Avec l'entrée en vigueur du RGPD, la protection des données personnelles devient un enjeu majeur pour les acteurs de la ville, publics comme privés. Flickr - CC - Frédéric Bisson
Avec l’entrée en vigueur du RGPD en mai 2018, la protection des données devient un enjeu pour les bailleurs sociaux, affirme Polylogis à l’occasion d’une conférence organisée le 29 novembre avec la Cnil sur le thème "Des données personnelles au cœur de la fabrique de la smart city".
"Nous n’avions pas mesuré les uns et les autres les bouleversements que le RGPD allait engendrer car nous ne réalisions pas que nous avions accès à un grand nombre de données personnelles", reconnaît Daniel Biard, président du comité exécutif du groupe Polylogis.
"Une démarche lourde" pour Polylogis
Si le règlement européen s’inscrit dans le prolongement de la loi informatique et libertés de 1978, il implique cependant des changements, par exemple avec l’ajout du critère de ciblage signifiant que le RGPD s’applique chaque fois qu’un résident européen est directement visé par un traitement de données.
Par ailleurs, en vertu du principe de responsabilité posé par le texte, il revient aux organisations de mettre en place la stratégie de gestion de leurs propres données. En cas de non-application, les amendes sont renforcées puisqu’elles peuvent s’élever, selon la catégorie de l’infraction, de 10 à 20 millions d’euros, ou, dans le cas d’une entreprise, de 2 % à 4 % du chiffre d’affaires annuel mondial, tandis que la Cnil n’appliquait jusqu’alors que des sanctions allant jusqu’à 300 000 euros.
Enfin, le nouveau droit à la portabilité des données permet à une personne de récupérer les informations qu’elle a fournies sous une forme aisément réutilisable. "Avec le RGPD, il est admis que la donnée est constitutive de la personne, elle n’est pas uniquement un élément commercial", souligne Régis Chatellier, chargé d’études prospectives à la Cnil.
Nomination d'un délégué à la protection des données
"Polylogis met progressivement en place cette réglementation, c’est une démarche assez lourde", souligne Daniel Biard. Pour être épaulé, le bailleur social a missionné un cabinet d’audit afin qu’il établisse un plan de marche. "Notre but est de protéger les collaborateurs, les locataires, les clients à l’accession à la propriété, ainsi que les collectivités avec lesquelles nous avons des échanges", poursuit-il.
Le groupe a également nommé un délégué à la protection des données et travaille au développement du numérique dans ses services. "Nous allons lancer une application mobile au service de nos gardiens d’immeuble", cite-t-il en exemple. Malgré les avantages tirés de la collecte et du traitement des données, Polylogis s’interroge sur cette structuration de la ville par la data, notamment au regard de la protection des libertés publiques et individuelles.
"Données contre service"
Une inquiétude partagée par d’autres acteurs au vu de l’augmentation du nombre de plaintes déposées à la Cnil. Fin novembre, celle-ci annonçait en effet avoir reçu 9 700 plaintes depuis le début de l’année, soit 34 % de plus que l’an dernier à la même époque, dont 6 000 ont été déposées après l’entrée en vigueur du RGPD.
"Depuis 3 ans, les Gafam s’intéressent au marché de la ville et le modèle "données contre service" investit le champ urbain", explique Régis Chatellier. "Ces acteurs fournissent des services gratuits clés en main, le plus souvent basés sur une collecte massive de données personnelles", précise le chargé d’études de la Cnil.
"Les collectivités elles-mêmes utilisent des services comme Facebook, souvent très efficaces pour communiquer, mais lorsque l’acteur public utilise une plateforme qui ne lui appartient pas, il peut par exemple en être éjecté à tout moment ce qui pose question. De la même façon, les acteurs du numérique produisent du service dans la ville avec un impact massif sur les habitants, sans pour autant qu’il y ait de relation contractuelle avec la collectivité", remarque-t-il encore.
Plan de bataille
Dès lors, se pose la question du rapport de force entre acteurs publics et acteurs privés pourvoyeurs de services reposant sur des données personnelles. D’autant plus que ces services contrecarrent parfois les politiques publiques. L’un des cas les plus connus des collectivités est celui de l’application de navigation GPS Waze qui complique parfois la gestion des flux dans la ville.
En Seine-et-Marne, Waze propose par exemple à ses utilisateurs de quitter la Francilienne au niveau de la commune de Lieusaint, puis de traverser les petites rues du centre-ville, entraînant des milliers de passages quotidiens, de nouveaux bouchons, une pollution atmosphérique ou encore des trajets moins sûrs pour les écoliers.
Lassé, le maire a mis en place un plan de bataille avec rues à sens unique et implantation de feux tricolores sur cet itinéraire bis afin d’en ralentir le trafic. Pour autant, les collectivités restent tentées par l’offre de ces acteurs du numérique, comme la plateforme gratuite Waze connected citizens qui met à disposition des données afin que tout un chacun puisse les utiliser.
Penser un cadre de confiance
Autre sujet d’intérêt pour la Cnil et Polylogis, dans la ville de demain, truffée de capteurs, l’anonymat devient un privilège et l’habitat est peut-être le dernier espace de vie privée.
"En réalité, tous les enjeux de l’espace public se posent aussi à l’échelle des bâtiments, la smart city posant la question de notre capacité à préserver notre domicile du regard inquisiteur du reste de la société", considère Régis Chatellier. "D’autant plus que pour gérer la ville, il peut être intéressant d’aller jusque dans les immeubles. Le centre névralgique de la collecte de données permettant de maîtriser la demande en énergie ou la production de déchets se situe en effet à l’intérieur des bâtiments commerciaux, des bureaux et des logements", poursuit-il, préconisant de "penser le cadre de confiance pour arriver aux mêmes finalités sans avoir recours à des procédés trop intrusifs".
Il en va ainsi pour les compteurs communicants Linky et Gazpar, par exemple. "Lorsqu’elle est analysée finement, une courbe de consommation permet potentiellement de connaître toutes les actions d’une personne", souligne Régis Chatellier.
Même enjeu pour la vidéosurveillance qui a tendance à se généraliser dans les espaces publics et les lieux de travail, ce dernier cas représentant d’ailleurs une part importante des plaintes déposées auprès de la Cnil.
Usure des lits
Pour les capteurs, des précédents ont montré combien les données collectées peuvent être sensibles. En septembre 2017, dans la résidence universitaire Maine 1 située à Rennes, une dizaine de lits avaient été équipés de capteurs électroniques afin d’analyser l’usure des lits et de planifier les travaux de maintenance. Mais confronté à la grogne de certains étudiants qui s’inquiétaient de l’anonymat des données et du respect de leur vie privée, le Crous avait mis fin au dispositif.
Face à ces nouvelles responsabilités pour les acteurs publics comme privés, notamment dans le logement, et au bouleversement que représente l’entrée des Gafam et autres sociétés du numérique sur le marché de la ville, le RGPD est un outil puissant, estime Régis Chatellier de la Cnil. "Il permet à l’Union européenne de parler d’une même voix juridique ce qui peut changer le rapport de force avec les acteurs du numérique puisqu’avec nos 500 millions d’habitants, nous représentons un marché important. Les entreprises vont devoir faire attention à respecter certaines exigences, c’est pourquoi nous observons un mouvement de standardisation vers le haut", salue-t-il.
