l’Etat des données publiques qu’elle produit sous forme numérique dans son activité quotidienne. 2 Cette mise à disposition des données publiques doit se faire sous une licence spécifique et dans des formats standards et ouverts permettant leur large réutilisation. 3 La mise à disposition de données publiques doit respecter le droit en vigueur, en particulier les dispositions relatives au droit d’auteur et à la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, les engagements contractuels de l’Etat ainsi que les règlements ou directives applicables en matière de classification des informations. Elle ne doit pas contrevenir à des intérêts publics ou privés prépondérants. Art. 18 Données publiques ouvertes (art. 10 de la loi) 1 La classification des données générées par l’Etat est réglementée par voie de directive. 2 Seules les données classifiées comme « publiques » peuvent être qualifiées de données publiques ouvertes. Aucune donnée produite par l’Etat ne peut être qualifiée d’ouverte ou de publique par défaut. 3 Dans le cadre de sa communication et des services en ligne, l’Etat favorise l’usage des données publiques ouvertes et leur exploitabilité dans le sens d’un intérêt public et général. 4 L’Etat assure en son sein la protection de ces données contre toute modification ou suppression non autorisée afin d’assurer leur intégrité et leur exactitude. 5 Les tiers qui utilisent les données publiques ouvertes ou les modifient restent soumis à une licence spécifique édictée par l’Etat. Ils doivent s’assurer que tous ceux qui réutiliseront ces données aient connaissance de cette licence. La licence prévoit des sanctions en cas de violation de ses termes sous forme de suppression du droit d’utilisation et de restitution des avantages indus qui ont pu être obtenus de la sorte. 6 Toute réutilisation des données qui viserait à les relier à une personne physique est interdite. L’Etat peut supprimer le droit d’utilisation, de réutilisation, de distribution et de modification des données lorsqu’un risque d’identification des personnes est apparu.19/11/2018 6Legislation OD à Geneve
  7. 7. Bases légales article par article (6) AeL (B 4 23) RAeL (B 4 23.01) Art. 14 Système de gestion de la protection des données 1 Un système de gestion de la protection des données est mis en place afin d’assurer une protection adéquate des données dans le cadre des services en ligne. Il prévoit notamment une grille d’évaluation des risques et permet la protection des données en fonction de leur classification. 2 Le système de gestion de la protection des données est intégré dans les structures de coordination mentionnées à l’article 3. Art. 25 Protection des données (art. 14 de la loi) 1 Le système de gestion de la protection des données est aligné avec le système de gestion des risques de l’Etat et s’inscrit dans le système de gestion de la sécurité de l'information défini dans la politique de sécurité de l’information (PSI). 2 Le système de gestion de la protection des données est en outre appliqué par les structures de coordination mentionnées à l'article 33 let. b du présent règlement. 3 Le stockage et l’échange des informations à travers l’Internet, notamment les données techniques collectées en application de l'article 30 du présent règlement, font l’objet de mesures de protection contre les incidents et la malveillance, en particulier contre tout accès non autorisé, leur modification ou leur suppression indues. 4 Ces mesures doivent être conformes à l’état de l’art et adaptées à la classification de l’information traitée. 5 Les décisions formelles et leurs éventuelles annexes sont stockées dans le coffre-fort électronique du système. 6 Lorsque les tiers doivent pouvoir s'assurer de l'intégrité d'une attestation ou de tout autre type de document, il leur est possible, depuis le site Internet officiel de l'Etat, de le faire sans être titulaires d'un compte en entrant le code identifiant figurant sur le document, ainsi que le code transmis par un autre canal au titulaire de l'attestation. 7 Lorsque l'office en charge de délivrer une prestation met en place une interaction avec l'administré dans le cadre d'un service anonyme, l'administré devra fournir le code identifiant figurant sur le formulaire reçu, ainsi que le code qui lui aura été transmis par un autre canal. 19/11/2018 8Legislation OD à Geneve
  8. 8. Bases légales article par article (7) AeL (B 4 23) RAeL (B 4 23.01) Chapitre VI Dispositions finales et transitoires Art. 18 Dispositions d’application 1 Le Conseil d’Etat édicte les dispositions nécessaires à l’application de la présente loi. Art. 30 Communication des données entre offices (art. 18, al. 1 de la loi) 1 Lorsqu’un service en ligne nécessite la collaboration de plusieurs offices, ceux-ci sont habilités à se communiquer les informations pertinentes pour la délivrance de la prestation lorsqu’une loi le prévoit ou dans la mesure où l’usager a donné son accord, notamment lors de son autorisation d’accès ou par l’envoi de sa requête. 2 Entre offices, l’accès à distance des informations utiles est préféré à la remise de copies à chaque fois que cela est possible. 3 Seul l’office qui est l’auteur des données ou qui est le dépositaire originel des données fournies par les usagers peut les transmettre à d’autres offices ou à des tiers. 4 Lorsqu’un tiers qui veut accéder à des données s’adresse à un office qui y a accès, l’office dépositaire requis transmet sa demande à l’office auteur des données. 