par Sie Makenzi LANDRY AMESSAN, étudiant du Master 2 Droit des communications électroniques
Plusieurs villes françaises misent désormais sur les jumeaux numériques pour moderniser la gestion urbaine. Pourtant, derrière les promesses technologiques, ces outils soulèvent des questions juridiques encore peu discutées, notamment en matière de protection des données et de cybersécurité.
« La ville intelligente doit être gouvernée par les citoyens, ou elle sera gouvernée contre eux », déclarait Francesca Bria, spécialiste internationale des politiques urbaines numériques, dans une interview publiée le 7 mai 2018 par AI for Good.
Cette réflexion trouve un écho particulier aujourd’hui. Paris, Lyon et Marseille annoncent fièrement la création de jumeaux numériques urbains, des copies virtuelles du territoire capables de simuler des projets, de prévoir des phénomènes climatiques ou d’optimiser des services publics. Paris exploite une maquette 3D dynamique, Lyon suit la performance énergétique de son quartier Confluence, et Marseille pilote déjà certains équipements comme l’éclairage ou l’arrosage. Ces initiatives s’inscrivent dans un projet national porté par l’IGN, le Cerema et Inria autour d’un jumeau numérique de la France.
Mais l’enthousiasme politique ne doit pas faire oublier que ces outils reposent sur une collecte massive de données dont le respect du cadre juridique est loin d’être assuré.
I-Un outil efficace mais fondé sur une collecte étendue de données urbaines
Un jumeau numérique urbain rassemble des données issues de capteurs déployés dans la ville, de bâtiments connectés, de systèmes de gestion municipaux ou de dispositifs de vidéoprotection. Certaines informations décrivent simplement l’état d’un équipement ou d’un réseau, mais d’autres peuvent révéler des habitudes de déplacement, des comportements ou des zones de fréquentation. Dès qu’une donnée permet d’identifier une personne, même de manière indirecte, elle devient une donnée personnelle protégée par l’article 4 du RGPD.
Le RGPD impose alors des exigences claires. La finalité du traitement doit être précise, les données doivent être limitées à ce qui est strictement nécessaire et leur durée de conservation doit être maîtrisée. La Cour de justice de l’Union européenne l’a rappelé dans une décision du 4 juillet 2023, dans l’affaire C-252/21 portant sur Meta. Elle y juge que tout traitement massif de données de comportement doit rester transparent, proportionné et justifié. Cette exigence s’applique également aux collectivités qui utilisent de grandes quantités de données pour alimenter un modèle numérique de la ville.
La CNIL alerte régulièrement sur les risques d’hyper-surveillance liés aux jumeaux numériques et à l’analyse de flux. L’article 35 du RGPD impose une analyse d’impact (AIPD) dès lors qu’un tel dispositif est déployé dans l’espace public. Cette exigence a été rigoureusement confirmée par le Conseil d’État, notamment dans sa décision du 30 avril 2024 (Commune de Beaucaire), où il a validé la sanction d’une commune n’ayant pas réalisé d’AIPD pour son dispositif de vidéoprotection étendu.
Les villes doivent donc démontrer que la quantité de données utilisées est proportionnée à leurs objectifs et que les informations ne servent pas à suivre les comportements individuels. Sans garanties solides, la simulation urbaine pourrait devenir un outil d’observation de la population, incompatible avec les principes du droit européen.
II-Des questions de gouvernance et de cybersécurité encore insuffisamment maîtrisées
Confier la construction d’un jumeau numérique à des entreprises privées ne doit pas conduire la collectivité à perdre le contrôle de ses propres données.
Il faut d’abord comprendre que faire appel à un prestataire technique n’exonère jamais l’administration de sa responsabilité en cas de problème. L’article 28 du Règlement général sur la protection des données pose un principe simple selon lequel la mairie reste responsable de ce que font ses sous-traitants avec les données des citoyens. La CNIL l’a démontré en sanctionnant la société Dedalus Biologie d’une amende de 1,5 million d’euros le 15 avril 2022 pour des failles de sécurité. Cette décision rappelle aux collectivités qu’elles ont le devoir absolu de vérifier les garanties de sécurité offertes par les entreprises qu’elles embauchent.
Cette vigilance est d’autant plus nécessaire que les jumeaux numériques pilotent des installations réelles, ce qui en fait des cibles idéales pour les pirates informatiques. La menace est concrète puisque les cyberattaques par rançongiciel subies par la ville d’Angers en janvier 2021 ou celle de Lille en mars 2023 ont paralysé les services publics pendant plusieurs semaines. Pour y faire face, l’Europe a adopté la directive UE 2022/2555 dite NIS 2 qui oblige désormais les collectivités importantes à renforcer leurs défenses. Pour protéger les données les plus sensibles, il est recommandé de suivre la doctrine de l’Agence nationale de la sécurité des systèmes d’information en privilégiant des hébergeurs disposant du Visa de sécurité SecNumCloud, le plus haut standard de confiance qualifié par l’État.
La question de la nationalité de l’hébergeur informatique est également un sujet de préoccupation majeur pour l’indépendance de la collectivité. Le Conseil d’État s’est penché sur ce problème dans une ordonnance du 12 mars 2021 concernant la plateforme Doctolib. Les juges ont rappelé que stocker des données sur des serveurs gérés par des géants américains comporte des risques juridiques car les lois des États-Unis peuvent permettre à leurs services de renseignement d’accéder à ces informations. Pour une ville française, cela signifie qu’il faut exiger des garanties techniques très fortes, comme le chiffrement des données, avant de signer avec un prestataire étranger.
Un dernier piège menace les finances publiques et la liberté d’action de la collectivité, à savoir le risque de se retrouver prisonnier d’un fournisseur unique. L’article R. 2111-7 du Code de la commande publique interdit formellement de mentionner une marque ou un brevet spécifique dans un appel d’offres pour éviter cette dérive. Pourtant, il arrive qu’une mairie ne puisse plus changer de logiciel sans perdre tout son historique. Pour éviter cette dépendance, l’administration doit imposer le respect du Référentiel Général d’Interopérabilité. Ce texte réglementaire rend obligatoire l’utilisation de standards ouverts, seule méthode garantissant que les données restent lisibles et transférables si la ville décide de changer de prestataire à la fin du marché.
SOURCES:
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
https://www.cnil.fr/fr/cameras-augmentees-espaces-publics-position-cnil
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368
https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud
https://www.numerique.gouv.fr/offre-accompagnement/reference-interoperabilite-rgi