Une chronique de Christine Le Brun, Experte Smart Cities & Places chez Onepoint, où nous parlerons de villes, d’outils et de technologies numériques, de données, mais aussi des citoyens et de ceux qui font les villes.
Christine Le Brun, la semaine dernière vous avez mentionné que la protection des données personnelles dans le cadre des applications de smart cities était un point d’attention majeur pour l’Europe, qui cherche à encadrer les pratiques. Aujourd’hui, vous allez nous parler du dispositif qui permet justement de le faire, c’est ça ?
Tout à fait, je ne suis pas juriste mais je vais essayer de vous expliquer ce qu’est le RGPD, le Règlement Général sur la Protection des Données. Ce dispositif encadre le traitement des données personnelles sur tout le territoire de l’Union européenne et il est en vigueur depuis 2018.
Mais que recouvre la notion de donnée personnelle ? Y a-t-il une définition ?
Il y en a une, bien sûr. Elle est très précise et c’est la CNIL, la Commission Nationale Informatique et Libertés qui la donne. Une donnée personnelle désigne « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette identification peut de faire soit de manière directe avec votre nom/prénom, soit de manière indirecte, via un identifiant, un numéro de téléphone ou encore une information biométrique. Mais aussi en recoupant plusieurs données, par exemple une femme de 45 ans, mariée, habitant à telle adresse et pratiquant la boxe dans le club X. Quant au traitement de ces données personnelles, cela désigne n’importe quelle opération portant sur celles-ci. Par exemple, la collecte, l’enregistrement, la modification, la conservation, la modification,la consultation ou la diffusion.
Et que dit ce règlement ?
Le texte renforce les droits que les personnes comme vous et moi peuvent exercer sur les données collectées. Le premier principe est le consentement : vous avez le droit de savoir comment les données sont collectées et dans quel but ; et de vous y opposer. Vous devez aussi pouvoir y accéder, les rectifier, les effacer. Le pendant de ces droits est que toute entreprise ou entité qui collecte ou traite des données à caractère personnel a l’obligation de se conformer à ce règlement et doit être capable de le démontrer à tout moment.
Pourquoi ce texte est-il important ?
Les mesures décrites dans le RGPD responsabilisent les entreprises qui travaillent dans le domaine de la donnée en les obligeant à se poser des questions sur ce qu’elles font et pourquoi elles le font. Elles doivent respecter un cadre qui leur donne certaines obligations, comme par exemple celle de tenir un registre des traitements, d’assurer la sécurité des données ou de notifier la CNIL en cas de violation. Mais au-delà de ça, ce dispositif harmonise les règles en Europe. Il a créé un espace économique inaccessible sans conformité au RGPD, et doté les autorités chargées de l’appliquer de pouvoirs de sanction très importants.
Cela ne doit pas plaire à tout le monde ?
En effet, d’autant qu’il s'applique à toute organisation traitant des données personnelles de résidents de l'UE, où que soit son siège. Cela permet aux entreprises de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs, mais les empêche de déployer leurs services si elles ne s’adaptent pas. Ainsi en 2023, Meta a été condamné à une amende record de 1,2 Milliards de dollars. Cependant, ce qui est très intéressant, c’est que même outre-atlantique, le RGPD fait des émules. Certains pays ou autorités locales se sont dotés de réglementations similaires, comme la Californie ou la Province du Québec. Paradoxalement, cela a un effet collatéral très positif du coté de certains géants du numérique. Comme ils sont tenus de développer des solutions conformes au RGPD pour le marché européen et ses 450 millions de consommateurs, ils songent à présent à les déployer mondialement pour ne pas avoir à proposer des versions différentes d’un territoire à l’autre. Certains, comme Apple, en font un argument marketing. Comme quoi quand elle parle d’une seule voix, l’Europe peut faire bouger les lignes.
Formidable ! Et pour revenir à la smart city, comment cela est-il mis en application ?
En Europe, les projets de territoire intelligent doivent eux aussi se conformer au RGPD. Or de nombreux projets reposent sur une collecte en continu de données dans l’espace public. Comme le RGPD oblige au consentement de chacun, cela induit que les projets doivent donc intégrer, par défaut, des processus soit d’information et de transparence, soit d’anonymisation immédiate.
Pas de risque de smart city à tendance chinoise en Europe donc ?
En effet. Le recours à la reconnaissance faciale dans l’espace public est purement et simplement interdit au sein de l’UE. Le régulateur a fait savoir à de nombreuses reprises que les données biométriques (nécessaires à la reconnaissance faciale) ne peuvent pas être collectées de façon massive et continue à l’insu des habitants et sans leur consentement. Si ce n’est pas le cas, alors les autorités de contrôle peuvent intervenir, comme auprès de la municipalité de Nice qui l’a appris à ses dépens. Sous couvert d’enjeux de sécurité, elle avait lancé des expérimentations de reconnaissance faciale sur la promenade des Anglais. La CNIL a dénoncé publiquement le caractère illicite de ces expérimentations, alors même que la ville avait, elle, largement communiqué sur leur caractère innovant.
Un entretien réalisé par Laurence Aubron.