La ville numérique est-elle vraiment intelligente ? Episode 3
La ville intelligente serait celle qui a des yeux et des oreilles. Un regard qui s’infiltre jusque sous nos portes de maisons, des oreilles posées sur les trottoirs, dans les écoles ou sous les lits de nos chambres d’étudiants. Les entreprises rivalisent d’idées pour vendre aux élus leurs rêves de villes connectées, intelligentes, tranquilles, silencieuses, en sécurité. Mais lorsque les capteurs se seront introduits dans chaque parcelle du territoire, que restera-t-il de nos vies privées, de l’utilisation de nos données personnelles, et même, osons le terme, de notre liberté ? Villes Internet se penche sur le sujet, dans un dossier en trois épisodes.
Épisode 3 — Quelles marges de manœuvre pour les collectivités territoriales ?
Comme le souligne le député Luc Belot dans son rapport au Premier ministre sur l’avenir des smart city, « la smart city c’est passer de la ville Informatique à la ville Numérique. Il s’agit de construire une ville collaborative, contributive, disruptive, inclusive, créative. Pour saisir cette chance, il convient cependant de construire la ville intelligente dans le bon sens, en partant de l’habitant, de ses besoins et de ses demandes ». Première strate de l’action publique dans les territoires, au plus proche de la population, les collectivités locales ont une responsabilité majeure dans la dynamique de la ville intelligente, disséminant des objets connectés dans l’espace public. Principales actrices de ce mouvement, elles sont les gardiennes du bon déroulement du processus d’installation, de l’association des habitants et du respect de leurs données personnelles.
Données publiques, données privées, données personnelles, de quoi parle-t-on ?
Selon l’article 4 §1 du RGPD (définition reprise par la Loi Informatique et Libertés à l’article 2 de la loi n° 78-17 du 6 janvier 1978), on appelle « DCP » (donnée à caractère personnelle) toute information sur une personne physique, identifiée ou identifiable, directement ou indirectement, en référence à un numéro d’identification ou à tout autre élément propre à cette personne. Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc. Peu importe que ces informations soient confidentielles ou publiques.
Les données sensibles forment une catégorie particulière des données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf — nombreuses — exceptions précisées dans l’article 9 § 2 du RGPD.
La sécurité, mais quelle sécurité ?
Selon l’Union internationale des télécommunications (UIT), l’Internet des objets se définit comme « l’infrastructure mondiale pour la société de l’information, qui permet de disposer de services évolués en interconnectant des objets (physiques ou virtuels) grâce aux technologies de l’information et de la communication interopérables existantes ou en évolution ».
Alors que les objets connectés sont parfois positionnés dans l’espace urbain dans une volonté d’améliorer la sécurité des habitants, le député Luc Belot rappelle qu’aujourd’hui « les objets connectés sont jugés insuffisamment sécurisés et 70 % des objets connectés, utilisés le plus fréquemment, présentent des vulnérabilités, selon un rapport de HP security ».
L’élu ajoute que « les enjeux de sécurité de ces nouveaux outils sont mal perçus et mal compris des collectivités territoriales, et notamment de leurs responsables politiques ». Plusieurs facteurs expliquent cela, particulièrement la complexité technique du sujet et la prise de décision trop souvent déléguée aux services techniques, en fonction de contraintes budgétaires, sans que le niveau politique soit saisi. Le rapport souligne par ailleurs que « les services de la ville qui installent ces objets estiment, sans le vérifier, que les prestataires extérieurs qui [les] proposent en assurent la sécurité. »
Pour répondre à ces enjeux, le texte préconise, dans sa proposition n° 5, d’offrir des formations aux agents et aux éluspour évaluer le degré de sécurité des objets connectés et des systèmes d’information qui leur sont liés. La proposition n° 6 recommande d’« inclure dans tous les marchés liés à la digitalisation des collectivités une clause sur la sécurité avec des critères d’exigence minimale définis au niveau national, en concertation avec les associations de collectivités et l’ANSSI ».
