Depuis quelques années maintenant la fusion entre la ville et les technologies du numérique semble se faire une place dans le paysage du XXIème siècle. Les villes intelligentes, ou "smart cities", sont des zones urbaines connectées qui intègrent des technologies de pointe pour améliorer la qualité de vie de leurs habitants, favoriser la durabilité environnementale, et accroître l'efficacité des services urbains. Ces initiatives visent à résoudre de nombreux défis urbains contemporains tels que la congestion routière, la pollution, la gestion de l'énergie, la sécurité, et bien plus encore. Cependant, le développement des smart cities soulève des problématiques juridiques complexes, notamment en matière de protection des données personnelles.

La définition de la “smart city” est encore aujourd’hui très conceptuelle et en mouvance. Dans un premier temps la “smart city” ou “ville intelligente” avait pour objectif d’irriguer la ville d’intelligence artificielle. Autrement dit, rendre la ville connectée grâce à divers processus issus de nouvelles technologies et au développement des outils numériques. L’objectif de la “smart city” est de permettre une régulation des infrastructures de la ville plus efficace, améliorer le confort et la transmission d’informations aux habitants.

Le périmètre de ce nouveau mode de gestion est large, et la CNIL à essayé d’en délimiter les contours en y incluant notamment les : “ infrastructures publiques (bâtiments, mobiliers urbains, domotique, etc.), réseaux (eau, électricité, gaz, télécoms) ; transports (transports publics, routes et voitures intelligentes, covoiturage, mobilités dites douces - à vélo, à pied, etc.) ; les e-services et e-administrations.” On trouve ainsi de parfaites illustrations de ce que pourrait être la “smart city” poussé à son paroxysme dans la culture populaire à travers de nombreux films de fiction, romans et jeux vidéo comme le titre à succès Watch Dogs® d’Ubisoft, plongeant le joueur dans la peau d’un hacker vivant dans un contexte globalisé de la “smart city”.


La smart city apparaît alors comme une ville ayant besoin de la collaboration active de ses habitants grâce la participation citoyenne pilotée par la gouvernance territoriale. Son objectif est plus global incluant les enjeux environnementaux et sociaux dans un cadre de densification numérique et technologique.

Il est ainsi pertinent de se demander : Comment le RGPD influence-t-il la manière dont les données personnelles sont collectées, utilisées et protégées dans le contexte des “smart city” ?

Cette seconde chronique s’inspire ou synthétise les propos de Adèle de Mesnard dans la revue des droits de l'homme n°21 et plus particulièrement la notion de consentement à la collecte de données.

Nous verrons d’abord que I) Le consentement du citoyen est en principe nécessaire, dans la collecte de données d’une smart-city, mais II) limité car pas systématiquement nécessaire au regard de la licéité du traitement.

I) Le consentement du citoyen dans la collecte de données d’une smart-city

Pour rappel, la Commission Nationale de l'Informatique et des Libertés (CNIL) a été créée en vertu de la loi Informatique et Libertés du 6 janvier 1978. Sa mission principale consiste à protéger les données personnelles stockées dans des systèmes informatiques ou sur support papier, qu'ils relèvent du secteur public ou privé, En outre, elle doit veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. S’agissant de la question des smart-city cette dernière s’interroge, à juste titre, sur les incertitudes et les possibles déviances liées aux smart-city et invite l’Etat à « produire de nouvelles formes de régulation de la donnée, dans le respect des individus et de leurs libertés».

En effet une smart-city emploient de nombreux capteurs, caméras, dispositifs IoT et d'autres technologies utilisés pour recueillir une multitude de données, de la circulation routière aux habitudes de consommation en passant par les comportements des citoyens, la collecte de données est omniprésente. Obtenir un consentement éclairé et explicite pour chaque type de collecte de données dans un environnement aussi complexe peut s'avérer difficile. Cependant le respect de ce principe est essentiel à défaut de mener à de potentielles dérives. A titre d’exemple, la Chine utilise dans plusieurs villes des caméras à reconnaissance faciale exposant sur un écran les photos et informations personnelles des piétons traversant lors d’un feu rouge.

Cependant en Union Européenne, le RGPD sert de garde-fou dans la protection des données personnelles afin d’empêcher les dérives. Alors comment concilier smart-city et RGPD ?

Rappelons que le RGPD “identifie clairement les risques liés à la captation et au traitement des données personnelles, en mettant l’accent sur la sécurité des données, et consacre le principe d’accountability des responsables de traitement des données personnelles.”

