Smart Cities : Quels enjeux pour la protection de nos données personnelles ?

La « smart-city » ou « ville intelligente de demain » est-elle aussi la « ville idéale » sans risques pour la protection de nos données personnelles ? « Moteur » de nos villes, la « donnée » est aujourd’hui partout. Compteurs communicants permettant de déterminer l’heure de notre réveil et de notre coucher, « bâtiments connectés », caméras et feux de circulation « intelligents » pour fluidifier le trafic routier, « lampadaires et éclairage public intelligent » : les objets connectés font partie intégrante de notre quotidien et sont amenés à en faire partie toujours plus dans les années à venir.

Censé faciliter notre quotidien, le recours à ces objets inquiète néanmoins dès lors qu’ils révèlent de plus en plus les habitudes de vie des personnes en récoltant massivement leurs données : données d’identification, données de géolocalisation, données biométriques ou encore démographiques.

Les collectivités sont aujourd’hui de plus en plus nombreuses à se lancer dans des projets « Smart Cities ». Marseille, Lyon, Grenoble, Bordeaux, Angers, Brest, Toulouse, Issy les Moulineaux … La liste déjà très longue continue de s’agrandir. On compte aujourd’hui plus de 25 « Smart Cities » dans l’Hexagone. La mutation numérique est aujourd’hui au cœur des villes qui souhaitent améliorer leur relation avec leurs habitants et qui voient donc dans ce projet la possibilité d’atteindre cet objectif. De plus, alors qu’à ce jour, 1 habitant sur 2 vit dans une ville, en 2050 il est prévu que ce pourcentage s’élève à près de 70%[1]. On comprend donc l’intérêt toujours croissant pour ce concept dit « innovant ».

La Smart City : que signifie-t-elle en pratique ?

Le concept de « Smart City » n’est en réalité pas nouveau mais se retrouve au cœur de l’actualité. L’objectif poursuivi de ce concept est le suivant : « développer des moyens et des solutions pour répondre aux besoins de la population, améliorer la qualité de vie des citadins en rendant la ville plus adaptative et efficace, à l’aide de nouvelles technologies qui s’appuient sur un écosystème d’objets et de services ». Sont ainsi notamment concernés : les infrastructures publiques (bâtiments, mobiliers urbains, domotique, etc.), les réseaux (eau, électricité, gaz, télécoms) ; les transports (transports publics, routes et voitures intelligentes) ainsi que des e-services et e-administrations très attendus. [2]

De multiples enjeux juridiques face à une récolte massive de données personnelles

Face à la multiplication d’objets connectés au sein des Smart Cities, il apparaît que les risques juridiques auxquels sont confrontés ces « nouvelles villes intelligentes » sont étroitement liés aux risques juridiques déjà identifiés dans le cadre de l’Internet des objets. L’anonymisation des données en est un exemple.

L’anonymisation complexe des données

Avec la multitude de capteurs connectés et d’applications mobiles, les données personnelles qui font l’objet d’une collecte sont toujours plus nombreuses. Ces données, qui de plus sont souvent « croisées » ne font toutefois pas toujours l’objet d’une anonymisation mais simplement d’une pseudonymisation. Or, l’identification des personnes reste possible en présence de données pseudonomymisées. Comme le rappelle à juste titre la CNIL, l’anonymisation irréversible consiste à « supprimer tout caractère identifiant à un ensemble de données ». De manière concrète, cela signifie que la ré-identification des personnes est impossible.

Certaines données peuvent quant à elles faire l’objet d’une réutilisation pour des usages ou finalités non souhaités dès lors qu’elles peuvent être agrégées puis revendues à des tiers. A ce titre, il convient d’être vigilent sur deux points notamment : la ré-identification des personnes souvent rendue possible et le respect du principe de minimisation des données.

A noter toutefois : même dans le cas de l’anonymisation, la CNIL rappelle que les procédés doivent être régulièrement revus au vu des évolutions techniques d’anonymisation et de ré-identification.

