Accès aux données via des services nécessitant une authentification
Question de Benjamin Chartier (Neogeo) :
Imaginons que nous publions des données tombant dans le périmètre d’INSPIRE via des services web de consultation et de téléchargement.
Imaginons qu’aucun contrainte d’accès ne soit applicable à ces données d’un point de vue réglementaire.
Imaginons que nous souhaitions conserver une trace de tous les accès aux données via ces services.
Aurions-nous le droit de conditionner l’accès à ces services de consultation et téléchargement à une authentification de l’utilisateur qui se connecte aux services ? Le compte serait accordé à tout demandeur sans possibilité de lui refuser. Il serait mis en place uniquement pour une question de traçabilité.
Serions-nous dans les clous d’INSPIRE et des autres règlements liés à l’accès aux données publiques ?
L’accès aux services INSPIRE par identifiant/mot de passe serait un obstacle pratique au point d’utilisation, c’est-à-dire à tous les agents publics ayant à les utiliser. Cela serait donc contraire à l’article L128-II du code de l’environnement :
« II. ― Toute restriction susceptible de créer des obstacles pratiques, au point d’utilisation, à l’accès et au partage de ces séries et services de données géographiques entre autorités publiques est
prohibée. »
Notez que cela vise indifféremment les services de téléchargement simple ou direct comme les services de consultation.
L’IGN a pu mettre en place ses clés notamment car leur mise en place est invisible pour l’agent d’une structure ayant droit.
Sur le plan pratique, l’accès par authentification signifierait assez vite en pratique l’abandon d’une infrastructure permettant les échanges entre machines sans accord préalable et signifierait un considérable retour en arrière.
Sur le plan des principes, l’accès aux données sous licence ouverte par l’internet est le tout premier échelon de l’échelle « 5 étoiles » de Tim Berner-Lee. Comment une plateforme régionale, alimentant un portail open data régional, pourrait-elle l’empêcher? Comme c’est impossible, on aurait alors immédiatement de gens qui redistribueraient les données ouvertes à la place des plateformes régionales pour en tirer le bénéfice.
Il y a d’autres pistes à explorer : statistiques des requêtes sur les serveurs, suivi des adresses IP… GéoBretagne a ainsi partagé lors de son AG de l’année dernière une carte des consommations de ses services en France. Le partage des méthodes serait déjà un premier pas, non?
Tags: accéder, authentification, juridique, services