Le 9 septembre s’achevait la deuxième conférence mondiale sur la smart city : the Smart City In Focus 2016.  Le but ? Echanger autour de ces villes du futur portées par l’internet des objets (IoT) et la valorisation du Big Data.

Ce que ces villes ont d’intelligent, c’est la capacité à tirer des informations passées et présentes des solutions clefs pour réduire l’impact écologique, fluidifier le trafic ou encore faciliter le rapport des citoyens avec l’administration. Ainsi, à Yinchuan, ville hôte de cette conférence, les lampadaires sont en mesure de détecter les voitures munies de puces RFID circulant sur la route afin de limiter le temps d’éclairage au strict nécessaire. Les containeurs de tri signalent lorsque la limite est atteinte, diminuant alors le taux de pollution et les ralentissements de trafic. Les machines communiquent sans cesse entre elles.

Asseyant ainsi sa position au niveau mondial, la ville dévoile les fruits de son étroite collaboration avec le géant de la téléphonie ZTE. Les participants étrangers ont découvert des usagers des bus locaux ayant pour seul titre de transport, leur visage. Comme le décrit CNN[1], les données biométriques analysées à l’entrée du véhicule sont associées à un compte bancaire interrogé pour savoir si le passager peut effectivement payer son titre de transport.

Au quotidien, les citoyens ne s’encombrent plus de considérations telles que les courses en magasin : une application mobile existe pour cela et leur permet de récupérer les aliments dans des casiers connectés et réfrigérés. La plupart des agents de la mairie ont été remplacés par des hologrammes et, pour éviter une attente trop longue, nombre de services passent directement par internet. En perspective, un système de santé nourri de Big Data et de télémédecine.

Yinchuan est le laboratoire des innovations dont les autres smart cities chinoises devront suivre l’exemple. Cependant, la pérennité de ce modèle repose sur des mécanismes de protection des données personnelles qui pourraient davantage être renforcés.

Le développement des villes intelligentes dans un cadre légal encore incertain

La problématique de la gestion des données personnelles a été abordée assez tardivement par les responsables chinois si l’on ose la comparaison avec le droit français qui s’est doté d’une législation dès 1978. Membre de l’APEC, la Chine a accepté les lignes directrices de l’organisation « APEC Privacy Framework » en 2004. Sur le plan international, l’OCDE a également exprimé quels devaient être les principes directeurs de la protection des données personnelles. Toutefois, ces accords multilatéraux n’ont aucune valeur contraignante même s’ils ont l’avantage d’aiguiller les Etats souhaitant élaborer un régime juridique en la matière.

Dès lors, le législateur chinois s’attèle à la rédaction d’un régime unifié s’appliquant tant au secteur privé qu’au secteur public. Par manque de consensus, le projet est abandonné en 2007. L’approche pour laquelle Beijing a opté continue d’être sectorielle, rendant une vision d’ensemble plus complexe.

La régulation se trouve fragmentée entre des textes relatifs aux télécommunications, au droit pénal, à la responsabilité civile ou encore au droit de la consommation. Au-delà de ces règles éparses, le Standing Commitee est parvenu à adopter une Décision le 28 décembre 2012. Ce texte bénéficie d’une valeur supérieure à celle des lois précitées dans la hiérarchie des normes. En effet, le Standing Commitee est l’organe le plus haut dans l’organigramme chinois et ses positions revêtent une importance quasi constitutionnelle. Les principes et interdictions que la Décision énonce doivent donc être pris en compte par les entreprises responsables ou futures responsables de traitement.

Le texte appréhende les données personnelles sous un angle purement numérique et consumériste puisqu’il tend à s’appliquer aux FAI et acteurs privés « qui collectent et utilisent, dans le cadre de leurs activités, des données électroniques permettant d’identifier un individu et celles concernant sa vie privée. » Il ne s’applique donc pas à l’Etat. Outre l’absence de nuance entre « identifié » et « identifiable », le texte ne mentionne ou du moins n’explicite pas la mise en œuvre du dispositif de protection.

Suivront en 2013 les lignes directrices du MIIT – Ministry of Industry, Innovation and Technology –  qui précisent le régime applicable aux entreprises. Elles opèrent pour la première fois une distinction entre les données sensibles et celles qui ne le sont pas. Ainsi les informations relatives à la scolarité ou à la santé se voient reconnaitre un statut différent et leur collecte requiert le consentement du client de l’entreprise.