Le phénomène des Smart Cities qui conduit à la multiplication des « capteurs » doit également faire face à une « multiplication » des acteurs intervenants au sein de ces villes qui peut poser problème.

La nécessité d’établir clairement les rôles et responsabilités

 

La diversité des acteurs dans le cadre des projets de Smart Cities soulève également une autre problématique : la définition des rôles et responsabilités de chacun de ces multiples acteurs au niveau de la conception, réalisation mais également maintenance du projet[3]. En effet, la notion de propriété de la donnée apparaît essentielle au cœur des Smart Cities face à « l’appropriation des données » par des acteurs du secteur « privé » qui n’hésite pas parfois à « solliciter les communes afin d’obtenir des informations complémentaires ».

A ce titre par exemple, la société Waze a développé depuis un certain nombre d’années son programme « Connected Citizens » dédié aux collectivités locales. L’objectif : établir un programme d’échange gratuit de données dites « anonymisées et agrégées » afin d’obtenir des informations en contrepartie de services aux territoires.

Ainsi, la métropole de Lille par exemple, fournit des informations sur le trafic en contrepartie de données municipales sur les travaux de voirie qui leurs sont communiqués à l’avance.

Un autre projet est également en cours dans la métropole Lilloise afin de permettre aux automobilistes qui se trouveraient derrière un camion-benne par exemple d’adapter leur parcours grâce à l’ouverture des données et la géolocalisation en temps-réel des camions-bennes.

Ce partage de données témoigne ainsi de la possibilité d’améliorer « le quotidien » des personnes au sein des villes intelligentes mais il est également révélateur de leur rôle à jouer au sein de ces projets.

Les « smart-citizens » : cibles & acteurs-clés au cœur de la ville intelligente

La sensibilisation nécessaire des citoyens

Les citoyens sont au cœur de la ville intelligente. Pourtant il semblerait qu’ils ne soient pas toujours conscients de l’impact de ce concept sur la protection de leurs données personnelles. Ainsi, selon une étude récente « le développement d’outils numériques pour le service public est identifié comme un risque pour la protection de la vie privée »[4] pour seulement 26% des citadins. Ce chiffre peut surprendre dès lors que la réussite d’un projet de Smart City est généralement conditionnée à la confiance des citoyens qui peuvent éprouver un sentiment important de « méfiance » face aux objets connectés. A cet égard, une conformité aux principes de la protection des données personnelles peut contribuer à renforcer ce sentiment de confiance.

La mise en œuvre difficile du principe d’information des personnes et l’obtention complexe du consentement

La question qui se pose ici est la suivante : comment informer « intelligemment » les citoyens en se conformant aux principes de la protection des données personnelles ? En effet, l’information des personnes concernées est l’un des principes clés qui s’impose dès lors qu’il y a traitement de données personnelles. A ce titre, sur l’information des personnes, il est intéressant de souligner que le Conseil d’Etat s’est récemment prononcé sur cette question concernant l’affaire JC Decaux. La société s’était vu refuser l’autorisation d’un traitement de données personnelles en raison de « l’insuffisante information des personnes concernées ». En effet, les passants n’avaient pas été informés de l’ensemble des informations exigées par l’article 32 de la Loi Informatique et Libertés. C’est pourquoi, le Conseil d’Etat a confirmé la position de la CNIL qui avait considéré que le traitement envisagé n’était pas loyal au regard de l’article 6 de la loi de 1978.

Le principe posé dans cet arrêt est le suivant : « les données ne sont pas anonymes lorsqu’il demeure possible d’individualiser une personne en recoupant les données collectées avec d’autres données ou lorsque le responsable de traitement peut remonter le process de chiffrement ».

A noter toutefois, une délibération plus récente du 9 mai 2017 a autorisé la société Retency à mettre en œuvre à titre expérimental un traitement automatisé de données à caractère personnel ayant pour finalité la mesure d’audience et de fréquentation de dispositifs publicitaires au sein de la gare SNCF de Dijon.

Quid du consentement ?

