Le 25 mai sonne comme une date fatidique en vue de la protection des données personnes. En effet, la mise en œuvre du RGPD (Règlement général de protection des données) doit être effective à compter d’aujourd’hui.
Posons-nous les bonnes questions sur les enjeux, les bonnes pratiques et la mise en œuvre du RGPD dans les projets Smart-City.
Pas de villes intelligentes sans données
La révolution numérique est en train de profondément remodeler notre manière de vivre ensemble sur la planète. Avec plus de la moitié de la planète vivant en espace urbain, la ville n’y échappe pas. Au contraire, elle est l’épicentre de ces changements.
La Smart-City en est la manifestation la plus évidente. Le concept de Smart City désigne ici une ville qui vise à améliorer la qualité de vie des citadins en la rendant plus adaptée grâce aux nouvelles technologies. Ceci en s’appuyant sur un écosystème d’objets, de services et d’utilisation de la donnée toujours plus innovants.
La Smart City est ainsi utile à l’ensemble des systèmes urbains : infrastructures publiques (bâtiments, mobiliers urbains, domotique, etc.), réseaux (eau, électricité, gaz, télécoms) ; transports (transports publics, routes et voitures intelligentes, covoiturage, mobilités dites douces – à vélo, à pied, etc.) ; les e-services et e-administrations.
Si aujourd’hui la France compte 25 Smart City, la grande majorité des villes qui ne sont pas encore considérées comme « Smart » sont en train de développer des stratégies dîtes de « Ville intelligente ».
« 52% des citoyens ont changé leur comportement de façon à mieux protéger leur vie privée »
Dans ce cadre-là, la protection de ces données correspond à un enjeu de société grandissant, d’autant plus que 52% des citoyens ont changé leur comportement de façon à mieux protéger leur vie privée ces dernières années selon une enquête réalisée par Wavestone [1]. Les français se sentent donc « préoccupés » par la protection des données personnelles. Il est primordial de garder à l’esprit que les villes continuent à se développer pour les citoyens dans le respect le plus strict de leurs droits et libertés.
C’est dans cette perspective que le RGPD vient renforcer les droits des individus, s’appliquant aussi bien aux organismes publics qu’aux organismes privés.
Les collectivités devaient d’ici le 25 mai se mettre en conformité avec le RGPD, afin de poursuivre leur développement en tant que Smart City tout en respectant le droit de ses citoyens.
Nous vous proposons de plonger dans les thématiques à fort enjeu pour les collectivités et la protection de vos données :
- Principe de Finalité : Quel usage sera fait de vos données personnelles ?
Jusqu’à maintenant, la collecte de données n’était que peu encadrée à l’échelle européenne. Afin de répondre à ce manque de contrôle, le RGPD impose désormais que chaque donnée soit recueillie dans un objectif précis et pour un résultat défini. C’est le principe de finalité qui est au cœur du texte.
Le but de cette mesure est de faire en sorte qu’une stratégie soit établie par les acteurs qui collectent des données personnelles, une stratégie qui puisse être ensuite contrôlée par les pouvoir publics, et notamment la CNIL en France.
Ainsi, dans le cadre de la Smart City, cette finalité touche de très nombreux domaines : transports, énergie, …
L’un des exemples le plus intéressant est le cas du compteur Linky. En effet, le compteur Linky permet de collecter des données dites « sensibles » et à « caractère personnel » dans la mesure où elles permettent de légèrement connaitre la vie privée des particuliers (périodes d’absence, heure de coucher, …).
Du fait d’un contrôle pointu de la CNIL (Commission Nationale de l’Informatique et des Libertés) sur l’utilisation des données du compteur Linky depuis 5 ans, le principe de finalité du RGPD est déjà respecté par Enedis, la finalité étant l’amélioration de la maintenance du réseau et l’intérêt général.
Dans le cas où le client a donné son consentement, ces données peuvent aussi être transmises à différents acteurs. Ces acteurs doivent eux même déclarer une finalité quant à l’utilisation qu’ils vont faire des données.
Le tableau ci-dessous détaille les différents cas de figure :
- Exercice des droits : Comment assurer les réponses aux demandes d’exercice de droit des citoyens ?
Dans un contexte où les données sont collectées de plus en plus massivement et de manière plus facile auprès des individus, l’information aux personnes est souvent négligée, voire inexistante. Le droit à l’information, qui est un des grands principes du RGPD, se doit d’être appliqué dans les projets Smart-City d’une ville. Des difficultés liées à la collecte massive de données et à la multitude d’acteurs peuvent complexifier la mise en œuvre du droit à l’information. Par exemple, sur un projet d’optimisation du trafic urbain, une ville en collaboration avec les entreprises de mobilité (Uber, Google Maps, CityMapper, Waze, …), doit s’assurer que les individus sont informés de l’utilisation qu’est faite de leurs données collectées par les diverses applications.
