Capteurs, caméras, téléphones mobiles : avec la data qu'ils engrangent, ces outils sont aujourd'hui de véritables moyens d'améliorer la vie en ville. Quid de notre intimité ?

Les habitants d'Issy-les-Moulineaux peuvent consulter en temps réel la disponibilité de plus de 300 places de stationnement. C'est le projet So Mobility, qui collecte les informations des applications GPS et d’itinéraire, le tout couplé à des capteurs de présence installés par Colas, filiale du groupe Bouygues, permettant de vérifier la présence ou non de véhicules dans les parkings. À Barcelone, l'application Mobile ID permet aux citoyens de gérer toutes leurs démarches administratives grâce à leurs seuls téléphones mobiles. Solliciter un rendez-vous, demander un document officiel, ou encore consulter l'avancée des travaux d'une voirie de la commune catalane... Tout cela depuis une même interface.

VOIR AUSSI : Objets connectés, l'impossible sécurité ?

Voilà autant d'exemples de smart cites, ou villes intelligentes, en français. Derrière ce mot-valise, il faut entendre toute unité urbaine utilisant les nouvelles technologies pour améliorer le quotidien de ses administrés, fluidifier ses flux, réorganiser les services proposés... le tout grâce à une optimisation souvent permise par la collecte de données.

Le nombre de smart cities explose sous l'influence d'investisseurs pressés d'obtenir des marchés publics

À l'heure du tout-intelligent, un tel progrès est globalement salué. Mais avant de placer ces améliorations locales sur l'autel de l'innovation, il est important de songer à ce qu'elles peuvent nous coûter en matière de données personnelles. Surtout à l'heure où le nombre de smart cities explose sous l'influence d'investisseurs pressés d'obtenir des marchés publics et des pouvoirs publics heureux de brandir le mot "futur" dans leurs plaquettes de com'.

Surveillance généralisée

La rentabilité d'un marché est-elle compatible avec la protection de la vie privée ? Quand à Saragosse, en Espagne, la mairie lance un pass individuel permettant de prendre les transports en commun, d'aller voir une exposition dans un musée, de payer le stationnement de sa voiture et de se connecter au WiFi de la ville, il est évident que la vie se trouve simplifiée. Mais est-il rassurant de savoir que des sous-traitants disposent, recueillis au même endroit, des données relatives aux activités qui plaisent à un citoyen donné et de ses déplacements ? D'autant plus que les services d'une smart city sont rarement soumis aux choix des habitants : que deviennent ces informations, peuvent-elles être revendues, risquent-elles d'être un jour hackées ? Autant de questions qui sont, dans le meilleur des cas, sans réponse claire, dans le pire, complètement ignorées des principaux concernés.

Ainsi, de plus en plus de villes européennes choisissent d’ailleurs de nommer un chargé de la technologie. Pendant ce temps-là, des partenariats public-privé se nouent, comme à Barcelone et Amsterdam, véritablement transformés par une modernisation de leurs services.

Vide juridique

"Plus grande est notre dépendance à l’égard de l’infrastructure numérique, plus grande est notre vulnérabilité", rappelait la ministre pakistanaise des TIC Anusha Rahman, sur la scène du Smart City Congress de Barcelone, en 2015 déjà. Elle faisait allusion au système de surveillance biométrique indien Aaadhaar qui réunit toutes les données personnelles des citoyens.

Comment régler l’équation entre services innovants et vie privée ?

Le problème est celui de l’absence de règles entourant l’exploitation des données. À New York par exemple, un WiFi gratuit est proposé par LinkNYC, mais celui-ci est financé par la vente des données des utilisateurs s’y connectant. Alors, comment régler l’équation entre services innovants et vie privée ? À quel moment la géolocalisation risque-t-elle de se transformer en surveillance ?

VOIR AUSSI : La CNIL rappelle l'urgence de nommer des délégués à la protection des données

Car à partir du moment où il y a ciblage individuel, il y a aussi traçage des citoyens. À ce propos, le règlement européen du 27 avril 2016 relatif à la protection des données à caractère personnel apporte une première réponse : il prévoit la désignation obligatoire d’un délégué à la protection des données personnelles (DPO) au sein de chaque organisme public. "Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque (…) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle", précise le texte.

Une culture de la cybersécurité encore balbutiante

Problème : en l’état, la plupart des villes ne maîtrisent pas les enjeux de cybersécurité. Car s’engager à ne pas revendre des données est une chose, savoir les protéger de tout hack en est une autre. Le risque cyber "se définit par la rencontre entre les vulnérabilités d’un système d’information, les menaces générées par un ou des agents malveillants et les impacts potentiels" indique Yves Verhoeven, sous-directeur des relations extérieures et coordination à l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Même lorsque les systèmes d’information sont distincts, ils demeurent interconnectés. La multiplication des objets connectés augmentent fatalement les menaces. 

Pour sensibiliser les collectivités, qui n’ont pas toujours les moyens financiers ni la culture de la protection des données, l’ANSSI a déployé des agents sur le terrain. De son côté, la CNIL aide les communes de plus de 3 500 habitants à anonymiser la data, projet qui deviendra obligatoire en 2018 dans le cadre des démarches Open Data. En attendant la mise en œuvre d’une véritable gouvernance de la cybersécurité.

Quelque chose à ajouter ? Dites-le en commentaire.