Pour Marguerite Yourcenar, « les villes portent les stigmates des passages du temps, et occasionnellement les promesses d’époques futures ». Force est de constater qu’aujourd’hui, les « promesses d’époques futures » ne sont plus « occasionnelles », mais systématiques.
En effet, la « smart city », ou « ville intelligente » en français, est la préoccupation majeure des collectivités, des entreprises et même des citoyens, qui voient en elle un vecteur d’innovation essentiel sur le territoire urbain. Le terme de ville intelligente désigne un ensemble d’innovations capables de répondre de façon renouvelée aux besoins économiques, sociaux ou encore environnementaux, par l’utilisation des technologies de l’information et de la communication (TIC). Ces innovations passent par la prise en compte des critères, dont les six principaux sont basés sur les ressources naturelles, les capitaux sociaux et culturels, la mobilité, l’économie, la gouvernance ou encore le mode de vie.
L’utilisation des TIC incite tous les acteurs de la ville du « futur » à agir et penser la vie en milieu urbain différemment, en s’appuyant sur un écosystème d’objets et de services. Mais plus encore, elle promeut une vision prospective de la ville, résolument tournée vers des systèmes de gestion intelligents et omniprésents. Pour fonctionner, ils ont besoin de données, produites en masse et échangées entre tous les acteurs de la smart city, y compris des données à caractère personnel.
Pour Gwendal Le Grand, ancien chef du service de l’expertise informatique de la Commission nationale de l’informatique et des libertés (CNIL), il s’agit dans les villes intelligentes, de « cribler la ville de capteurs [et] de mettre ces capteurs en réseau », en faisant un système automatisé et communicant qui ouvre la voie à des enjeux juridiques importants en matière de données personnelles.
Des données personnelles exposées sur la place publique
L’article 1er de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dispose que « l’informatique doit être au service de chaque citoyen » et qu’elle « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Partant de ce postulat, les individus dont les données sont traitées et collectées doivent disposer de droits garantis par le législateur. A ceux-ci s’ajoutent des obligations, assorties de sanctions en cas de non respect, concernant « les responsables de traitements » et leurs « sous-traitant ».
La question de la protection des données personnelles au sein des villes intelligentes est cruciale. Elle se pose d’une part du point de vue de l’identification du responsable de traitement. Une donnée personnelle est définie, conformément à l’article 2 de la loi de 1978, comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement […] Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Pour exercer leurs droits, les citoyens doivent donc être informés, selon l’article 32 de la loi précitée, de l’identité du responsable de traitement. Seulement dans une smart city, la tendance est à la mutualisation des systèmes de collecte et de traitement des données à caractère personnel. De surcroit, la multiplicité des acteurs intervenant dans ces villes numériques rend difficile cette identification, si les formalités préalables au traitement auprès de la CNIL ne sont pas respectées.
De plus, le consentement éclairé de la personne dont les données sont collectées et traitées doit être recueilli, conformément à l’article 7 de la loi de 1978. Le fait, « y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables » est réprimé par l’article 226-16 du Code pénal. La CNIL a d’ailleurs condamné Google à payer une amende de 100.000 euros pour avoir collecté des données personnelles lors de la mise en place du service Google Street View en 2011. En l’espèce, la société Google utilisait des voitures équipées de caméras et d’enregistreurs afin de circuler dans les rues et filmer les paysages à 360°. Seulement, ces voitures ne collectaient pas uniquement des images mais enregistraient également des données transitant par les réseaux Wi-Fi des particuliers, et ce, sans le consentement des personnes concernées. Le problème pourrait également se poser avec la voiture connectée, omni présente dans les smart cities.
En outre, l’exception contenue à l’article 7 précité et concernant « l’exécution d’une mission de servie public dont est investi le responsable ou le destinataire du traitement », pourrait ici trouver une pleine application. Cela étant, une telle dérogation pourrait entrainer des abus et certaines entreprises privées pourraient être tentées par des passations de marchés publics de services ou d’obtenir des délégations de service public pour pouvoir en profiter.
Des systèmes potentiellement dangereux pour la vie privé
L’utilisation de la géolocalisation, qui permet par divers procédés techniques, de localiser en temps réel une position géographique, peut s’illustrer dans les villes intelligentes par les capteurs placés sur les voitures pour connaître les places libres en temps réel dans les parcs automobiles. L’utilisation de la géolocalisation dans la vie quotidienne des citoyens peut être accompagnée de problématiques juridiques tenant au respect de la vie privée de la personne qui est géolocalisée. D’ailleurs, lors de sa conférence de presse d’avril 2015, la CNIL mettait en évidence que 14 % des plaintes reçues en 2014 concernait la géolocalisation, et notamment celle des salariés. On peut penser aussi aux smartphones, qui émettent des ondes en continu recueillies par les antennes-relais des réseaux télécoms.
