Le régime juridique de la smart city, un élan innovateur à l’épreuve de la protection des données personnelles : les expériences française et italienne.
Le concept de smart city rend compte de l’utilisation de plus en plus répandue des Technologies de l’Information et de la Communication (TIC) et des technologies numériques en réseaux dans la gestion et la planification urbaine[1]. Ainsi, les projets de smart cities veulent rendre les villes moins énergivores, moins génératrices de déchets, plus sûres grâce à l’intégration massive des TIC au tissu urbain[2].
En dépit de ces intentions méritoires, les potentialités de cette approche s’accompagnent de nombreux risques pour la protection des données personnelles qui, jusqu’à présent, n’ont pas suffisamment reçu d’attention, ni dans les tentatives de règlementation au niveau européen et national, ni dans la réflexion doctrinale[3].
En effet, il faut souligner que d’énormes jeux de données sont nécessaires afin de mettre en place les projets de smart city[4]. Parmi ces données, il en existe une catégorie tout à fait unique, celle des données à caractère personnel, qui ont un cadre protecteur bien spécifique et unifié au niveau européen depuis 2018 : le Règlement général sur la protection des données (ci-après « RGPD »)[5].
Pourtant, ce dernier pourrait ne pas être suffisant pour garantir la protection de la vie privée[6].
L’exploitation de ces données peut poser problème. Par ailleurs, les données d'entraînement pour la réalisation de ces projets sont menacées par les cyberattaques. Les secteurs de l’énergie, des transports, de la logistique et des télécommunications, secteurs clés de développement de projets des smart cities, sont considérés comme particulièrement exposés à cette menace, selon l'Agence nationale de la sécurité des systèmes d’information (ANSSI). De plus, la mise en place de solutions de smart city lors des grands événements offre aux attaquants la possibilité de profiter de cette surface d’exposition étendue pour surveiller ou extorquer les organisateurs et les participants[7].
Si ces questions de cybersécurité appellent déjà l’attention des ingénieurs et data scientists, les juristes devraient pareillement s’intéresser au sujet et tenter de répondre à la question suivante : est-ce que le régime juridique applicable à la smart city actuel assure suffisamment la protection des données à caractère personnel ?
Les enjeux majeurs liés à cette question trouveront dans cette étude une piste de réponse comparée :
I. D’abord dans le cadre européen protecteur des données personnelles, insuffisant dans la construction de la smart city ;
II. Dans les tendances fragmentées des cadres législatifs français et italien et leur vide juridique dans la garantie de la protection des données ;
III. Enfin, dans les alertes pour la protection de la vie privée déjà lancées par la Commission nationale de l'informatique et des libertés (ci-après « CNIL ») et par il Garante per la protezione dei dati personali (ci-après « il Garante »).
I. Un cadre européen protecteur des données personnelles, mais insuffisant concernant la smart city
Au préalable, afin de comprendre les problématiques juridiques concernant la privacy dans le cadre de la smart city, il faut décliner les principes et obligations posés par le RGPD.
En effet, le RGPD est le cadre règlementaire qui s’applique aux projets de smart cities lorsque ces derniers effectuent un traitement de données à caractère personnel, c'est-à-dire à « toute opération ou ensemble d’opérations, portant sur des données personnelles, sur toute information se rapportant à une personne physique identifiée ou identifiable »[8].
Il faut rappeler que si les données employées sont anonymisées — en n’ayant plus de « caractère personnel » — leur garantie de protection est moins contraignante par rapport à celle offerte par le RGPD: le cadre normatif s'appliquant à cette hypothèse favorise, au contraire, une plus libre circulation des données[9]. Pourtant, les données sont difficilement anonymisables, car certaines techniques vont pouvoir permettre une ré-identification des personnes concernées avec le risque d'une surveillance à grande échelle[10].
Il faut considérer que le RGPD ne permet pas de discerner un régime juridique spécifique aux particularités des projets de smart cities. Pourtant, ils se caractérisent par une évidente pervasivité, dangereuse pour la vie privée si nous considérons la difficulté, comme nous l'avons énoncé, d'assurer l'anonymisation des données personnelles[11].
En outre, des capteurs, des caméras et d’autres outils sont placés partout dans l’environnement urbain sans que les personnes aient forcément conscience d’être écoutées, regardées ou suivies dans leurs déplacements[12]. Dans ce contexte, le principe de transparence reconnu par le RGPD ne peut pas être appliqué efficacement. Le volume des données collectées rend très compliqué le contrôle de leurs données par les individus : lire et comprendre les conditions générales d’utilisation de chacun des services serait trop compliqué et chronophage (articles 12, 13 et 14 du RGPD)[13].
