Cadre réglementaire et institutionnel des systèmes d'information

Modifié par Julien Lenoir le 18 octobre 2019

Par Thomas Eveilleau
Dernière mise à jour : octobre 2019

Dans cette fiche les éléments suivants du programme réglementaire seront abordés :

  • Cadre réglementaire et institutionnel :
    • Connaissance des principaux textes réglementaires et normatifs relatifs à l'option : droits du citoyen (CNIL), droit d'auteur, propriété intellectuelle, directives européennes, lois et décrets appliqués aux champs de l'informatique et systèmes d'information ;
    • Connaissance des acteurs institutionnels ;
    • Notions de marchés publics.

1. Les droits du citoyen : CNIL et RGPD

La Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur des données personnelles : elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Cette autorité administrative française indépendante a été créée en 1978 et exerce ses missions dans le cadre de la loi 78-17, plus connue sous le nom de « Loi Informatique et Libertés » (LIL).

Cette LIL a été modifiée en 1991 (réorganisation des fichiers des Renseignements Généraux), en 2004 (transposition d’une directive européenne) et plus récemment, en 2018, pour qu’elle soit mise en conformité avec le cadre juridique européen précisé par le Règlement Général pour la Protection des Données Personnelles (RGPD).

Le RGPD marque une étape très importante dans la protection des données personnelles. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il renforce les grands principes de la LIL. Le RGPD est entré en application le 25 mai 2018.

Toutes les organisations amenées à effectuer des traitements sur des données personnelles de citoyens européens sont concernées, incluant les collectivités territoriales.

Un petit peu de vocabulaire pour comprendre la suite :

  • L’organisation qui collecte et traite les données personnelles est « responsable du traitement »
  • Une donnée à caractère personnel désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Exemples : nom de famille, numéro de téléphone, adresse IP, photo, etc.
  • Un traitement : toute opération, quel que soit le procédé utilisé et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, l’extraction, la consultation, l’utilisation, la communication, la diffusion, le rapprochement, le verrouillage, l’effacement ou la destruction. Exemples : un formulaire, un nouveau logiciel de gestion, un tableur, etc.

D’après la LIL et le RGPD, cinq grands principes concernant les traitements doivent être respectés :

  • Le principe de finalité : les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime.
  • Le principe de proportionnalité et de pertinence des données : seules doivent être traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis.
  • Le principe d’une durée de conservation des données limitée : les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation précise doit être déterminée en fonction de la finalité de chaque fichier.
  • Le principe de sécurité et de confidentialité des données : le responsable de traitement est astreint à une obligation de sécurité : il doit prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation à des tiers non autorisés et éviter la perte d’intégrité des données.
  • Le principe du respect des droits des personnes : information des personnes, droits d’accès et de rectification, droit d’opposition.

Par ailleurs, si la CNIL permettait la nomination d’un Correspondant Informatique et Libertés pour faciliter certaines démarches, le RGPD impose la nomination d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO).

Il est à noter qu’il n’est pas recommandé que le DPD/DPO soit directement rattaché à la DSI.

En cas de non-respect, la CNIL contrôle et peut sanctionner. Ainsi, depuis l’entrée en vigueur du RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’Euros ou 4% du chiffre d’affaire mondial. Les sanctions sont bien entendu proportionnelles aux infractions et ne sont pas uniquement pécuniaires : rappels à l’ordre, suspension d’un traitement, etc.

2. La propriété intellectuelle

La propriété intellectuelle est une branche du droit qui regroupe les règles applicables aux créations dites « intellectuelles » ou « immatérielles ». Le code de la propriété intellectuelle distingue, d’une part, la propriété intellectuelle et artistique et, d’autre part, la propriété industrielle.

Dans le monde des systèmes d’information, ces deux types de propriétés intellectuelles sont rencontrés et évoqués ; il est donc important d’en connaitre l’existence et de savoir à quoi ils font référence.

La propriété intellectuelle et artistique englobe principalement le droit d’auteur, qui régit des règles en lien avec l’utilisation d’images, de photographies, de musiques ou encore de vidéos. Sont notamment concernés l’utilisation de telles œuvres dans des outils de communication (site internet, vidéos produites en interne, plaquettes, etc.) et leur stockage et diffusion via le système d’information (films échangés sur les serveurs de fichiers d’une collectivité par exemple).

Le droit d’auteur traite également les questions de licences associées aux logiciels informatiques. Il est ainsi important de distinguer les logiciels dits « propriétaires » et les logiciels dits « libres ».

