Solucom
Le blog Energie des consultants Wavestone

Smart City vs RGPD : la bataille de la donnée personnelle commence aujourd’hui

Le 25 mai sonne comme une date charnière pour la protection des données personnelles. En effet, la mise en application du RGPD  (Règlement Général de Protection des Données) doit être effective à compter de ce jour.

Si les enjeux du RGPD pour les entreprises sont largement commentés, Energystream a souhaité s’intéresser aux enjeux de ce règlement pour les projets de ville intelligente.

 

Pas de villes intelligentes sans données

La révolution numérique remodèle profondément notre manière de vivre ensemble. Avec plus de la moitié de la planète vivant en espace urbain, la ville n’échappe pas à cette tendance. Au contraire, elle est l’épicentre de ces changements.

La Smart-City en est la manifestation la plus évidente. Le concept de Smart City  désigne ici une ville qui vise à améliorer la qualité de vie des citadins en la rendant  plus adaptative et efficace grâce aux nouvelles technologies . Ceci en s’appuyant sur un écosystème d’objets, de services et d’utilisation de la donnée toujours plus innovants.

La Smart City est ainsi utile à l’ensemble des systèmes urbains : infrastructures publiques (bâtiments, mobiliers urbains, domotique, etc.), réseaux (eau, électricité, gaz, télécoms) ; transports (transports publics, routes et voitures intelligentes, covoiturage, mobilités dites douces – à vélo, à pied, etc.) ; les e-services et e-administrations.

Selon plusieurs comptages, la France compterait 25 villes que l’on pourrait qualifier de “smart cities”. Pour autant, la grande majorité des autres métropoles et villes moyennes françaises pas encore considérées comme telles songent déjà à développer des stratégies en ce sens.

 

« 85% des Français se disent « préoccupés » par la protection des données personnelles »

Dans ce cadre-là, la protection de ces données correspond à un enjeu de société grandissant, d’autant plus que 85% des Français se disent « préoccupés » par la protection des données personnelles [1]. Il est primordial de garder à l’esprit que les villes continuent à se développer pour les citoyens dans le respect le plus strict de leurs droits et libertés.

C’est dans cette perspective que le RGPD vient renforcer les droits des citoyens, s’appliquant aussi bien aux organismes publics qu’aux organismes privés.

Les collectivités devaient d’ici le 25 mai  se mettre en conformité avec le RGPD, afin de poursuivre leur développement en tant que Smart City tout en respectant le droit de ses citoyens . Pour cela, 4 éléments sont à prendre en compte par les collectivités pour s’adapter à la nouvelle règlementation.

Nous vous proposons de plonger dans les thématiques à fort enjeu pour les collectivités et la protection de vos données.

 

  • Principe de Finalité : Quel usage sera fait de vos données personnelles ?

Jusqu’à maintenant, la collecte de données n’était que peu encadrée à l’échelle Européenne. Afin de répondre à ce manque de contrôle, le RGPD impose désormais que chaque donnée soit recueillie dans un objectif précis et pour un résultat défini.  C’est le principe de finalité qui est au cœur du texte.

Le but de cette mesure est de faire en sorte qu’une stratégie soit établie par les acteurs qui collectent des données personnelles, stratégie qui puisse être ensuite contrôlée par les pouvoir publics, et notamment la CNIL (Commission Nationale Informatique et Libertés) en France. Cette finalité touche de très nombreux domaines, dont l’énergie.

L’un des exemples les plus intéressants est le cas du compteur Linky. Celui-ci permet de collecter des données dites « sensibles » et à « caractère personnel » dans la mesure où elles permettent de connaitre une partie de la vie privée des particuliers (périodes d’absence, heure de coucher, de douches, …)

Du fait d’un contrôle pointu de la CNIL  sur l’utilisation des données du compteur Linky depuis 5 ans, le principe de finalité du RGPD est déjà respecté par Enedis, gestionnaire du réseau et installateur de ce compteur. La finalité désignée est ici l’amélioration de la maintenance du réseau et l’intérêt général.

Dans le cas où le client a donné son consentement, ces données peuvent aussi être transmises à différents acteurs. Ces acteurs doivent eux même déclarer une finalité quant à l’utilisation qu’ils vont faire des données.

Le tableau ci-dessous détaille les différents cas de figure :

 

 

  • Exercice des droits : Comment assurer les réponses aux demandes d’exercice de droit des citoyens ?