Dans la même veine, les systèmes de vidéosurveillance renforcent le caractère vulnérable de la vie privée des citoyens. Ils sont présents sur la voie publique, dans les commerces, au travail, dans les transports en commun ou encore, dans les immeubles d’habitation. Une tendance qui se développe puisque selon les chiffres récents, un toulousain est en moyenne filmé 100 fois par jour, un londonien près de 300 fois, alors même que nos villes ne sont pas encore des smart cities à proprement parlé. La problématique de la vidéosurveillance est conjointe de celle des drones, dont l’usage ne cesse de croître. Selon Ryan Calo, professeur de droit à l’Université de Washington, ils sont « l’incarnation technologique et froide de l’observation ». Ils permettent notamment des captations de masse sans distinction concernant les informations qu’ils recueillent ou les personnes qu’ils suivent, et une mobilité très importante qui font d’eux de potentiels outils de surveillance, sans parler des possibilités de profilage des citoyens. Autant de problématiques éthiques et juridiques qui doivent être encadrées par une réglementation stricte et adaptée.
Une fois ces données collectées, il faut s’assurer de leur sécurisation. C’est en cela que la loi du 6 janvier 1978 fait peser sur le responsable de traitement et ses sous-traitants une obligation de sécurité. En cas de défaillance, l’article 226-17 du Code pénal prévoit des sanctions pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende. Au vu de l’interconnexion de tous les services proposés dans une smart city, c’est une préoccupation qui doit occuper une place essentielle. En témoigne l’expérience menée au Forum international de la cybersécurité 2016 qui a eu lieu fin janvier par l’Institut de recherche technologique SystemX, où une faille au niveau de la passerelle utilisée pour connecter un compteur électrique a été volontairement mise en lumière pour démontrer que de telles vulnérabilités existent.
Les solutions envisageables pour limiter les risques
En apparence, il y a donc un conflit entre les principes de la loi informatique et libertés et ceux du Big Data qui se caractérise par la capacité à traiter des quantités considérables de données, et ce, à grande vitesse, issues de sources multiples et de manière parfois imperceptible pour l’individu. Ainsi, le Big Data s’appuie sur un ensemble d’innovations technologiques qui ont boulversé la façon dont les entreprises et les individus génèrent, transmettent, stockent et utilisent des données. Cette logique contredit le principe de finalité exigé dans la loi de 1978, qui impose au responsable de traitement de savoir pour quelle raison déterminée il traitera les données, et comment il va les traiter. Alors que dans le Big Data, on collecte des informations que l’on gardera et qui produiront de la valeur une fois recoupées. Les deux peuvent cependant se concilier, s’il y a anonymisation préalable des données personnelles. Qui plus est, les données produites dans le cadre d’une smart city ne sont pas toutes des données personnelles, mais aussi et surtout des données « statistiques ».
Il est également nécessaire, comme le recommande la CNIL, avant toute mise sur le marché de capteurs ou d’autres objets connectés, de réaliser une étude d’impact sur la vie privée, pour connaître les éventuels effets néfastes qu’ils pourraient provoquer sur celle-ci.
Dans le même sens, le projet de règlement européen portant sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, prévoit que les prestataires de services devront se plier au principe de l’accountability, c’est à dire le principe de responsabilité dont sont tenus les responsables de traitement, éternel corollaire à l’obligation de sécurisation du traitement des données. En ce sens, le règlement prévoit l’obligation, pour les entreprises victimes de fuite de données, de le signaler aux régulateurs nationaux sous 72 heures. Par ailleurs, les entreprises dont l’activité principale est le traitement de données devront désigner un agent de protection des données.
Autre avancée du nouveau règlement, la mise en pratique du privacy by design, qui a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception.
Enfin, à l’instar du Royaume-Uni où les autorités ont dévolu la mission de créer des standards applicables aux smart cities à la British Standards Institution, il serait opportun en France d’initier une démarche similaire, afin de pallier à l’absence de cadre juridique dédié aux villes intelligentes. En attendant une telle initiative, il est toujours possible pour les acteurs participant à rendre smart nos villes, de s’appuyer sur la norme ISO 37120 publiée par l’Organisation de standardisation internationale.
SOURCES :
DA COSTA (S.), « Gilles de Colombel (Schneider Electric) : les grands enjeux de la smart city ne sont plus techniques », magazine-decideurs.com, mis en ligne le 10 juillet 2015, consulté le 1er février 2016, <http://www.magazine-decideurs.com/news/gilles-de-colombel-schneider-electric-les-grands-enjeux-de-la-smart-city-sont-juridiques-et-humains>
BOUREGHDA (L.), « ville intelligente : la nouvelle norme ISO 37120 », alain-bensoussan.com, mis en ligne le 1er octobre 2014, consulté le 1er février 2016, <http://www.alain-bensoussan.com/ville-intelligente-norme-iso-37120/2014/10/01/>
RAYNAL (J.), « FIC 2016 : un smart grid piraté…dans une simulation », industrie-techno.com, mis en ligne le 26 janvier 2016, consulté le 1er février 2016, <http://www.industrie-techno.com/fic-2016-un-smart-grid-pirate-dans-une-simulation.42294>