La question d’une autorité de régulation chargée de l’application de ces lignes directrices et des nombreuses autres dispositions n’est pourtant pas résolue. Par ailleurs, le Ministère y prohibe explicitement « la collecte indirecte de données ou toute collecte utilisant des moyens détournés. » Dépourvues de force obligatoire, les lignes directrices constituent tout de même un élément essentiel de la mise en conformité des entreprises étrangères et chinoises au droit local. Cet élan législatif récent prouve une volonté de se doter d’un corpus juridique fort et, peut-être, d’atteindre ce statut d’équivalence au système communautaire tout en conservant l’exception chinoise.

Les enjeux d’un renforcement de la protection des données personnelles au-delà des smart cities

Malgré un cadre légal qui inscrit les grands principes de légalité, nécessité, légitimité et sécurité, le manque d’institution dédiée au respect des textes transparaît. En effet, que serait la loi Informatique, Fichiers et Libertés sans la Cnil ? L’incertitude juridique se voit également renforcée par l’absence de contentieux en la matière. Loin de critiquer le système et minorer ses efforts, il est nécessaire de l’encourager à aller plus loin. Alors que les fraudes et les vols de données se multiplient, une autorité de contrôle jouerait un rôle considérable pour la sécurité et la confidentialité des données issues des objets connectés qui composent les smart cities.

Les données biométriques collectées à Yinchuan, ainsi que les informations générées par les flux des puces RFID des quelques 300 000 véhicules que compte la ville, circulent dans un cadre juridique en cours de traitement. Les acteurs du Big Data désirant participer à cette innovation urbaine se doivent de redoubler de vigilance afin de ne pas contrevenir au droit chinois[2]. En effet, s’il continue de se préciser encore aujourd’hui et ne s’est pas doté d’une Cnil chinoise, le système continental peut néanmoins prononcer des sanctions. La protection des données à caractère personnel ne s’affranchit pas de ce protectionnisme qui irrigue le droit chinois. Baichun disait de la vile intelligente qu’elle était « conçue pour le peuple, qu’elle travaillera pour le peuple, et bénéficiera au peuple. » Une telle finalité, bien que d’apparence très humaniste, conduit à une frilosité des investisseurs qui auront à manipuler de la data. A ce titre, la Chambre européenne du commerce déclarait récemment que si les avancées juridiques visaient à lutter contre la fraude en ligne et, en cela, renforçait la cyber sécurité, elles engendraient par la même occasion une incertitude juridique pour les acteurs européens privés.

En reconnaissant qu’il existe des données sensibles, la Chine avait imposé un stockage et une analyse locaux : aucun transfert n’est permis pour cette catégorie d’informations.  La raison éminemment politique était de contrôler le sort des informations générées entre les frontières afin qu’elle ne tombe pas dans le champ d’une législation étrangère. Les données constituent de plus en plus un instrument de pouvoir[3]. Si bien que cette obligation s’élargit à tous types de données personnelles dès lors qu’elles sont générées sur le territoire. Les entreprises sont de plus en plus invitées à implanter des infrastructures sur le sol chinois tels les data centers pour faciliter le traitement. Cette tendance à la « nationalisation des données » est mondiale et se retrouve en Europe mais aussi aux Etats-Unis.

Partenaire économique essentiel de l’Union européenne, la Chine veut s’inscrire comme leader dans le secteur des villes intelligentes. Mais la récente découverte de logiciels espions dans des smartphones chinois sur le marché international émaille la confiance inhérente au développement numérique. Dès lors, il apparaît urgent que cet Empire du milieu poursuive ses efforts et se dote d’un régime précis de protection des données personnelles.

____________

SOURCES :
Concise Chinese Law, Editions Lawpress, 2007

Eurobiz, Journal of EU Chamber of Commerce in Chna, « The present and future of data protection in China » : <http://www.eurobiz.com.cn/present-future-data-protection-china/>

Chine-Magazine, « Loi sur la cyber-sécurité : modernité vs Contrôle » : <http://www.chine-magazine.com/loi-cyber-securite-modernisation-vs-controle/>

EU Parlement, Policy Deparmtent, Report : The Data Protection regime in China, 2015

CNN, Yinchuan, your face is your credit card :  <http://edition.cnn.com/2016/10/10/asia/yinchuan-smart-city-future/index.html>

[2] Lawyers based in China advise to « increase awareness among all staff of the rules governing data protection in China and tighten up internal security »

[3] Lire en ce sens l’article de Jessica Darmon sur la notation des citoyens chinois à partir de leurs données personnelles et la valorisation du Big Data