En outre, sous l’angle du principe de licéité du traitement, si la base légale qui est choisie pour le traitement est le consentement, toujours à cause de la constante captation des données de manière inaperçue, la manière de recueillir un « consentement libre et éclairé » est difficilement envisageable. Ainsi les personnes ne seraient pas libres de choisir de faire l’objet d’un traitement qui leur serait imposé par le seul fait se trouver dans l’espace public (art. 4 et 6 du RGPD)[14]. Et cela bien qu'un objectif d'amélioration de la vie citadine soit poursuivi, en assurant par exemple une sûreté urbaine accrue.
De la même manière, même en choisissant une autre base légale pour fonder le traitement, l’exercice des droits reconnus par le RGPD peuvent difficilement être garantis, faute d’une information aisément accessible sur le traitement des données par les personnes concernées.
En dépit de ces difficultés liées à l'application du Règlement aux particularités des smart cities, le RGPD intègre un instrument qui pourrait être utile pour ces projets : l’analyse d’impact relative à la protection des données (ci-après « AIPD »). L’AIPD est un document permettant d'identifier et de minimiser en amont les risques d’atteinte aux droits et libertés des personnes. Cet instrument peut permettre aux acteurs publics de limiter ces atteintes dans les smart cities et concevoir ces projets de manière à assurer leur conformité au RGPD (art. 32 du RGPD).
En définitive, si les principes du RGPD à eux seuls s’avèrent finalement insuffisants pour assurer un cadre juridique assez clair pour les personnes se trouvant dans des « territoires intelligents », il faut considérer qu'ils sont le seul guide pour des régimes nationaux.
Ce niveau général de définition des principes est encore moins éclairant quant au principe de « neutralité technologique[15] » : le Règlement ne va pas indiquer par quelles technologies spécifiques assurer les objectifs visés car il a été conçu pour qu'il puisse s'appliquer quelle que soit la technologie considérée dès lors qu'il y a un traitement de données personnelles.
Cette lacune crée un vide que les droits nationaux cherchent à combler par des pratiques différenciées ; mais elles restent insuffisantes pour protéger les droits des personnes dans le cadre des smart cities.
II. Un régime juridique fragmenté en France et en Italie, ne garantissant pas une protection suffisante de la vie privée dans les smart city
Les législateurs nationaux, aussi bien en France qu'en Italie, n’ont pas créé un cadre juridique plus protecteur par rapport aux grandes orientations du RGPD. Ce vide juridique pourrait être symptomatique d’une volonté de ne pas multiplier les contraintes, comme la présentation d’AIPD renforcées, pouvant ralentir l’innovation[16]. En outre, un tel sujet n'a pas été approfondi par la doctrine juridique : dans les travaux de recherche il existe un vide s'agissant du thème de la privacy dans la smart city[17].
Toutefois, l'absence de précisions concernant les techniques d'anonymisation et les modalités d'exercice des droits reconnus par le RGPD dans la smart city engendre une forte insécurité juridique. Cela se traduit par des réponses fragmentées dans les deux cadres nationaux.
Ainsi, aucun des deux législateurs n’a imposé une technique spécifique quant à l’anonymisation des données employées pour les smart cities. D’un point de vue technique, il faut pourtant souligner que l’anonymisation requiert des procédures plus complexes par rapport au simple effacement des données directement identifiantes[18].
Pour donner un exemple de ce vide juridique commun aux deux systèmes juridiques, nous pouvons mentionner deux projets de smart cities, s'insérant plus spécifiquement dans le concept de safe city[19].
En Italie, il Garante a confirmé l'existence de ce vide juridique en se prononçant sur le déploiement d’un système de reconnaissance faciale par le Ministère de l'Intérieur italien. Le système permettait d’analyser en temps réel les visages des personnes filmées dans l’espace de la ville, en les comparant à une base de données prédéfinie[20]. Selon l’Autorité, le système n’avait pas de base légale suffisante légitimant le traitement automatisé de données biométriques. En effet, le Ministère se fondait sur des articles du Code de procédure pénale qui n’étaient pas pertinents pour la mise en place d’un tel dispositif, s’agissant en l’espèce des articles relatifs aux interceptions.
Faute de précisions au niveau législatif, pour mettre en place les projets de smart cities, les acteurs publics en Italie auraient fondé ces dispositifs sur des bases inadaptées, applicables à des contextes très éloignés, en révélant une absence de réflexion préalable au déploiement dans l’espace urbain de telles technologies dangereuses pour la vie privée des personnes.
