Smart use of GDPR in Smart Cities

Smart use of GDPR in Smart Cities

L’essor des villes connectées est certes récent mais il paraît promis à un bel avenir. Les avantages économiques et écologiques pour la collectivité foisonnent. Les améliorations indéniables de la qualité de vie et d’accessibilité aux services sont très attrayants pour les citoyens. Cependant les villes connectées représentent aussi de nouveaux écosystèmes de données dont l’ampleur donne le vertige. Parmi les mesures d’anticipation nécessaires pour espérer garder le contrôle d’environnements technologiques complètement intégrés et potentiellement autonomes, l’exemple de la gestion des villes connectées est donc un bon terrain d’expérimentation pratique.

Pour espérer influencer le développement de ces villes connectées dans un sens favorable au respect de la vie privée et à la protection des données personnelles, il est nécessaire de prévoir dès aujourd’hui des modalités pratiques d’encadrement. En effet, les partenariats publics-privés élaborés pour fournir les technologies connectées risquent de se faire au dépens des citoyens, notamment dans le domaine de la protection des données personnelles. Il y a, en effet, fort à parier que le modèle choisi par les entreprises privées soit basé sur le même concept de gratuité apparente des réseaux sociaux : des produits et services à des prix gratuits ou attractifs en échange de la cession entière et irréversible des données collectées. Les garde-fous juridiques que les collectivités tenteront de mettre en oeuvre ne feront vraisemblablement pas le poids par rapport à l’appétit des géants du numérique et aux leviers financiers dont ils disposent. Non seulement le domaine public se verra dépossédé de ses données mais celles-ci seront collectées sans le consentement des citoyens grâce aux fondements juridiques alternatifs suivants prévus par le RGPD à son article 6-1, notamment :

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement.

Les pouvoirs publics nationaux et européens ont donc un rôle public majeur à jouer dans la construction de ces nouveaux écosystèmes. Il leur incombe d’édicter des règles contraignantes valables de manière homogène sur un territoire suffisamment étendu pour que l’attrait économique reste important pour les fournisseurs de service et qu’elles ne nuisent pas aux seuls fournisseurs européens. Il ne faut pas laisser aux collectivités publiques la lourde tâche de négocier vis-à-vis de fournisseurs de produits et de services rompus à l’interprétation des règles de protection des données personnelles en leur faveur.

L’existence du RGPD n’est, en effet, pas la panacée universelle qui exempte l’Etat de son assistance. Le RGPD n’a pas été conçu pour des systèmes interconnectés et il parait singulièrement antinomique et anachronique au regard des volumes de données générés et à l’appétit du business pour le Big data source de nouveaux services et de création de valeur. Au fond, rien d’étonnant à cela, l’expérience de la directive européenne 95/46/CE de protection des données personnelles de 1995  conçue avec les réflexes de l’ère pré-internet a amplement démontré que la vitesse d’évolution des technologies de l’information est bien supérieure au rythme d’adaptation des législations.

C’est donc aux pouvoirs publics de proposer pragmatiquement une mise en application concrète du RGPD dans les villes connectées et d’imposer que des règles strictes régissent l’utilisation des données collectées. Ainsi, plutôt que de vouloir absolument contrôler l’obtention d’un consentement libre et éclairé qui s’avère être un réel numéro d’équilibriste dans la ville connectée, impliquant des lourdeurs d’utilisation qui seront rejetées par les citoyens (à l’instar des bandeaux de cookies sur les sites web),  il serait judicieux de prévoir des mesures a posteriori incluant par exemple :