Dans un contexte où les données sont collectées de plus en plus massivement et de manière plus facile auprès des individus, l’information aux personnes est souvent négligée, voire inexistante. Le droit à l’information, qui est un des grands principes du RGPD, se doit d’être appliqué dans les projets Smart-City d’une ville. Des difficultés liées à la collecte massive de données et à la multitude d’acteurs peuvent complexifier la mise en œuvre du droit à l’information. Par exemple, sur un projet d’optimisation du trafic urbain, une ville en collaboration avec les entreprises de mobilité (Uber, Google Maps, CityMapper, Waze, …), doit s’assurer que les individus sont informés de l’utilisation qu’est faite de leurs données collectées par les diverses applications.

Les individus, informés notamment de leurs différents droits (« à l’oubli », à la modification, à la portabilité, …) doivent être en mesure de pouvoir les exercer. L’enjeux majeur pour les villes va être de maîtriser au maximum l’ensemble des données collectées et utilisées et de savoir les localiser à tout instant afin de pouvoir répondre aux demandes d’exercice des droits. Les données collectées par l’intermédiaire des partenaires peuvent souvent être combinées avec les propres jeux de données publiques d’une ville pour obtenir une vision plus harmonieuse de l’écosystème de trafic. Cette combinaison complexifiant la maîtrise des données, une forte collaboration avec les partenaires doit exister et permettre la mise en place des processus d’exercice des droits.

 

  • La gestion du consentement : Votre accord est décisif pour le traitement de vos données

La Smart City repose en grande partie sur l’aspect collaboratif des services mis à disposition des citoyens. Pour que cette offre de services soit de qualité, elle doit s’appuyer sur les données utilisateur sans être ralentie par des processus juridiques. La nouvelle règlementation sur la protection des données personnelles impose le consentement de l’usager pour certains traitements de données. Le considérant numéro 32 de la RGPD indique par exemple que « lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles ». Or, il n’est pas toujours facile d’identifier toutes les finalités lors de la collecte de données.

Le second point d’attention repose sur la possibilité de retrait du consentement. Il est stipulé dans l’article 7 du RGPD : « La personne concernée a le droit de retirer son consentement à tout moment et il est aussi simple de retirer son consentement que de le donner ». Cette spécificité juridique fragilise largement le fonctionnement d’une ville basée sur les services collaboratifs. Par exemple si plusieurs habitants d’un smart grid souhaitent retirer toutes leurs données de consommation électrique, le pilotage énergétique du quartier ne sera plus envisageable.

 

 

  • Principe de limitation de la conservation des données : Où sont conservées les données et combien de temps ?

Comme vu précédemment, les villes récoltent de nombreuses données sur les habitants dans le but de fournir des services plus performants et proches des attentes des citoyens. Cependant beaucoup de ces données sont dites « sensibles » c’est-à-dire des données à caractère personnel. Quid dès lors de la conservation et de la localisation de ces données ?

Les données ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Une ville ne peut pas conserver les données d’un administré en estimant qu’elle en aura besoin ultérieurement : sa finalité doit être prégnante dès la collecte.

En dehors des cas pour lesquels il existe une obligation d’archivage (données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction), les données qui ne présentent plus d’intérêt doivent être supprimées sans délai. En cas de procédure de suppression automatique, le responsable du fichier doit s’assurer que les données sont effectivement supprimées.

La question de la localisation de ces données rentre aussi en jeu, un mauvais choix de lieu pour la conservation des données pourrait faciliter le piratage. Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées (destruction, perte, altération, diffusion ou accès non autorisés…). Ces mesures doivent assurer un niveau de sécurité approprié aux risques et à la nature des données.

Il apparaît donc clairement que les spécificités de la ville intelligente soulèvent des questions nouvelles concernant l’exploitation des données personnelles des usagers de la ville. Pour autant, certains points de l’application du règlement pour les collectivités restent flous. En particulier les sanctions qui peuvent être appliquées en cas de non-conformité à la réglementation sur les données personnelles. D’autre part, alors que le domaine privé utilise principalement les données utilisateur dans un objectif marchand, le risque d’utilisation de ces données à des fins autres que marchandes (politiques notamment?) est un angle mort du règlement qui entre en application ce 25 mai.

La prise en compte rapide de ces principes permettrait aux collectivités de construire une véritable relation de confiance avec leurs citadins dans l’utilisation de leurs données pour la mise en œuvre de services publics qui répondent aux besoins des territoires.

 

[1] Institut CSA, « Les Français et la protection des données personnelles », sondage réalisé en ligne entre le 28 et le 30 août 2017 auprès d’un panel représentatif de 1002 personnes.

Be Sociable, Share!

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Accueil | Mentions Légales | Contact | A propos du blog | Wavestone-advisors.com