Toujours dans cette même approche de safe city, en se référant en particulier aux caméras équipées de logiciels d’intelligence artificielle installées dans la ville de Paris pour les Jeux Olympiques, la CNIL a souhaité que des textes réglementaires ou législatifs soient adoptés pour en légitimer l’emploi dans l’espace public. Un souhait qui, au moins dans ce cadre spécifique, s’est concrétisé par la reforme du Code de la sécurité intérieure, avec l’indication de finalités déterminées pour la mise en place de ces projets, comme la sécurisation de manifestations sportives[21]. Une réforme qui a soulevé des critiques, car elle pourrait être pérennisée. En effet, elle pourrait être appliquée à n’importe quel événement d’envergure ou favoriser le développement de la smart city à tout prix, au mépris de tout principe de minimisation du traitement des données personnelles reconnu par le RGPD[22].
Faute d’un cadre clair au niveau national sur les garanties de la privacy dans la smart city, des pratiques très diversifiées se développent dans les États membres et, pire, dans chaque ville ou dans chaque cas d’espèce. Ce vide normatif attire l'attention des autorités nationales de protection des données, qui tentent de le combler en se prononçant sur les risques pour la vie privée dans les smart cities.
III. Les autorités de protection des données en alerte pour le respect de la vie privée dans les smart cities
La question des garanties nécessaires pour le respect du RGPD a été globalement prise en compte par les autorités de protection des données. Afin de présenter une analyse comparée de leur approche, on s’intéressera à l’affaire JCDecaux dont la CNIL[23] a été saisie et à la récente sanction de la commune de Trente prononcée par il Garante[24]
Les deux autorités de protection des données peuvent contrôler que les projets de smart city ne servent pas à réaliser une surveillance des personnes. Les approches des deux autorités sont assez concordantes et elles ne différent que quant à leurs stratégies de mise en conformité pour les acteurs publics.
Dès 2017, l’approche de la CNIL appelle à la prudence. Le sujet de l’anonymisation est récurrent dans les contributions de la Commission, s’agissant du moyen par lequel permettre la plus libre circulation des données tout en garantissant la sécurité et le plein respect, si les données ne sont pas anonymisées, du RGPD[25].
Par exemple, dans l’affaire JCDecaux, la CNIL a été sollicitée au sujet d'un projet de smart city qui prévoyait l’installation de dispositifs de comptage Wi-Fi dans des supports publicitaires pour capter les adresses des smartphones et mesurer les schémas de déplacement des visiteurs. Dans cette décision, elle avait déjà considéré, même avant l’entrée en vigueur du RGPD, que les conditions d’anonymisation n’étaient pas suffisantes et ne pouvaient être apparentées qu’à une pseudonymisation. Cette décision a été confirmée par le Conseil d’État français qui a notamment mis en lumière la nécessité d’informer les personnes des captations dont elles pouvaient faire l’objet[26].
Il Garante, par contre, s’est emparé de la question dans une perspective doctrinale plus récemment. Il faut souligner que, même si la CNIL a commencé à se prononcer à ce sujet plus tôt par rapport à l'autorité italienne, sa doctrine n'a pas été enrichie depuis 2017 sur le concept général de la smart city. L'autorité française a eu plutôt tendance à se prononcer sur les technologies qui accompagnent la construction de ces projets au fil de l'évolution technologique. Par exemple, elle a fait des caméras augmentées, qui constituent un outil essentiel pour la safe city, l’un de ses priorités dans le plan stratégique pour 2022-24[27].
L’autorité italienne a une approche plus axée sur la sanction, y compris à l’encontre des acteurs publics, contrairement à la CNIL. Il Garante a rappelé l’importance des principes de minimisation et de finalité du traitement dans une sanction prononcée à l'encontre de la Commune de Trente. Par ailleurs, l'autorité a indiqué que les projets en cause ne respectaient pas le principe de licéité, aucune base légale adaptée ayant été indiquée, surtout à l’égard d’un traitement de données sensibles. En effet, la ville de Trente s’était fondé sur le statut de la commune mentionnant de manière générale les objectifs de « développement culturel, social et économique de la population »[28]. De plus, l’autorité italienne, dans la même approche que la CNIL, a souligné que la technique d’anonymisation employée par la commune n’était pas suffisante.
En conclusion, en l’absence de spécifications sur les enjeux de sécurité de ces projets quant aux techniques d’anonymisation, aux risques de ré-identification et aux modalités d’exercice des droits reconnus par le RGPD, les autorités de contrôle jouent un rôle de gardiens des principes de protection des données. En définitive, elles devraient de plus en plus exercer leur soft power afin d’obtenir une intervention du législateur plus adaptée également au niveau européen pour construire un nouveau régime juridique pour les spécificités des smart cities.
[1] PEVROUX E., NINOT O., De la « smart city » au numérique généralisé : la géographie urbaine au défi du tournant numérique, L'Information géographique, 2019/2 (Vol. 83), pp. 40-57 (2019).