Un logiciel propriétaire est un logiciel qui ne permet pas d’exercer les 4 libertés logicielles que sont : l’exécution du logiciel pour tout type d’utilisation, l’étude de son code source, la distribution de copies, la modification de son code source. Cela ne signifie pas qu’un logiciel propriétaire est nécessairement payant, mais on parlera alors de « gratuiciel » (freeware) ou de partagiciel (shareware). Quelques logiciels propriétaires : Microsoft Windows, SAP, Adobe Photoshop, etc.

Un logiciel libre, par opposition, le permet. Toutefois, un grand nombre de licences existent, avec des variantes dans la façon dont les libertés peuvent être exercées. On peut notamment citer les licences de type GPL pour Général Public License ou License Publique Générale (utilisées notamment par Linux, LibreOffice, Firefox, VLC, etc.) ou les licences de type BSD pour Berkeley Software Distribution. Attention, un logiciel libre n’est pas nécessairement gratuit : si le code source est mis à disposition, la mise à disposition d’une version « clef en main » peut-être payante.

La propriété industrielle se subdivise en droit des marques et droit des brevets.

3. Directives européennes, lois et décrets appliqués aux champs de l’informatique et des systèmes d’information

Voici quelques directives, lois et décrets qui structurent le « paysage » des systèmes d’information dans notre pays et notamment dans les collectivités territoriales.

  • 1978 : loi informatique et libertés (LIL) et création de la CNIL
  • 1996 : ouverture totale à la concurrence sur le marché des télécoms
  • 2004 : modification de la LIL : application directive européenne sur la protection des données
  • 2004 : loi pour la confiance dans l’économie numérique (LCEN)
  • 2006 : loi sur la conservation des données par les Fournisseurs d’Accès Internet (FAI)
  • 2006 : DAVDSI : transposition directive européenne sur le droit d'auteur
  • 2007 : directive INSPIRE : facilitation de l'échange de données géographiques (SIG)
  • 2009 : HADOPI
  • 2008 2012 : plan France Numérique 2012
  • 2016 : loi pour une république numérique
  • 2018 : mise en application du RGPD

4. Les acteurs institutionnels

Un certain nombre d’acteurs institutionnels façonnent le « paysage » des systèmes d’information.

D’une manière générale, les différentes fonctions publiques, établissements publics et collectivités interagissent : l’Etat, les Régions, les Départements, les Communes, les EPCI (métropoles, syndicats etc.), les EPA (CNFPT, CDG, etc.) sont amenés à mettre en place ou travailler sur et avec des outils communs.

Plus spécifiquement, sur le numérique, peuvent être citées:

  • La Direction Interministérielle du Numérique et du Système d’Information et de Communication de l’Etat (DINSIC) : placée sous l’autorité du premier ministre, elle coordonne les actions des administrations en matière de systèmes d’informations.
  • La Direction Interministérielle de la Transformation Publique (DITP) : elle accompagne les ministères et les administrations dans la conduite de la transformation publique de l’Etat. La transformation numérique est l’un des chantiers porté.
  • L’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) : cette agence assure la mission d'autorité nationale en matière de sécurité des systèmes d'information. À ce titre, elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l'État et de vérifier l'application des mesures adoptées.
  • L’Autorité de Régulation des Communications Electroniques et des Postes (ARCEP) : cette autorité administrative indépendante est chargée de réguler les communications électroniques et les postes.
  • La CNIL.

5. Les marchés publics

Dans les collectivités territoriales, l’acquisition de matériel informatique, de logiciels et de prestations (d’accompagnement, de développement, de formation) doit se faire dans le respect des règles de la commande publique. Il est donc important d’en connaitre le fonctionnement et d’être en capacité de l’intégrer aux problématiques des systèmes d’information.

Les fondamentaux de la commande publique, les seuils et les procédures associées doivent être connus.

Il est à noter que dans le monde des SI, on se trouve très souvent dans le cadre de marchés de fournitures et de services.

Sans que cela soit vrai pour toutes les collectivités, il est fréquent qu’une DSI gère, a minima :

  • Un marché pour la fourniture des postes informatiques
  • Un marché pour la fourniture et la gestion des équipements d’impression
  • Des marchés pour l’acquisition et la maintenance des différents logiciels mis à disposition des agents

Les DSI peuvent également passer par des centrales d’achats ou des groupements de commandes, notamment pour gagner en efficacité. La passation des marchés publics est alors déléguée.

On peut citer ici :

  • L’Union des Groupements d’Achats Publics (UGAP) : une centrale d’achat publique ;
  • Des syndicats tels que le Syndicat intercommunal de la périphérie de Paris pour les énergies et les réseaux de communication (SIPPEREC) en Ilede-France qui réalisent des groupements de commandes pour leurs collectivités adhérentes.

6. Ressources en ligne

Tags :
    
© 2023 CNFPT