Les Smart cities, un danger pour les données personnelles ?

Le développement des smart cities, ces villes intelligentes ou connectées est notamment permise par développement des smart grid et des communicating meter utilisés pour la communication et l’échange, en temps quasi réel, de données comme le sulfureux compteur Linky.

L’ouverture des données publiques, source d’information très riche et impulsé par la loi n° 78-753 du 17 juillet 1978 relative à l’accès aux documents administratifs est également un facteur technique permettant le développement des smart cities. Ces données publiques concernent par exemple les infrastructures d’acheminement de l’énergie (eau, gaz, électricité, etc.), de transport en commun ou d’autres services publics. L’ouverture de ces données permet à des entrepreneurs, le plus souvent issues du secteur privé, d’agréger, de comparer et de valoriser ces données pour optimiser et de rationaliser les ressources nécessaires au bon fonctionnement de la ville dans le but d’offrir aux citoyens une meilleure qualité de vie.

La ville 1.0 était imaginée comme « un tableau de bord unique » géré en régie par les collectivités afin de suivre et gérer les besoins des habitants et les infrastructures à l’image de ce qui a été mis en place à Singapour. Toutefois, la conception Singapourienne de la ville intelligente, a tiré la sonnette d’alarme de la CNIL qui exhorte à la réflexion et au développement d’une ville connectée moins intrusive et plus respectueuse de la vie privée de ses habitants.

Des villes Françaises (Chartres, Dijon) mais aussi des agglomérations comme Paris, Lyon ou Marseilles ont développé certains aspects de la ville 2.0 avec, par exemple, la mise en place de smart grid ou de plateformes participatives.

La collecte massive de données par ces villes connectées intensifie les dangers notamment de réidentification de l’individus en cas de données mal ou non-anonymisées, des réutilisations de données inattendues en raison de l’opacité et l’automatisation des transferts de données entre les différents systèmes peut entrainer une perte de contrôle sur les données et rend leur sécurisation compliquée. De ce fait, les questions relatives à la protection des données personnes des habitants doivent donc être adressées rapidement afin de concilier les intérêts des collectivités territoriales, de leurs habitants ainsi que des les intérêts des industriels.


Le respect de la vie privée et la protection des données personnelles sera-t-elle garantie par les smart cities ?

Toutes les données collectées par les smart cities ne sont pas nécessairement attentatoires à la vie privée. Toutefois, lorsque les données collectées sont des données personnelles au sens de l’article 4 du RGPD, c’est-à-dire des données permettant d’« identifier directement ou indirectement une personne physique », celles-ci doivent faire l’objet de protections spécifiques car l’identification ou la  ré-identification d’un individu peut entrainer de lourdes conséquences. Par exemple, la collecte d’informations relatives à la consommation d’électricité via le compteur Linky pourrait servir, si elles arrivaient entre de mauvaises mains, à effectuer des cambriolages lorsque les occupants ne sont pas dans le logement.

De plus, l’Open Data des données publiques permettant la réutilisation, sous licence, des données publiées, peut poser problème. En effet, les données publiques faisant l’objet d’une publication ne doivent pas nécessairement faire l’objet d’une anonymisation en amont de leur publication. Toutefois, les coordonnées téléphoniques et adresse de messagerie électroniques devront toujours faire l’objet d’une occultation. La protection des citoyens n’est donc que minimale.

Si le rempart de l’anonymisation est un argument sensé mettre en confiance le citoyen, les procédés d’anonymisation coûtent chers et deviennent rapidement obsolètes en raison de l’amélioration exponentielle de la capacité de calcul des ordinateurs. Si l’anonymisation n’empêche pas la réidentification des personnes concernées, le RGPD pourra s’appliquer. Les personnes concernées pourront faire usage de leurs droits (d’accès, de rectification, d’opposition, d’effacement, à la portabilité). Toutefois, l’exercice des droits est subordonné au consentement de la personne concernée. En effet, l’article 6 du RGPD prévoit six bases légales permettant de collecter et de traiter licitement des données personnelles. Toutefois, lorsque la loi impose la collecte, celle-ci paralyse le droit d’opposition et d’effacement des données.

En outre, dès lors que des données personnes sont en jeu, l’article 28 du RGPD exige que le responsable de traitement ne sous-traite, à titre onéreux ou gratuit, qu’à des tiers présentant des garanties appropriées pour la protection des données personnelles. Ledit article prévoit également la possibilité pour le responsable de traitement d’effectuer des audits de conformité lui permettant de contrôler le respect du RGPD par son sous-traitant.  Il est quelque peu illusoire de penser que les utilisateurs ultérieurs de données publiques soient des sous-traitants au sens du RGPD (traitent des données personnelles pour le compte du responsable de traitement) et que les collectivités aient les moyens de contrôler régulièrement le respect du RGPD par ses sous-traitants.

Concernant les applications et techniques mises en œuvre directement par les entrepreneurs privés afin de collecter données personnelles, ceux-ci devront s’engager dans une procédure de mise en conformité RGPD et prendre le soin de développer des outils prenant en compte dès leur conception la vie privée ainsi que la sécurité des données personnelles conformément aux principes de « security by design » et « privacy by design ».

D’autres questions devront être adressées telles que les mesures techniques et opérationnelles de protection des données en fonction de leur criticité, le stockage données ou encore leur transfert dans un Etat tiers à l’Union européenne.

Le développement des smart cities peut apporter une plus grande proximité et adaptabilité des villes aux besoins réels de leurs habitants, cela ne doit pas se faire au détriment de la vie privée et de la protection des données personnelles des personnes concernées au risque de voir se développer certaines dérives.


http://adtellintegration.com/wp-content/uploads/2017/05/smart-cities-infrastructure-iot-wide.png
Sources:
Les Smart Cities sont-elles RGPD-compatibles ? https://www.cnil.fr/fr/smart-city-et-donnees-personnelles-quels-enjeux-de-politiques-publiques-et-de-vie-privee
https://www.eurojuris.fr/articles/smart-city-et-donnees-personnelles-37423.htm
https://www.cnil.fr/sites/default/files/atoms/files/cnil_cahiers_ip5.pdf
https://www.numerama.com/politique/447581-open-data-quelles-sont-les-categories-de-donnees-publiables-sans-anonymisation.html
https://www.nextinpact.com/news/105426-smart-city-cnil-dresse-tableau-sombre-pour-libertes-individuelles.htm

Laisser un commentaire