PUBLICATION EN OPEN DATA DU PLAN DE CORPS DE RUE SIMPLIFIÉ IMAGE
Mme la présidente . La parole est à M. Jean-Michel Brard, pour exposer sa question, n° 325, relative à la publication en open data du plan de corps de rue simplifié image.
M. Jean-Michel Brard . En leur qualité d'autorités publiques locales, et en partenariat avec l'association des maires et présidents d'intercommunalité de Loire-Atlantique, affiliée à l'Association des maires de France, le syndicat d'énergie Territoire d'énergie Loire-Atlantique – le TE44 –, et le syndicat des eaux Atlantic'eau réalisent le plan de corps de rue simplifié (PCRS) image en Loire-Atlantique. Ce PCRS image, constitué de photographies aériennes de très haute résolution, offre un niveau de détail supérieur aux images disponibles sur internet.
Ce degré de précision permet de distinguer très nettement les éléments sensibles, par exemple des raffineries, des postes de transformation électrique, des industries stratégiques, des chantiers, des stations de traitement des eaux et d'autres infrastructures critiques. L'objectif du PCRS image, qui s'inscrit dans le cadre de la réforme anti-endommagement, est de réduire les dommages faits aux réseaux et leurs conséquences humaines.
La publication de ces données en open data suscite des inquiétudes justifiées. Cette décision semble en effet contraire aux dispositions de la directive européenne NIS 2, relative à la protection et à la résilience des services essentiels et des activités sensibles, qui a renforcé les exigences en matière de sécurité des réseaux et des systèmes d'information. Ces exigences s'imposent particulièrement aux entités qui fournissent des services essentiels comme l'énergie, l'eau ou les transports et qui exercent des activités critiques. La directive NIS 2 insiste sur la nécessité de protéger les informations sensibles dont la diffusion pourrait exposer ces infrastructures sensibles à des risques accrus de cyberattaque, de sabotage ou d'acte de malveillance.
Or la mise à disposition en données ouvertes du PCRS image, sans restrictions ni contrôle d'accès, pourrait compromettre la sécurité de ces infrastructures, en fournissant à des acteurs malveillants des informations détaillées sur leur localisation, leur configuration et leurs vulnérabilités potentielles. Dans un contexte géopolitique particulièrement tendu, la publication du PCRS image expose les infrastructures et les réseaux sensibles à des risques réels en matière de sécurité physique. Cela va à l'encontre de la directive NIS 2, relative aux menaces physiques et numériques.
Enfin, cette publication soulève des questions juridiques. Elle amène à s'interroger sur sa conformité avec le règlement général sur la protection des données, le RGPD, notamment compte tenu du c) du 1er point de l'article 5, qui porte sur le principe de minimisation des données, et de l'article 32, qui insiste sur la nécessité de garantir un niveau de sécurité approprié.
Envisagez-vous de reconsidérer la publication en données ouvertes du PCRS image ? Pensez-vous mettre en place des mesures de protection adaptées, conciliant transparence administrative et protection des infrastructures essentielles ?
Mme la présidente . La parole est à Mme la ministre déléguée chargée du commerce, de l'artisanat, des petites et moyennes entreprises et de l'économie sociale et solidaire.
Mme Véronique Louwagie, ministre déléguée chargée du commerce, de l'artisanat, des petites et moyennes entreprises et de l'économie sociale et solidaire . Je vous prie de bien vouloir excuser l'absence de ma collègue Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique.
Vous m'interrogez sur la compatibilité de la publication en données ouvertes du plan de corps de rue simplifié, le PCRS, avec les obligations européennes en matière de sécurité.
Je tiens tout d'abord à rappeler que la publication du PCRS a pour objectif de protéger les personnes et les biens d'accidents causés par la destruction accidentelle de réseaux enterrés. Je rappelle également, s'il le fallait, que le gouvernement partage évidemment votre préoccupation : il faut préserver les informations relatives aux installations sensibles sur notre territoire.
Les directives européennes relatives à la résilience des entités critiques et à la cybersécurité, REC et NIS 2, sont en cours de transposition ; le projet de loi en question sera examiné prochainement dans cette assemblée. Cette transposition permettra de consolider encore davantage le cadre national afin de protéger nos infrastructures critiques et nos systèmes d'information.
La direction interministérielle du numérique, qui est administratrice générale des données, a rendu début 2023 un avis. Elle conclut que la diffusion du PCRS en open data ne porte pas atteinte aux intérêts ou secrets protégés par le code des relations entre le public et l'administration – j'espère que cette précision contribuera à lever vos inquiétudes. C'est le cas du secret de la défense nationale, de la sûreté de l'État, de la sécurité publique et des personnes, ou encore de celle des systèmes d'information des administrations.
À l'évidence, les sites classés zones interdites à la captation des données ne sont pas couverts par le plan de corps de rue simplifié.
Je vous confirme donc que toutes les mesures de protection sont prises, et que les enjeux de sécurité sont pleinement identifiés et pris en compte dans le déploiement du PCRS. Vous pouvez compter sur le gouvernement pour veiller à la sécurité des installations sensibles sur l'ensemble du territoire : c'est une question essentielle.