Les individus, informés notamment de leurs différents droits (« à l’oubli », à la modification, à la portabilité, …) doivent être en mesure de pouvoir les exercer. L’enjeu majeur pour les villes va être de maîtriser au maximum l’ensemble des données collectées et utilisées et de savoir les localiser à tout instant afin de pouvoir répondre aux demandes d’exercice des droits. Même si certains droits étaient déjà imposés par la LIL (Loi Informatique et Liberté) de 1978, la mise en place de procédures techniques et organisationnelles permettant de répondre aux différents droits reste complexe et le sujet peu mature pour tous les organismes. Dans le contexte de la Smart-City, les difficultés semblent plus importantes encore. En effet, les données collectées par l’intermédiaire des partenaires peuvent souvent être combinées avec les propres jeux de données publiques d’une ville pour obtenir une vision plus harmonieuse de l’écosystème. Cette combinaison complexifie la maîtrise des données, une forte collaboration avec les partenaires doit exister et permettre la mise en place des processus d’exercice des droits.
- La gestion du consentement : Votre accord est décisif pour le traitement de vos données
La Smart City repose en grande partie sur l’aspect collaboratif des services mis à disposition des citoyens. Pour que cette offre de services soit de qualité, elle doit s’appuyer sur les données utilisateur sans être ralentie par des processus juridiques. La nouvelle règlementation sur la protection des données personnelles impose le consentement de l’usager pour certains traitements de données. Pour les traitements liés au développement durable et à l’écologie, le fondement juridique peut être légitime cependant, la question du consentement se pose pour les traitements de données visant au confort des urbains ou qui permet leur confort.
Dans le cas où un traitement de données a pour fondement juridique le consentement, le considérant numéro 32 du RGPD indique par exemple que « lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles ». Or, il n’est pas toujours facile d’identifier toutes les finalités lors de la collecte de données.
Le second point d’attention repose sur la possibilité de retrait du consentement. Il est stipulé dans l’article 7 du RGPD : « La personne concernée a le droit de retirer son consentement à tout moment et il est aussi simple de retirer son consentement que de le donner ». Cette spécificité juridique fragilise largement le fonctionnement d’une ville basée sur les services collaboratifs. Par exemple si plusieurs habitants d’un smart grid souhaitent retirer toutes leurs données de consommation électrique, le pilotage énergétique du quartier ne sera plus envisageable.
- Principe de limitation de la conservation des données : Où sont conservées les données et combien de temps ?
Comme vu précédemment, les villes récoltent de nombreuses données sur les habitants dans le but de fournir des services plus performants et proches des attentes des citoyens. Cependant beaucoup de ces données sont des données à caractère personnel. Qu’en est-il de la conservation et de la localisation de ces données ?
Les données ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Une ville ne peut pas conserver les données d’un traitement en estimant qu’elle en aura besoin ultérieurement : sa finalité doit être prégnante dès la collecte.
En dehors des cas pour lesquels il existe une obligation d’archivage (données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction), les données qui ne présentent plus d’intérêt doivent être supprimées sans délai. En cas de procédure de suppression automatique, le responsable du fichier doit s’assurer que les données sont effectivement supprimées.
La question de la localisation de ces données rentre aussi en jeu, un mauvais choix de lieu pour la conservation des données pourrait faciliter le piratage. Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées (destruction, perte, altération, diffusion ou accès non autorisés…). Ces mesures, devant assurer un niveau de sécurité approprié aux risques et à la nature des données, engendrent des problématiques budgétaires. En effet, les collectivités ne disposent pas de moyens financiers suffisant pour répondre à tous les enjeux de sécurisation des données. C’est pour cela que la collaboration avec les entreprises émettrices de données est indispensable, que ce soit par le partage d’infrastructures ou encore des compensations financières.
Il apparaît donc clairement que les spécificités de la Smart City soulèvent des questions nouvelles concernant l’exploitation des données personnelles des usagers de la ville. Certains points de l’application du règlement pour les collectivités restent flous en particulier les sanctions qui peuvent être appliquées en cas de non-conformité à la règlementation sur les données personnelles. D’autres part, alors que le domaine privé utilise principalement les données utilisateur dans un objectif marchand, le risque d’utilisation de ces données à des fins politiques est un point propre à la ville et qui n’a pas été abordé dans le règlement.
Ces principes pris en compte, les collectivités pourront alors construire une véritable relation de confiance avec leurs citadins dans l’utilisation de leurs données pour la mise en œuvre de services toujours plus « Smart ».
[1] Wavestone, « La vie privée à l’ère du numérique : au-delà de la conformité, un enjeu de confiance », étude réalisée auprès de 1 587 personnes de 6 pays différents entre juillet et août 2016.