L’alinéa 1 de l’article 5 du RGPD énonce les grands principes que doivent respecter les traitements de données (traitement des données à caractère personnel de manière licite, loyale et transparente, une collecte à des fins déterminées, explicites et légitimes etc.)

L’alinéa 2 de l’article 5 du RGPD dispose quant à lui que « le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté ». Le responsable de traitement doit donc assumer la charge de la preuve.

La validité du consentement dans le contexte des projets de "Smart city" se heurte à plusieurs défis. L'article 7 du RGPD exige non seulement que "le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement," mais également que la demande de consentement doit être présentée "sous une forme qui la distingue clairement," "compréhensible et aisément accessible, formulée en des termes clairs et simples." Ces critères se révèlent difficiles à respecter compte tenu de la diversité et de la complexité des données collectées dans le contexte des villes intelligentes. De plus, il existe des préoccupations concernant la ré-identification des individus à partir de données agrégées, la réduction des individus à des données sans une compréhension claire des finalités, et l'opacité des traitements secondaires des données. En outre, la garantie du caractère éclairé du consentement est compliquée par l'incertitude quant à l'identification du responsable de traitement et des finalités spécifiques du traitement, ainsi que par la difficulté de tracer les données collectées pour permettre l'exercice des droits des personnes concernées, tels que le droit d'accès, le droit de rectification, le droit à l'effacement, le droit à la limitation du traitement, le droit d'opposition, et le droit à la portabilité, conformément à l'article 13 du RGPD.

Enfin, “le considérant n° 42 du RGPD vient préciser que le « consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Or, comment définir cette liberté de choix dès lors que l’ensemble du paysage urbain et des espaces publics sont verrouillés par des capteurs recueillant continuellement des données ?”

II) Un consentement pas systématiquement nécessaire au regard de la licéité du traitement

Cependant, aujourd’hui ces principes de consentement systématique sont beaucoup plus limités puisque, “hors les cas pour lesquels le consentement doit être recueilli préalablement (notamment, en matière de « données sensibles ») énoncés à l’article 9 du RGDP, cet article 6 instaure un double régime de traitement des données personnelles : un traitement avec consentement et un traitement sans consentement.”

L’article introduit une nouvelle règle selon laquelle le consentement explicite n'est plus la seule base légale pour le traitement des données personnelles dès lors qu’une des conditions citée par l’article est respectée, tels que : (liste non exhaustive)

- “Le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;”

La notion d'intérêt public utilisée dans le RGPD, qui diffère de la notion d'intérêt général du droit public, suscite des interrogations. Elle reste floue car le texte ne fournit pas de définition précise de ce qui constitue une mission d'intérêt public. La CNIL donne quelques exemples, en précisant que cette base légale concerne principalement les traitements effectués par les autorités publiques et peut s'appliquer notamment aux traitements liés aux usagers de ces autorités. Cependant, cette ambiguïté peut rendre la compréhension et l'application de cette notion complexe.

- “Le traitement est nécessaire pour la poursuite d’intérêts légitimes par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.”

NB “Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.”

En outre, “bien qu’il soit expressément indiqué par la CNIL que l’intérêt légitime ne peut être avancé, sauf cas particuliers par les autorités publiques dans l’exécution de leurs missions, se pose, néanmoins, la question de sa définition.” Le RGPD mentionne que les autorités publiques peuvent invoquer l'intérêt légitime dans des cas particuliers pour l'exécution de leurs missions, il subsiste une incertitude quant à sa définition. La CNIL, dans sa documentation sur l'intérêt légitime, ne fournit pas de définition claire, se contentant de proposer une méthodologie pour l'évaluer. De même, le RGPD lui-même ne donne qu'un exemple vague de ce qu'un intérêt légitime pourrait être, comme dans le cas où la personne concernée est un client du responsable du traitement. Il revient au responsable de traitement de justifier lui-même l'existence de cet intérêt légitime, en prenant en compte les attentes raisonnables des personnes concernées. Cette situation soulève des questions complexes, notamment dans le contexte de la smart city, où la définition de ce qui constitue un intérêt légitime peut varier selon les acteurs impliqués, publics et privés, et les objectifs du projet. La question de savoir ce à quoi les citoyens peuvent raisonnablement s'attendre dans ce contexte demeure ouverte, et il peut être problématique de laisser au responsable de traitement la décision de ce qui constitue un intérêt légitime. Cela soulève des questions complexes puisque les acteurs publics et privés peuvent avoir des objectifs divergents, et la définition de ce qui constitue un intérêt légitime demeure floue particulièrement dans le cadre du développement de la smart-city.