Open data, risques et crises

Grâce à Internet, nous disposons désormais d'une infrastructure d'information extrêmement performante pour gérer les crises de manière collective. C'est tout l'enjeu de l'open data : assurer que les données essentielles soient disponibles et rapidement accessibles par tous via Internet. Fini le temps du secret par défaut dans la gestion des risques, les organisations doivent désormais savoir distinguer les données qui doivent être publiées de celles à protéger. C'est aussi une question d'outils et de nouvelles méthodes de collaboration à mettre en œuvre.

Le 12 janvier 2010, un tremblement de terre d'une magnitude de 7,0 dévastait Haïti. Les dégâts furent considérables avec une grande partie des bâtiments de la capitale Port-au-Prince détruits, 280 000 morts et plus de 1 million de sans-abris. Les victimes incluaient du personnel clé des institutions internationales et du gouvernement, ceux dont le rôle aurait été de gérer cette catastrophe. Au-delà du bilan humain, des informations critiques pour la gestion de crise et la reconstruction du pays se sont retrouvées sous les décombres du palais présidentiel, du Centre national de l'information géo-spatiale (CNIGS) et d'autres bâtiments institutionnels. Ces données, sauvegardées dans des ordinateurs ou des documents papier, incluaient notamment la localisation des établissements de santé et le réseau routier de la ville de Port-au-Prince.

Face à cette situation, plusieurs entreprises de satellite ont pris la décision de publier des images à haute résolution des dégâts, en libre accès sur le web. Digital Globe, SPOT et GeoEye ont ainsi mis gratuitement à disposition leurs images satellites dans un format numérique et une licence qui permettaient leur réutilisation par tous. Cette diffusion de données aériennes a déclenché et rendu possible un effort international de cartographie du pays. En moins de 3 semaines, plus de 600 bénévoles de la communauté OpenStreetMap ont utilisé ces images pour tracer les routes et les bâtiments de Port-au-Prince. Ce qui d'ordinaire représente un travail de cartographie d'une année a été réalisé en 20 jours et pour un coût quasi nul.

Ce résultat spectaculaire devrait interpeller toute personne dont le rôle est de gérer l'accès et le partage de l'information dans la gestion des risques. Traditionnellement, l'information est en effet considérée comme un actif stratégique qui, du point de vue de l'organisation, doit être collectée, protégée, et diffusée à des acteurs identifiées. C'est dans cette vision « attaque défense » que se développent notamment les disciplines de la cybersécurité ou de l'intelligence économique et stratégique. L'application des principes de l'open data permet d'aborder le rôle de l'information dans la gestion de risque d'un autre point de vue, celui de la collaboration et de la mutualisation des ressources et des moyens.

Par définition, une situation de crise est un événement incertain face auquel une multitude d'acteurs différents ont à prendre des décisions pour s'y préparer, y répondre, et si possible l'atténuer. Or, grâce à Internet, nous disposons désormais d'une infrastructure d'information extrêmement performante pour gérer les crises de manière collective. Encore faut-il que l'information soit disponible sur le réseau, et non pas rangée dans un placard.

C'est tout l'enjeu de l'open data : assurer que les données essentielles à la gestion de crise soient disponibles et rapidement accessibles par tous via Internet. Cela suppose de supprimer ou réduire les barrières techniques, juridiques ou économiques qui entravent l'accès et l'utilisation de l'information. Un jeu de données est ainsi considéré ouvert s'il est disponible en téléchargement sur le web dans un format numérique standard, et dans une licence qui autorise son accès et sa réutilisation gratuitement et sans condition.

De nombreuses initiatives de données ouvertes existent. En France data.gouv.fr est le portail de données de l'État qui héberge et référence l'ensemble des données ouvertes sur le territoire. On y trouve des données essentielles comme le plan cadastral, le registre des entreprises ou les statistiques sur la population. Dans le domaine des risques de catastrophes naturelles, le portail oasishub.co référence des données sur les différents aléas. La plateforme data.humdata.org des Nations Unies est quant à elle utilisée par les organisations internationales pour collecter et partager des données lors de crises humanitaires.

Par principe, l'open data ne concerne que les données d'intérêt général, à caractère public, qui ne peuvent porter préjudice aux individus, aux entreprises ou aux États qui les mettent à disposition. Dans les faits, l'appréciation de la distinction entre données publiques – que l'on peut partager – et données privées – que l'on protège – varie cependant en fonction des intérêts de l'organisation ou de la personne qui en a la charge. C'est la raison pour laquelle le législateur est de plus en plus souvent appelé à trancher sur ce qui constitue une donnée publique, comme ce fut le cas avec les données de référence en France, ou bien plus récemment avec les données à haute valeur ajoutée au niveau de l'Union Européenne. Mais la loi ne saurait considérer l'ensemble des menaces et opportunités associées à telle ou telle information.

Il revient donc également à chaque organisation de se poser ces questions : quelles sont les données essentielles pour mon territoire, mon entreprise, dont la diffusion et la gestion en open data permettrait de réduire le risque ? À l'inverse, quelles sont les données dont l'indisponibilité le jour J accentuerait l'impact d'une crise? Ou encore : quelles sont les données à protéger et dont la mise à disposition en open data constituerait une menace ? Ces questions doivent aussi être considérées dans un contexte où le public peut accéder à de plus en plus d'information sur le web. On peut ainsi noter que plusieurs pays refusent encore de publier les cartes de leur territoire en open data quand bien même n'importe quel internaute peut accéder aux images satellites via une application comme Google Earth.

La problématique pour le gestionnaire de risque est donc d'abord de bien connaître l'ensemble des données gérées par son organisation, leurs différents attributs, leur niveau de détail, leur mode de production, et de la même façon d'identifier les données produites et mises à disposition par d'autres acteurs et d'évaluer celles qui sont critiques pour la gestion de risque.

Prenons l'exemple d'un établissement qui reçoit du public tel qu'un grand magasin, une gare ou une salle de concert. Est-ce que les données sur les plans intérieurs du bâtiment devraient être accessibles en open data ? Le réflexe serait de répondre non et d'argumenter que ces données, une fois ouvertes, pourraient être utilisées à des fins terroristes ou toute autre utilisation malveillante. Pourtant, les bâtiments qui reçoivent du public ont déjà tous pour obligation d'afficher un plan d'évacuation aux différents étages de leur enceinte. De plus, n'importe qui peut avec son mobile entrer et cartographier cet espace public. À l'inverse, la non disponibilité d'un plan du bâtiment pourrait entraver l'intervention des secours, ou des forces de sécurité. Lors des attentats du Bataclan, les terroristes avaient la carte du bâtiment dans leur téléphone portable, mais pas les spectateurs, ni même les premières forces d'intervention.

Enfin, l'open data ne doit pas seulement être considérée comme une question d'information à ouvrir ou à fermer, mais également en termes d'outils et de mode d'organisation. La gestion d'une crise est un processus complexe qui suppose une coordination forte d'un ensemble d'acteurs hétérogènes qui ne se connaissent pas nécessairement. Ainsi, la réponse de la communauté OpenStreetMap au tremblement de terre d'Haïti ne fut possible que parce qu'une infrastructure technologique appropriée, tirant bénéfice des principes de l'open data et donc utilisable par tous, avait été développée et mise à disposition quelques années auparavant. C'est la principale leçon de la gestion de la crise d'Haïti d'un point de vue informationnel : en tant qu'organisation, quelles sont les données ouvertes, outils et plateformes que je dois connaître, utiliser, partager, voire enrichir et améliorer, afin de mieux me préparer à la prochaine catastrophe ?

Suivant ce principe, l'initiative "Open Data pour la résilience" (OpenDRI) du GFDRR aide les pays à mieux collecter, partager et utiliser les données essentielles pour la gestion des risques de catastrophes naturelles. Elle appuie par exemple le développement d'outils open source qui utilisent les données ouvertes pour modéliser les scénarios de catastrophes naturelles et leur impact, ou pour mieux communiquer les risques aux populations. L'initiative OpenDRI aide également les États à mieux identifier et publier les données pour la gestion des risques. Ainsi, le site index.opendri.org permet de renseigner pour chaque pays si les données essentielles à la gestion des catastrophes sont disponibles en open data, en accès restreint ou inaccessibles. Ces données concernent les différents risques naturels (tremblement de terre, tempête, inondation, etc.) identifiés et mesurés sur un territoire, mais également les données sur les populations et infrastructures exposées.

En conclusion, voici quelques recommandations afin de mettre en pratique les principes de l'open data dans la gestion des risques :

1. Évaluer votre processus actuel de gestion des risques et caractériser les principaux problèmes ou enjeux pour chaque étape de la gestion de risque (détection, prévention, réduction, préparation, réponse, reconstruction, etc.) ainsi que les solutions associées (outils, méthodes, analyses, données, etc.);
2. Identifier et définir les données essentielles nécessaires pour chaque étape. Ces données devraient à minima inclure des données de base, comme les données géographiques, des données permettant de caractériser les aléas et de mesurer les risques, des données sur les populations et infrastructures exposées, ainsi que des données opérationnelles, notamment en ce qui concerne la réponse à la crise (liste des acteurs, localisation des infrastructures d'urgence, etc.) ;
3. Réaliser un inventaire des données ouvertes, ou en accès restreint, collectées par des acteurs externes et répondant aux critères de données essentielles définies dans l'étape 1 ;
4. Réaliser un inventaire des données collectées ou gérées par votre organisation ; évaluer en termes de menaces et opportunités si ces données peuvent faire l'objet d'une diffusion à un groupe restreint ou en open data ; enfin identifier les données dont le traitement est juridiquement contraint (données personnelles qui entre dans le cadre du RGPD, données sensibles ou stratégiques à protéger, données publiques ou d'intérêt général à diffuser, etc.) ;
5. Suite à ces différentes étapes, vous devriez être en mesure de décider plus facilement quelles données collecter, partager, ou utiliser dans le cadre des solutions déterminées afin d'améliorer votre gestion des risques.

Quelques références pour aller plus loin :

• Open Definition
• Open Data Handbook
• Open Knowledge France
• The Data Spectrum, Open Data Institute
• Plateforme ouverte des données publiques françaises
• Global Facility for Disaster Reduction and Recovery
• Open Data for Resilience
• Open Data for Resilience Initiative Field Guide
• Open Data for Resilience Index
• ThinkHazard!

Citer cet article : CHRZANOWSKI P., « Open data, risques et crises », LIREC (n°59 « Les risques et l'environnement numérique »), INHESJ, 2019.

Crédit photo : Markus Spiske - unsplash.com