  • des consignes péremptoires sur les délais de stockage des données non anonymisées,
  • des outils de contrôle et de suivi en temps réel permettant à tout citoyen de connaître le niveau d’atteinte à la vie privée qu’il subit,
  • des outils permettant de demander facilement l’effacement de tout ou partie de son historique de données non anonymisées,
  • de prévoir des configurations minimales permettant de sauvegarder uniquement certaines données utiles aux citoyens, par exemple son trajet favori, sans que les occurrences de l’utilisation de celui-ci ne soit conservées,
  • de veiller à ce que ces données soient utilisées uniquement en circuit fermé par les fournisseurs agréés de la ville, l’échange entre villes connectées ne pouvant se faire que sur des données anonymisées, aucune donnée non anonymisée ne pouvant être réutilisée en dehors de sa finalité première et aucune donnée ne pouvant être  vendue à des tiers,
  • de garantir à chaque citoyen que lors de son déménagement en dehors de la ville connectée, il puisse automatiquement obtenir l’effacement de ses données et qu’en aucun cas celles-ci ne soient transférées à d’autres villes connectées, qu’il soit donc possible de recommencer une vie vierge d’historique dans une nouvelle ville,
  • de garantir à chaque citoyen la possibilité de devenir transparent dans sa ville en lui permettant de configurer un écrasement journalier de ses données.

Cet ensemble de mesures pourrait faire l’objet d’une charte d’éthique de la gestion des données de la ville connectée, que tout fournisseur de la ville devrait s’engager à respecter pour avoir le droit d’accéder au marché et de s’y maintenir.

Une grille d’évaluation de la conformité des fournisseurs au RGDP, voire l’établissement d’une liste de fournisseurs nationaux agréés pourrait être aussi judicieuse. Cela peut paraître très étatique et centralisateur mais l’enjeu est tel qu’on peut se demander s’il est réellement opportun de laisser se développer des interprétations hétérogènes du niveau de conformité acceptable. Et, ce, d’autant plus que la pénurie de DPO (« Data Protection Officers ») expérimentés va apparaître de manière flagrante en 2018 et que les collectivités publiques auront vraisemblablement encore plus de problèmes de recrutement que les entreprises privées. D’ailleurs, si le CDO (« Chief Data Officer ») est un poste apparu dans certains Etats américains dès 2010 puis dans les grandes villes américaines (1), il ne semble pas être encore très développé en France.

Les villes qui seraient les plus respectueuses de cette réglementation pourraient voir leurs efforts récompensés par l’octroi de labels qualité et attirer ainsi les citoyens soucieux du respect de leur vie privée.

Il ne s’agit pas, ici, d’abandonner toute idée d’imposer les concepts de Privacy by design ou Privacy by default ni de renoncer à imposer les exigences du RGPD concernant le droit à l’information et l’obligation d’obtenir le consentement à la collecte des données personnelles. Il s’agit d’anticiper que les fournisseurs de produits et de services se saisiront de toutes les possibilités offertes par les textes, et du manque d’expérience des villes pour s’affranchir de certaines contraintes et qu’il faudra vraisemblablement de nombreuses années à la jurisprudence de la CJUE (Cour de Justice de l’Union européenne) pour réussir à imposer le respect des textes. Pour preuve, le droit à l’oubli qui fait bel et bien partie de la Directive de 1995 n’a réellement pris toute sa mesure que depuis l’arrêt de la CJUE sur le droit à l’oubli de 2014 (2) soit près de 10 ans plus tard. On peut espérer des délais moindres pour l’application complète du RGPD en raison de la capitalisation de l’expérience des juges nationaux et européens mais les délais incompressibles des actions judiciaires vont donner quelques années de répit aux fournisseurs pour interpréter diversement les exigences du RGPD. En 2025, quand la plupart des villes importantes se seront dotées de partenariats publics-privés pour se transformer en villes connectées, il sera difficile de réviser les clauses contractuelles et de demander rétroactivement l’application du RGPD telle que définie par la jurisprudence.

On ne peut donc que regretter que le législateur français n’ait pas mis à profit 2016 et 2017 pour finaliser la mise en conformité de la législation nationale au RGPD et qu’il ne soit donc pas à même de s’atteler dès maintenant au chantier fondamental de l’encadrement des futures villes connectées.

 

(1) http://www.govtech.com/state/Which-States-and-Cities-Have-Chief-Data-Officers.html

(2) CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. / Agencia Espanola de Proteccion de Datos et Gonzales.

 

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans l’autorisation expresse de l’auteur est interdite.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *