Big data … et protection des données personnelles

La gestion des données est très certainement une composante clé de la réussite des territoires intelligents, mais la prudence est de mise. Un petit tour d’horizon de cette question sensible.

En analysant et utilisant davantage les données en leur possession, les gestionnaires vont faire des économies et rendre nos territoires plus sains, plus agréables et plus vivables.

Les élus et gestionnaires auront une meilleure connaissance des besoins des citoyens, des moyens disponibles, des services rendus par les prestataires privés et aussi de l’efficience de leurs services, le tout grâce à des indicateurs chiffrés et, si possible, en temps réel.

La gestion des données est donc l’outil indispensable pour arrêter de « naviguer à vue ».

Quelle stratégie pour ces données ?

Deux visions polarisent les démarches actuelles.

La première est la vision d’une ville peuplée de capteurs permettant de collecter toutes les données et de piloter l’ensemble des services urbains. Un monitoring continu des informations relatives à la sécurité civile, à la météo, au trafic, aux échanges commerciaux, au tourisme, à la mobilité, etc.communication_low

Dans ce schéma, la donnée devient une politique à part entière. Cependant, l’utilisation de technologies et de capteurs ne crée pas en soi une ville intelligente !

Pour que la gestion des données soit utile, il faut aussi parvenir à :

  • dépasser la logique de silo entre les différents services pour, au contraire, viser une démarche mutualisée et faciliter les complémentarités entre les offres publique et privée,
  • évaluer le potentiel des données existantes au regard des projets de la ville,
  • mettre à disposition de ceux (citoyens, entreprises, services publics, start-up) qui voudraient les exploiter pour créer de la valeur.

La deuxième vision est participative. Il s’agit de renforcer le lien avec les citoyens en s’adressant directement à eux et en mettant à leur disposition des données, des services et des applications leur permettant de s’impliquer dans la gestion quotidienne de la ville.

Fluicity est l’exemple même de cette démarche, mais d’autres existent.

Cependant, la Smart-City n’a pas à choisir l’une ou l’autre de ces visions mais doit plutôt les faire se croiser dans une approche où l’utilisation de données numériques est un outil au service de la collectivité et pas une fin en soi.

Par ailleurs, la confidentialité et la sécurité des données se présentent comme un obstacle important.

Règlementation (RGPD) et données personnelles

L’Europe a adopté en avril 2016 un nouveau règlement pour renforcer la protection des données. Ces dispositions seront applicables à partir du 25 mai 2018. L’entrée en vigueur est automatique, c’est-à-dire sans qu’une transposition soit nécessaire en droit belge, même si certaines zones floues existent encore actuellement.justice_low

Qu’est-ce qu’une « donnée personnelle » ?

« Toute information relative à une personne identifiée ou identifiable ».

Exemple : nom, adresse, téléphone, croyance religieuse, statut civil, casier judiciaire, empreinte digitale, salaire, orientations sexuelle, informations génétiques, informations médicales, informations financières, domiciliation, etc.

Pour les pouvoirs locaux, les domaines sont vastes : données à caractère fiscal ou issues du registre national, listes électorales, données issues du développement économique local ou encore tout simplement relatives au personnel employé.

Mais il peut également s’agir, par exemple, dans le cadre du développement d’une nouvelle application impliquant la participation citoyenne ou un partenariat avec un acteur privé, de consommations énergétiques, adresse IP, données de géolocalisation, numéro de téléphone, plaque d’immatriculation ou encore type de véhicule.

Et il ne faut pas perdre de vue qu’une donnée subjective concernant une personne reste une donnée personnelle.

Que prévoit le règlement européen RGPD ?

  1. Principe de responsabilité

Le règlement s’articule sur une logique de responsabilisation des acteurs, contrairement au système précédent qui se basait sur une logique de contrôle, ce qui implique que la conformité au RGPD doit être permanente !

Il appartient aux acteurs concernés d’adopter et d’adapter des mesures organisationnelles pour démontrer à tout instant qu’un niveau optimal de protection est assuré.

2. Principe de consentement

Le règlement s’applique dès qu’il y a collecte d’information. Une donnée personnelle ne peut en effet être collectée qu’avec le consentement de celui à qui elle appartient et reste la propriété de celui qui la communique.

On parle dorénavant, c’est une évolution, de consentement « libre, spécifique, éclairé et univoque ». Le règlement européen requiert que la personne indique son accord explicite par une déclaration ou un acte positif clair. S’il y a un doute sur le fait que le consentement a été donné, les circonstances sont interprétées contre le responsable du traitement.

Si le consentement est ancien et n’a pas été explicitement donné, la tendance va vers la sollicitation d’un nouveau consentement.

3. Droits des personnes renforcés

  • information et accès aux données à caractère personnel
  • rectification et suppression des données (droit à l’oubli)
  • objection à l’encontre de pratiques de marketing direct
  • objection à l’encontre de prises de décision automatisées et de profilage
  • portabilité des données

Que faire pour respecter ces nouvelles mesures ?

  •  Tenir un registre ou un inventaire des données à caractère personnel conservées et traitées (types de données, origine, éventuels sous-traitants, acteurs avec lesquels les données ont été partagées en interne et à l’externe, lieu de stockage de l’information, durée de conservation, inventaire des mesures de sécurité)
  • Évaluer les risques et réévaluer les processus internes (vérifier que seules les données nécessaires sont collectées/conservées, vérifier la base juridique sur laquelle repose la collecte, vérifier les relations avec les sous-traitants, etc)
  • Tenir une documentation de la conformité
  • Désigner un DPO (délégué à la protection des données)

Modèle de registre proposé par la commission de la vie privée.

La propriété des données

Cette question est cruciale. L’enjeu pour les villes et les entreprises partenaires sera de définir clairement qui les collecte, les possède et a le droit de les exploiter. La réflexion devra avoir lieu avant la contractualisation pour éviter tout écueil. Il faudra aussi conserver une vue sur l’évolution des fichiers durant l’exécution du projet ou de la mission.

Protection et détention des données, responsabilité, propriété …

Les gestionnaires communaux devront maîtriser un certain nombre de complexités réglementaires étant donné l’importance croissante de projets impliquant la collecte de données. En outre, considérant la collecte quasi permanente du fait des multiples capteurs, le consentement du citoyen sera difficile à recueillir.

Il est plausible que de nouvelles règlementations émargent en complément du nouveau règlement européen, comme ce fut par exemple le cas dès 2007 avec l’élaboration de de la loi « caméras ».

Pour aller plus loin :

UVCW

FEB 

Commission de la vie privée

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s