5 En cas de recours contre une décision rendue par un office sur la base de données dont un autre office est l’auteur, ce dernier assiste l’office à l’origine de la décision contestée s’il y a lieu de prouver l’exactitude des données transmises. 6 Tout transfert récurrent de données entre offices nécessite l’adoption d’une convention écrite, précisant ses conditions et modalités et stipulant ce qui le justifie aux yeux de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001. Art. 31 Protection de certains utilisateurs (art. 18, al. 1 de la loi) 1 Les services en ligne qui s’adressent spécifiquement à des mineurs, à des personnes en formation ou à des personnes bénéficiant de mesures sociales doivent être fournis par les services informatiques de l’Etat. 2 En cas de nécessité, ils peuvent être fournis par des sous-traitants dont le siège et les serveurs concernés se trouvent en Suisse. 3 De plus, ni le sous-traitant ni sa maison-mère ne doivent être soumis à la loi d’un pays offrant une protection insuffisante au sens de la loi suisse applicable en matière de protection des données personnelles. 19/11/2018 9Legislation OD à Geneve
  9. 9. Bases légales article par article (8) AeL (B 4 23) RAeL (B 4 23.01) Chapitre VI Dispositions finales et transitoires Art. 18 Dispositions d’application 1 Le Conseil d’Etat édicte les dispositions nécessaires à l’application de la présente loi. Art. 28 Gestion de l'information (art. 18, al. 1 de la loi) 1 La direction générale des systèmes d’information met en place un système permettant de recueillir des données techniques d’usage des services en ligne afin d’identifier en cas de nécessité l’auteur d’une action dans le respect du cadre légal et réglementaire. 2 Par ailleurs, les données traitées par les services en ligne doivent utiliser les référentiels de données existants. 3 La gestion de l’accès aux référentiels de données doit être configurée de manière à éviter tout croisement des données sensibles permettant d’élaborer des profils de personnalité. 4 La consolidation des données de plusieurs transactions en ligne n’est possible que si la loi l’autorise pour les prestations correspondantes. 5 L’administration cantonale s’efforce de ne demander qu’une seule fois à l’usager une information donnée pour l'ensemble de ses offices. 19/11/2018 10Legislation OD à Geneve
  10. 10. Bases légales article par article (9) AeL (B 4 23) RAeL (B 4 23.01) Chapitre VI Dispositions finales et transitoires Art. 18 Dispositions d’application (suite) 2 Le règlement d’application précise notamment les points suivants : a) les détails de l’organisation mise en place afin d’assurer la gouvernance et l’harmonisation des services en ligne et de la communication institutionnelle en ligne; Art. 37 Répartition des compétences au sein de l’administration (art. 18, al. 2, let. a de la loi) Les entités de l’administration compétentes sont définies par le règlement sur l’organisation et la gouvernance des systèmes d’information et de communication, du 26 juin 2013. Art. 12 Dates prises en compte et notification (art. 18, al. 2, let. a de la loi) 1 Dans le cadre des échanges entre usager et administration, seules font foi les données collectées par les systèmes d’information et de communication de l’Etat, en particulier en matière d’horodatage des envois de documents ou d’accusés de réception. 2 L’inscription aux transactions en ligne vaut acceptation par l’usager de la notification par voie électronique des décisions y relatives au sens de l’art. 46, al. 2 de la loi sur la procédure administrative, du 12 septembre 1985. 3 La date de notification d'une communication de l’administration à l’usager correspond à la date de sa mise à disposition dans l'espace usager. 4 Tout dépôt d’un document ou toute communication dans l’espace usager sera signalé au titulaire du compte par un message envoyé sur l’adresse de messagerie qu’il aura indiquée. L’envoi de ce message ne vaut toutefois pas notification au sens de l’art. 12, al. 3 du présent règlement. Art. 22 Mise à disposition des services en ligne (art. 18, al. 2, let. a de la loi) 1 De manière générale, l’Etat peut mettre à disposition des usagers de nouveaux services en ligne, modifier des services en ligne existants ou les supprimer. 2 Un catalogue des services en ligne est disponible à l’attention des usagers sur le site Internet officiel de l’Etat. 3 Le catalogue des services en ligne est basé sur le recensement des besoins des usagers. 4 Lors de la mise à disposition d’un nouveau service en ligne, l’Etat communique toute information utile sur son objectif, ses avantages, ses éventuelles restrictions, ainsi que ses modalités d’autorisation d’accès et d’usage. 19/11/2018 11Legislation OD à Geneve
  11. 11. Bases légales - Conclusions  La loi et le règlement établissent les principes gouvernant les données ouvertes de l’Etat , mais ils disent peu de choses sur la manière pratique de les gérer.  Ils ne disent rien non plus sur la pérennité de ces données, ce qui laisse supposer une vision « éditoriale » des données ouvertes, c’est-à-dire que les données ouvertes sont des données « publiées » alors que les données de bases restent dans les bases de données opérationnelles.  La stratégie en dit en peu plus en ce qui concerne les aspects techniques de la mise en œuvre mais ne pale pas non plus de l’archivage de ces données. 19/11/2018 12Legislation OD à Geneve

×