Enjeux juridiques et perspectives de la smart & safe city

Par Myriam Quéméner, magistrat, docteur en droit

Les technologies des Smart City permettent de renforcer la sécurité de ces villes qui deviennent progressivement des Safe City par le biais de l’interconnexion des données¹ . L’essor des « villes intelligentes » n’est pas sans soulever des défis juridiques de protection des données à caractère personnel.

Des considérations éthiques et stratégiques doivent être prises en compte pour faire fonctionner les  smart et safe cities car l’environnement de données interconnectées peut amener à s’interroger sur le contrôle permanent exercé sur les personnes et leur vie privée. Les institutions interconnectées de la ville possèdent en effet des informations très nombreuses sur nous ; elles peuvent être perçues comme un « Big brother », et donc à l’origine d’atteintes à nos libertés individuelles.

Il convient de faire le point sur les règlementations pouvant s’appliquer en la matière et d’envisager les améliorations possibles.

La question des normes techniques applicables

Les smart et safe cities n’ont pas de définition légale ni de cadre juridique précis et ne sont pas soumises à des normes standardisées au plan international. Alors que le Royaume-Uni a annoncé la création de standards applicables aux villes intelligentes en confiant une telle mission à la British Standards Institution² (BSI), aucune démarche similaire ne semble avoir été initiée en France.

Cependant les collectivités territoriales intéressées par un tel projet peuvent s’appuyer sur la norme ISO 37120 publiée récemment par l’organisation de standardisation internationale. Une telle norme unique, en ce qu’elle se concentre sur la ville, présente l’avantage précieux de permettre à tout instigateur d’un projet de ville intelligente d’inscrire sa démarche durablement et efficacement.

La norme ISO 37120 prévoit des indicateurs applicables à toute ville quelle que soit sa taille ainsi que sa position géographique. Ces indicateurs, conformément à l’essence même du concept de ville intelligente, s’appliquent à plusieurs secteurs que sont principalement l’éducation, l’énergie, les transports, la gouvernance. Outre la reconnaissance internationale d’une telle norme, les avantages d’ISO 37120 concernent par exemple la rationalisation de la gouvernance de ces nouvelles villes et leur financement.

Smart et safe cities à l’heure du Règlement général de la protection des données

Le croisement de multiples données exploitées par les villes connectées fait craindre des risques de profilage pour les habitants des villes connectées et d’atteintes à la vie privée. A cet égard, le nouveau règlement va être utile sur plusieurs points.

Les études d’impact

Le règlement européen du 27 avril 2016 sur la protection des données adopté en décembre 2015 prévoit que les responsables de traitement procèdent à une analyse d’impact (Privacy Impact Assessment), préalablement à la mise en œuvre des traitements susceptibles de présenter un risque pour la vie privée des personnes concernées. Cette mesure va s’appliquer à ces nouvelles villes intelligentes, en cas de risque élevé. Le DPO³ se devra en plus de notifier et d’enregistrer les violations de données personnelles, ainsi que les analyses d’impact de ces violations.

Le rôle du délégué à la protection des données personnelles (DPO)

La loi Informatique et libertés du 6 janvier 1978 avait déjà créé le statut de correspondant Informatique et Libertés (CIL) dont le rôle était d’assurer le respect des obligations prévues par la loi mais cette désignation était facultative et relevait du seul choix du responsable de traitement.

Le nouveau règlement prévoit la désignation obligatoire d’un délégué à la protection des données personnelles (DPO) au sein des organismes publics. « Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque (…) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle⁴.».

Ainsi, tout responsable de traitement appartenant au secteur public aura l’obligation de désigner un DPO, véritable garant de la conformité des traitements au règlement. Il a plusieurs missions dont notamment la mise en œuvre des dispositifs informatiques de protection des données et des applications, l’instauration de mécanismes de veille pour se préparer à candidater à des labels (informatique et libertés…), l’organisation de la sécurité.

Concrètement, les collectivités territoriales auront la possibilité de mutualiser leur DPO en fonction de leur structure et de leur taille. Ainsi, une personne pourra, par exemple, gérer le traitement des données personnelles s’opérant dans plusieurs communes de petites tailles.

Les organismes publics devront désigner un DPO avant le 25 mai 2018, date d’entrée en application du règlement européen.

Ainsi, dans un contexte de développement des smart et safe cities, le DPO apparaît comme un acteur essentiel dans la protection des habitants de ces nouveaux espaces urbains. Au-delà des données personnelles et face aux menaces liées aux territoires connectés, il est aussi indispensable de prendre en compte la dimension cybersécurité dans chacune des applications liées aux « smart cities ». Le GDRP met en place le principe de privacy by design : la protection des données doit être prise en compte dès la conception d’un objet ou d’un service. Le règlement s’applique aussi de façon extraterritoriale pour les données sur les citoyens ou les organisations européennes même à l’étranger.

Cependant, malgré ces nouvelles règles, il faut être vigilant et il sera sûrement nécessaire d’adapter le cadre législatif à ces services et infrastructures afin de trouver un équilibre parfois complexe entre la protection des libertés individuelles et de l’ordre public numérique.