La maîtrise des données urbaines, enjeu central de la smart city
Les collectivités engagées dans des projets de smart city placent la maîtrise des données – publiques comme privées, personnelles ou non – au cœur de leur projet. Si le RGPD et la loi Lemaire constituent des avancées, cela reste insuffisant. D'autres outils peuvent être mobilisées comme l'ont montré les intervenants à une table ronde organisée le 10 septembre à Nantes dans le cadre du salon de la Data.
De l'hyperviseur urbain à la gestion intelligente de l'eau ou des déchets en passant par les applications citoyennes de signalement, la data est au cœur des projets de smart city. Des données qu'il faut collecter, exploiter mais surtout protéger, la plupart des informations collectées entrant dans le champ du RGPD. Pour répondre à cet impératif, certaines collectivités mettent l'accent sur la souveraineté, voire la maîtrise des infrastructures physiques. En mai dernier, Paris a ainsi inauguré un datacenter municipal implanté dans le nord de la capitale. "Un moyen d'affirmer concrètement que la ville veille sur la sécurité des données des parisiens tout en évitant des dépenses liées à l'externalisation des serveurs", a expliqué Pierre Musseau conseiller en charge de ville intelligente à Paris. D'autres travaillent sur la réappropriation des données des services publics par les citoyens. C'est le concept de "self data" au cœur du projet Mesinfos qui associe Lyon, La Rochelle et Nantes Métropole. La démarche vise à impliquer des citoyens volontaires sur l'ensemble du cycle de la donnée urbaine : production, exploitation et partage.
Un accès aux données prévues dans les contrats
Beaucoup de services urbains - eau, déchets, énergies, mobilité… - sont cependant délégués à des entreprises privées. Or "les délégataires se sont longtemps réfugiés derrière le fait que les données leur appartenaient dans la mesure où ils étaient responsables de leur traitement au sens de la Cnil. Désormais, avec la loi Lemaire et le RGPD, il est possible de déclarer les délégataires en tant que sous-traitant de la collectivité pour garantir à celle-ci la pleine maîtrise des données gérées dans le cadre du contrat" explique l'avocate spécialisée Shéhérazade Aboud. Des clauses qui doivent être clairement indiquées dans les contrats comme c'est le cas dans celui signé par Dijon métropole pour son projet d'hyperviseur urbain On Dijon. Avec les contrats de DSP, les collectivités restent néanmoins dans le pré carré de l'action publique. Or les collectivités souhaiteraient aussi accéder aux données des nouveaux acteurs des services urbains que sont Uber, Amazon ou AirBnb. "Nous considérons qu'ils gèrent des données d'intérêt général indispensables au pilotage des politiques publiques. En accédant aux données d'Uber, la ville de New York a par exemple pu démontrer que les VTC contribuaient lourdement à la congestion de la ville" fait valoir Pierre Musseau.
Plus volontariste que la loi
Partager les données d'intérêt général du territoire, définir des principes communs dans l'usage et le traitement de ces données, telle est l'ambition des chartes métropolitaine de la donnée mises en œuvre à Nantes et Montréal. À la différence des chartes sectorielles existantes – comme à Paris ou Bordeaux sur les trottinettes électriques – l'originalité de ce document est d'être co-construite avec les acteurs locaux et de ne pas différencier les données publiques de celles traitées par des acteurs privés proposant des services sur l'espace public. Francky Trichet, adjoint à l’innovation et au numérique de Nantes a présenté la charte adoptée par la ville en juin dernier comme "un objet politique visant à instaurer une relation de confiance avec les citoyens". La charte affirme quatre engagements sur la souveraineté des données, leur protection, la transparence et l'innovation. Sur plusieurs points – propriété, hébergement, "sobriété", usage des algorithmes - elle propose des engagements allant au-delà de ce qu'impose la loi. En septembre, la charte avait été approuvée par une cinquantaine d'acteurs – grandes entreprises (Engie, EDF), entreprises et acteurs publics locaux – mais aucune des entreprises américaines qui sont pourtant au cœur des craintes des habitants sur leur données personnelles. Un document dont on peut aussi douter de la portée juridique même si, comme l'a souligné Shéhérazade Aboud, elle peut être annexée aux contrats publics pour la rendre opposable.
Google source d'inspiration
En attendant cette charte a le mérite d'amorcer la réflexion sur la gouvernance de la donnée urbaine et d'éviter que les règles ne soient imposées par d'autres, à commencer par les Gafa. À cet égard, l'expérience de Toronto et son projet de quartier intelligent est éclairante. Ce projet hors normes est en effet piloté (et financé) par Sidewalk Labs, une filiale d'Alphabet, autrement dit Google. Or, en l'absence de RGPD local, c'est Sidewalk Labs qui a été chargé d'établir les règles du jeu sur la protection, l'usage et les modalités d'accès à la data. "Face à la levée de bouclier des médias, associations et citoyens, Google a su mobiliser des experts de haut vol dont les recommandations méritent d'être lues", note le consultant Jacques Priol qui a pu rencontrer sur place les acteurs du projet. Certaines pistes proposées pour informer le citoyen se révèlent ainsi très intéressantes comme la possibilité pour l'usager d'exercer facilement ses droits (consentement, usages des données, durée de stockage…) en mobilité dans l'espace public quel que soit le type de capteur mobilisé (caméra vidéo, outil de comptage ou de détection…). Des idées dont le seul défaut est d'être portées par Google, les canadiens souhaitant que toutes les règles concernant leurs données soient édictées et contrôlées par un tiers de confiance. Ces recommandations peuvent cependant être réutilisées par les collectivités puisqu'elles ont été publiées en open source.