D’un point de vue pratique et juridique, l’invocation du « consentement », comme base légale de ce type de traitement de données à caractère personnel au sein des Smart Cities est difficile à envisager.

Face à l’augmentation du nombre d’objets connectés et d’applications mobiles développées à la fois par des acteurs privés et public avec lesquels les individus interagissent de plus en plus, le recours à une autre base juridique peut sembler plus pertinent.

Selon une étude récente consacrée aux Smart Cities, « lire et comprendre les conditions générales d’utilisation de chacun des services serait compliqué et chronophage et ce, même pour les plus proactifs »[5]. Par ailleurs, le renforcement des conditions applicables au consentement avec l’entrée en vigueur du GDPR rendra encore plus difficile l’usage de cette base légale.

Deux points retiennent ici notre attention :

La difficulté d’obtention du consentement

Cette difficulté s’explique en partie par la mise en place de ces projets au sein de grands espaces publics, comme l’illustre le cas JC Decaux cité précédemment. Elle s’accentue avec l’entrée en vigueur du GDPR qui impose la nécessité d’une action de la part des personnes concernées ainsi que la possibilité de retirer leur consentement à tout moment. En effet, l’article 4 du GDPR définit le consentement comme une manifestation de volonté, libre, spécifique, éclairée et univoque qui peut se faire par une déclaration ou par un acte positif clair.Par ailleurs, une autre « subtilité » a pu être soulignée par la doctrine concernant le considérant 32 qui prévoit que le consentement pourrait être également obtenu « au moyen d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel »[6]. Cela implique de s’interroger sur le type de comportement visé par cette disposition. « Peut-il s’agir d’un comportement négligent en matière de paramétrage d’un objet connecté ? »[7].
Enfin, cette difficulté s’illustre également au regard de l’exigence de précision imposée par le GDPR relative aux finalités énoncées. En effet, aux termes du considérant numéro 32 : « Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles ». Or, il n’est pas toujours aisé de pouvoir identifier toutes les finalités lors de la collecte de données.

Quid pour les finalités ultérieures du traitement ?

Il est aussi à noter qu’aux termes de l’article 6 §4 du GDPR, le traitement pour une finalité différente de celle énoncée initialement sera possible à condition que le responsable du traitement s’assure que la nouvelle finalité soit « compatible » avec la finalité initiale.

Le GDPR : un cadre juridique approprié à l’encadrement des Smart Cities ?

Dès leur « avènement », les Smart Cities ont rapidement soulevé de nombreuses inquiétudes juridiques. C’est pourquoi dès 2009, un groupe de travail a été mis en place par la Commission Européenne en vue d’élaborer des recommandations afin d’assurer la confidentialité et la sécurité des données collectées dans le cadre de « Smart Grids » (réseaux électriques intelligents). Par ailleurs, en mars 2012 la Commission européenne a émis une recommandation exigeant pour l’ensemble des entreprises et d’organismes mettant en place des compteurs communicants de réaliser des Etudes d’impact sur la Vie Privée. C’est toutefois avec l’entrée en vigueur du GDPR que l’on peut s’attendre à davantage de changement et que les Smart Cities vont faire l’objet d’un cadre juridique plus contraignant pour leurs acteurs, et ce au profit de la protection des données personnelles des citoyens.

Privacy by Design et by defaut : des principes particulièrement adaptés aux Smart Cities

Le GDPR prévoit un certain nombre d’obligations qui semblent particulièrement adaptées aux enjeux juridiques auxquels les Smart Cities sont confrontées. Parmi ces obligations, les principes de « Privacy by Design » et de « Privacy by Default » semblent pertinents. En effet, consacré par l’article 25 du GDPR, le « privacy by design » consiste « dans la mise en place de mesures de sécurité en amont de la création de son produit, de son service et de la réalisation de ses traitements ». A ce titre, les sous-traitants seront également tenus aux mêmes obligations que le responsable du traitement. A cet égard, les objets connectés devront également respecter un certain nombre d’autres obligations tels que la sécurisation des données (article 32 du GDPR) et la limitation de leur durée de conservation (article 5 GDPR).