L’implication des habitants dans les prises de décision
Même si aucune règle juridique n’oblige les collectivités à consulter la population avant l’installation de capteurs dans l’espace public, les élus dont le seul objectif dans la mise en place de tels dispositifs est d’améliorer les conditions de vie sur leur territoire ont tout intérêt à associer leurs concitoyens à la prise de décision. En effet, les habitants et autres usagers de la ville sont les producteurs de cette donnée, qui en plus pourra être ouverte comme la loi sur l’open data y encourage ! Les citoyens doivent pouvoir dire s’ils sont d’accord et pour quelle utilisation. Dans certains pays on envisage même de les rémunérer pour cette donnée qui contribue au fonctionnement de l’espace public (et parfois est vendue par les sociétés qui les captent).
L’utilisation des données récoltées doit être adaptée
Comme le dit Akim Oural dans le rapport Gouvernance des politiques numériques dans les territoires remis en 2015 à Axelle Lemaire : « Cette question de la donnée va devenir de plus en plus sensible dans les années qui viennent en raison du développement accéléré de l’Internet des objets (capteurs, tags, etc.), de la multiplication des supports numériques et de la demande, de plus en plus affirmée par les citoyens, de disposer de services customisés (personnalisés et contextualisés) qui reposent sur des données non anonymisées. Les collectivités vont, par conséquent, devoir naviguer entre des vents contraires : d’un côté le besoin de données ouvertes pour une co-construction de services facilitée, de l’autre la nécessité de fournir les garanties de sécurité nécessaires. »
Quand une équipe municipale décide de l’installation de capteurs dans les lampadaires afin d’adapter leur fonctionnement à la fréquentation de l’espace public, elle doit savoir quels usages cette technologie permet, ils sont rarement uniques. Par exemple, ces capteurs dans les lampadaires peuvent également écouter les bruits de la rue, prendre des images ou diffuser des informations sur les smartphones (dans le cas du wifi). Elle doit s’assurer que seule la fonction qu’elle a choisi est active. Et pour justifier de l’utilité de cette fonction expliquer comment le flux de données va circuler et comment et par qui il va être contrôlé.
En matière de sécurité, la responsabilité des élus est centrale : comment poser les capteurs, les configurer, recueillir les données et les stocker ? Les élus pensent parfois bien faire en déléguant ces choix technologiques à des entreprises, parfois même à des start-up dont l’avenir est par nature incertain ou de grands groupes délégataires de services publics aux actionnaires mal connus. Quelque soit la méthode, les questions à se poser sont les mêmes : à quoi sont exactement utilisées les données ? Où sont-elles durablement stockées ? Comment sont-elles protégées à long terme ?
Bref, qui maîtrise la donnée publique ? Et comment protéger la gestion de l’information publique sans la dénaturer ? Une solution réside dans le fait d’assumer en interne cette gestion, certaines villes le font.
La mise en place du RGPD : une première protection
L’obligation pour les collectivités d’avoir un délégué à la protection des données, chargé de mettre en œuvre la conformité des traitements au Règlement général de la protection des données (RGPD) est une garantie importante. Cette personne sera l’interlocutrice privilégiée de la CNIL. Il est essentiel qu’elle fasse partie de la collectivité, de préférence un fonctionnaire territorial formé aux valeurs du service public.
L’éducation à la production et à l’utilisation des données
Pour se renforcer face aux risques de manipulations, les collectivités locales ont tout à gagner à ce que les citoyens, qui sont aussi chercheurs, enseignants, entrepreneurs, informaticiens, contribuent avec leur expertise aux utilisations et à la gestion des “données publiques”.
Ainsi, de la même manière que les collectivités se saisissent de l’enjeu de l’éducation aux médias avec le monde de l’éducation et du rapport des français à l’information — comme le révèle l’organisation de la grande enquête Infos, désinfos portée par la Maïf et Villes Internet
— elles doivent faire de la production et de l’utilisation des données publiques, souvent personnelles, un sujet d’éducation populaire. Elles se positionnent alors comme les premières protectrices de la vie privée de leurs administrés. La Cnil les y encourage !
Des dérives constatées renforcent la défiance des citoyens dans des technologies souvent invisibles. Des conseils extra-municipaux de surveillance des politiques publiques numériques et des marchés publics qui y sont associés sont expérimentés : c’est une voie possible pour prendre le temps du choix des politiques publiques numériques dédiées avant tout à l’intérêt général.
Une volonté que les candidats aux prochaines élections auraient intérêt à affirmer dans leurs projets, pour afficher leur pleine conscience de la gravité des enjeux.