[2] VAN ZOONEN L., Privacy concerns in smart cities, Government Information Quarterly, p. 472 (2016).
[3] ISMAGILOVA E., HUGHUES L., RANA N. P., DWIVEDI K. D., Security, Privacy and Risks Within Smart Cities: Literature Review and Development of a Smart City Interaction Framework, Information Systems Frontiers, p. 394 (2022).
[4] Ministère de la transformation et de la fonction publiques, Rapport de la mission Data et territoires, septembre 2023, accessible à partir de l’adresse URL suivante : https://www.transformation.gouv.fr/files/ressource/Rapport_Mission_Data_....
[5] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE).
[6] WATCHER, S., Normative challenges of identification in the Internet of Things: Privacy, profiling, discrimination, and the GDPR, Computer law & security review, 34(3), pp. 436-449 (2018).
[7] Agence nationale de la sécurité des systèmes d’information (ANSSI), Panorama de la cybermenace 2023, p. 36 (2023) : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-001.pdf.
[8] Art. 4 du RGPD.
[9] Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) (Texte présentant de l’intérêt pour l’EEE).
[10] Commission nationale de l’informatique et des libertés (CNIL), CAHIERS IP INNOVATION & PROSPECTIVE N°05 La plateforme d’une ville. Les données personnelles au cœur de la fabrique de la smart city, p. 13 (2017) : https://linc.cnil.fr/cahier-ip5-la-plateforme-dune-ville-0.
[11] MAROŠ LACINÁK, RISTVEJ J., Smart City, Safety and Security, Procedia Engineering, Vol. 192, pp. 522-527 (2017).
[12] DE MESNARD A., La Smart city à l’épreuve du RGPD : l’ambivalence d’une participation citoyenne « mise en vitrine, La Revue des droits de l’homme, N° 21 (2022).
[13] Commission nationale de l’informatique et des libertés (CNIL), CAHIERS IP INNOVATION & PROSPECTIVE N°05 La plateforme d’une ville. Les données personnelles au cœur de la fabrique de la smart city, p. 14 (2017) : https://linc.cnil.fr/cahier-ip5-la-plateforme-dune-ville-0.
[15] Considérant (15) du RGPD.
[16] PHILIPPOT A., AZZI A, La Smart city : Quels enjeux juridiques et politiques ?, France Juridique, Lexis Nexis, 02 février 2024 : https://www.lexisnexis.com/blogs/fr-juridique/b/actualite/posts/la-smart... juridiques-et-politiques.
[17] SMAGILOVA E., HUGHUES L., RANA N. P., DWIVEDI K. D., Security, Privacy and Risks Within Smart Cities: Literature Review and Development of a Smart City Interaction Framework, Information Systems Frontiers, p. 394 (2022).
[18] Commission nationale de l’informatique et des libertés (CNIL), CAHIERS IP INNOVATION & PROSPECTIVE N°05, La plateforme d’une ville. Les données personnelles au cœur de la fabrique de la smart city, p. 31 (2017) : https://linc.cnil.fr/cahier-ip5-la-plateforme-dune-ville-0.
[19] RISTVEJ J., LACINÁK M., ONDREJKA R., On Smart City and Safe City Concepts, Mobile Networks and Applications, p. 837 (2020).
[20] Garante per la protezione dei dati personali, Parere sul sistema Sari Real Time - 25 marzo 2021 [9575877] : https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/957587...
[21] Loi du 19 mai 2023 relative aux jeux Olympiques et Paralympiques de 2024.
[22] Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Adopted on 13 November 2019.
[23] Commission nationale de l’informatique et des libertés (CNIL), Délibération 2015-255 du 16 juillet 2015.
[24] Garante per la protezione dei dati personali, Provvedimento dell'11 gennaio 2024 [9977020].
[25] Commission nationale de l’informatiques et des libertés (CNIL), CAHIERS IP INNOVATION & PROSPECTIVE N°05, La plateforme d’une ville. Les données personnelles au cœur de la fabrique de la smart city, p. 31 (2017) : https://linc.cnil.fr/.
[26] Conseil d’État, Décision n° 393714 du 8 février 2017.
[27] Commission nationale de l’informatique et des libertés (CNIL), Plan stratégique 2022-24, p. 7 : https://www.cnil.fr/fr/la-cnil-publie-son-plan-strategique-2022-2024.
[28] INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI DA VIDEOSORVEGLIANZA UTILIZZATI NELL’AMBITO DEI PROGETTI EUROPEI MARVEL E PROTECTOR : https://www.comune.trento.it/Aree-tematiche/Smart-city/Progetti-d-innova...