Le Data Protection Officer : un chef d’orchestre opportun au sein de la ville intelligente

Aux termes de l’article 29 du GDPR, « Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque (…) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ». Chef d’orchestre de la conformité, ses missions seront entre autres d’informer et de conseiller le responsable de traitement et de sensibiliser les citoyens. Il pourra également donner son avis sur la nécessité d’effectuer une analyse d’impact sur la protection des données.

La nomination d’un DPO au- delà de son caractère obligatoire peut également permettre de renforcer la confiance des « smart-citizens », élément essentiel de réussite du projet. A noter également pour les plus petites collectivités : celles-ci auront la possibilité de mutualiser leur DPO et de l’externaliser.

De la SMART CITY à la SAFE CITY : vers une augmentation potentielle des risques d’atteintes à la « privacy »

Dans le cadre des Smart Cities, la collecte de données peut avoir différentes finalités qu’il convient d’identifier. Ainsi, certaines données seront collectées à des fins de « service », tandis que d’autres le seront à des fins de « surveillance ».

Toutefois, il peut y avoir également collecte de données « non personnelles » à des fins de service ou de surveillance. Il convient néanmoins d’être attentif dès lors qu’en cas de croisement de données, elles pourront être qualifiées de personnelles en permettant l’identification indirect d’un individu.

La « Smart-city » est ainsi amenée à devenir progressivement une « Safe City » notamment avec le développement controversé de « modèles prédictifs », mais à quel prix pour la protection de nos données ? L’un des objectifs poursuivis par la Smart City peut être d’augmenter le niveau de sécurité et de protection des communes afin de devenir des Safe Cities. Celles-ci peuvent toutefois être vulnérables et sont également la cible de « cyber attaques ». Face à ces risques, les collectivités auront l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données permettra aux collectivités de démontrer les mesures prises et leur efficacité. Il s’agit ici du principe « d’accountability » prévu par l’article 24 du GDPR.

En conclusion, la protection des données personnelles au sein des Smart Cities apparaît comme un défi considérable qui peut sembler effrayant mais pas impossible à relever. La ville de Paris a d’ailleurs fait le choix récemment de mettre la Smart City au centre de son projet de candidature aux Jeux Olympiques 2024 en vue par exemple d’assurer une gestion plus efficace des foules[8]. Il reste donc quelques années à la Ville Eternelle pour se conformer à ces nouveaux principes juridiques dans le but de faire de sa smart city un réel succès.

Malgré les « contraintes juridiques », la Smart City peut en effet être une belle opportunité. S’assurer de la conformité au GDPR sera aussi l’opportunité d’accroître la confiance des citoyens.

DPO Consulting s’intéresse de près à ce sujet et pourra répondre à vos questions au salon « Smart Grid Smart Cities » le 4 et 5 octobre prochain.


[1] BELOT Luc, rapport : « De la smart city au territoire d’intelligence(s) L’avenir de la smart city », avril 2017
[2] Définition donnée par la CNIL
[3] PLOUVIET Nathalie, QUEMENER Myriam, Les enjeux juridiques et la justice dans la smart city, juillet 2017, cycles d’ateliers Smart Cities
[4] « De la ville au territoire intelligent : la donnée au cœur de la transformation des Smart Cities », EY, 2017
[5] ROB Kitchen(2016) Getting smarter about smart cities : Improving data privacy and data security, Data Protection Unit, Department of the Taioseach, Dublin
[6] MOURON Philippe, Données personnelles : Les risques liés aux Smart Cities, Expertises, Mars 2017
[7] MOURON Philippe, Données personnelles : Les risques liés aux Smart Cities, Expertises, Mars 2017
[8] EL HASSANI Jamal, « Comment Paris va profiter des JO 2024 pour devenir une smart city>, 13/09/2017, < http://www.journaldunet.com/economie/services/1197182-paris-2024-jeux-olympiques-smart-city/ ;

Retour