Smart city et protection des données : le rôle clé du DPO

Par Gérard HAAS et Amanda Dubarry

En 2050, on estime que deux tiers de la population mondiale vivra en ville. Cette augmentation des citadins posera des défis dans les domaines de l’environnement, de l’énergie, des transports ou encore de la sécurité.

Une telle transition nécessite une réorganisation et une optimisation des centres urbains.

Les smart cities (ou villes intelligentes) s’inscrivent dans ce contexte. Elles ont vocation à intégrer des technologies aux services publics traditionnels (transport, énergie, sécurité, etc.) afin d’améliorer la qualité de vie de ses habitants.

Les smart cities ne relèvent d’ailleurs plus de la fiction mais trouvent d’ores et déjà des applications très concrètes.   

A titre d’exemple, la ville de Lyon est pionnière en la matière en France. Elle utilise ainsi un outil de simulation prédictif du trafic permettant de communiquer une heure avant, l’état du trafic routier. Cette technologie a pour effet de fluidifier le trafic en permettant aux usagers d’anticiper leurs déplacements et de choisir leur mode de transport en conséquence.

Parmi d’autres mesures, Lyon participe au projet GreenLys qui organise une gestion intelligente du réseau d’électricité. Les consommateurs équipés du compteur Linky peuvent suivre leur consommation d’énergie en temps réel. Les données collectées par les fournisseurs leur permettent d’adapter leur production d’énergie en fonction des pics de demande.

L’essor des « villes intelligentes » n’est pas sans soulever des questions en termes de protection des données à caractère personnel.

Le risque de « ciblage » individuel des données collectées sur les habitants des villes équipées par ce type de technologie peut en effet inquiéter. On pense notamment aux techniques de géolocalisation susceptibles d’évoluer en surveillance des personnes.

Comment concilier protection des individus et développement des smarts cities ?

Sur ce point, le règlement européen du 27 avril 2016 relatif à la protection des données à caractère personnel apporte une première réponse : il prévoit la désignation obligatoire d’un délégué à la protection des données personnelles (DPO) au sein des organismes publics.

« Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque (…) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.»[1]

Ainsi, à l’exception des juridictions dans le cadre de l’exercice de leur fonction juridictionnelle, tout responsable de traitement appartenant au secteur public aura l’obligation de désigner un DPO.

La loi Informatique et libertés du 6 janvier 1978 avait déjà créé le statut de Correspondant Informatique et Libertés (CIL) dont la principale mission était d’assurer le respect des obligations prévues par la loi. La désignation d’un CIL était alors facultative et relevait du seul choix du responsable de traitement.

[dt_call_to_action style= »1″ background= »plain » content_size= »normal » text_align= »left » animation= »none » line= »true »]TOUT SAVOIR DU REGLEMENT EUROPEEN SUR LA PROTECTION DES DONNEES – Télécharger notre livre blanc[/dt_call_to_action]

Le règlement rend désormais la désignation d’un DPO obligatoire pour certains types de structure dont les organismes publics.

A l’instar du CIL, le DPO est garant de la conformité des traitements au règlement. Il a plusieurs missions dont notamment :

Le DPO se devra en plus de notifier et d’enregistrer les violations de données personnelles, ainsi que les analyses d’impact de ces violations.

Concrètement, les collectivités territoriales auront la possibilité de mutualiser leur DPO en fonction de leur structure et de leur taille. Ainsi, une personne pourra, par exemple, gérer le traitement des données personnelles s’opérant dans plusieurs communes de petites tailles.

Le règlement dispose en effet que « Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. »[2]

Les organismes publics devront désigner un DPO avant le 25 mai 2018, date d’entrée en application du règlement européen.

Ainsi, dans un contexte de développement des smart cities, le DPO apparaît comme un rempart efficace contre la possible intrusion des pouvoirs publics dans la sphère privée.

Pour tout renseignement complémentaire, n’hésitez pas à contacter le Cabinet HAAS avocats.

[1] Article 37.1 du RGPD

[2] Article 37.2 du RGPD

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com