Le concept des smart cities se base sur l’interconnexion des objets afin que les données des citoyens ainsi collectées améliorent la vie de la cité. Les utilisations possibles de celles-ci sont innombrables, pour le meilleur comme pour le pire. Et c’est pour prévenir le pire que des règlementations nationales et européennes de plus en plus audacieuses sont élaborées. C’est à l’accumulation frénétique du big data que s’attaque aujourd’hui l’Union Européenne : le désormais connu Règlement Général sur la Protection des Données (RGPD) entrera en application le 25 mai 2018. Cependant, un autre règlement européen, beaucoup plus discret, entrera également en application à la même date : ePrivacy.

ePrivacy, kesako ?

Pierre Loir, consultant en Protection des données personnelles chez DPO Consulting

Cette nouvelle règlementation est en cours d’élaboration et remplacera la directive ePrivacy 2002/58 du 12 juillet 2002, encore en vigueur aujourd’hui. L’ancienne directive laisse beaucoup de domaines dans l’incertitude tels les systèmes de communication "Over the top" (messenger, whatsapp, telegram…), certaines utilisations des traceurs de navigation web (cookies, pixels, fingerprinting…), les objets connectés, etc. Elle subit également le défaut normatif des directives qui laissent une large marge de manœuvre aux Etats membres pour adapter leurs législations. À l’inverse, les règlements européens sont stricts et d’applications directes au sein des pays. Il était donc urgent pour l’Union Européenne d’imposer un nouveau cadre, pour prévenir les potentielles conséquences délétères liées à la croissance exponentielle des utilisations du big data.
Le projet de règlement prévoit que les règles de protection s’appliquant aux communications électroniques devront être similaires à celles des communications entre machines (ce qui fait sens à l’heure de l’intelligence artificielle et du "machine learning"). Il dispose également que la notion de donnée de communication électronique devra être définie de façon à englober « toute information concernant le contenu transmis », incluant ainsi les métadonnées (informations périphériques telles que, dans le cadre des communications téléphoniques : la durée d’un appel, le lieu, la date, l’heure, la durée, la localisation…). De plus, le dépôt de témoins de connexions (cookies, pixels espions, fingerprinting…) nécessitera impérativement tous les 6 mois un consentement de l’utilisateur à la collecte et à la manipulation de ses données personnelles (adresses IP pour les ordinateurs, IDFA pour les mobiles, email…).
Toutes ces nouvelles règles ont vocation à protéger la vie privée des citoyens et des consommateurs, et révolutionneront la manière dont fonctionnent le web, les objets connectés, et certaines pratiques de la ville intelligente. Cependant, de lourdes problématiques restent à envisager.

Flop ou révolution pour les smart cities ?

En clair, ePrivacy limitera drastiquement les outils de tracking (suivi) et de profiling (profilage) numérique des consommateurs. Il limitera les méthodes et les emplois peu encadrés aujourd’hui. Cependant, l’article 89 du RGPD, comme l’article 7 de la Loi Informatique et Libertés offrent aux établissements et collectivités publiques la permission de collecter les données dans le cadre d’une mission de service public (LIL) ou d’intérêt public (RGPD), et ce sans consentement préalable.
Mais quid en cas de partenariat public-privé ? Lorsque les données collectées par des caméras intégrées aux panneaux publicitaires offrent la possibilité d’analyser la fréquentation d’une avenue pour optimiser sa fluidité mais dans le même temps étudient l’impact marketing du message véhiculé par une marque de sous-vêtements, doit-on appliquer les obligations du futur ePrivacy (restrictives) ou celles du RGPD et de la LIL (permissives) ? ePrivacy est-il dénaturé avant de naitre, où va-t-il modifier durablement les méthodes de collectes des données de la smart city ? Ce projet de règlement a la lourde tâche de sanctionner les abus sans pénaliser les bénéfices potentiels en matière d’intérêt public. Ce numéro d’équilibriste explique probablement la raison pour laquelle il n’est pas encore prêt, à moins de 7 mois de son entrée en application.