À l’occasion des Universités d’été de la Smart Building Alliance, les Smart Buildings for Smart Cities (SB4SC), je présente 4 points clés d’organisation juridique des données générées dans une Smart city.

  1. L’encadrement juridique des données personnelles est souhaitable car il participe à la protection de la vie privée et des libertés individuelles. Les règles fixées par la loi Informatique & Libertés de 1978, contrôlées par la CNIL, renforcées par le règlement général de protection des données (RGPD qui entre en vigueur en mai 2018) vise à prévenir les atteintes à la vie privée en fixant les principes généraux de collecte et de traitement des données personnelles: finalité légitime, pertinence et proportionnalité, durée limitée de conservation, sécurité et confidentialité, droit d’information, droit d’accès, droit de rectification, droit d’opposition pour motif légitime.
  2. La ville et les bâtiments produisent déjà des données et l’irruption des objets connectés à l’intérieur des bâtiments ne peux qu’accroître le volume des données produites. Pour autant, la Smart city va produire aussi des données propres qui lui sont attachées (ex: données des Smart Grids). La Commission juridique de la SBA travaille actuellement à la rédaction d’un guide de bonnes pratiques relatif à ces données là, ce qui suppose d’abord Den dresser une liste pertinente…
  3. Toutes les données produites ne sont pas des données « personnelles », c’est à dire celles qui sont protégées au plan juridique. Pour être personnelle, une donnée doit conduire soit directement soit indirectement à identifier une personne physique, si bien que la question de la maille de la donnée est centrale : l’agrégation des données de consommations énergétiques au sein d’un immeuble regroupant des consommateurs dont les comportements sont homogènes débouché ainsi sur une donnée anonymisée dont l’usage est libre.
  4. Le cadre juridique à respecter n’est en rien insurmontable et la mise en oeuvre de la collecte et du traitement suppose de s’assurer du respect des principes fixés par les textes et conduit, au pire (hors cas des données sensible), à une déclaration préalable à la CNIL.

Le cadre juridique est donc maîtrisable, même si par nature la règle de droit suit toujours les usages et n’a pas vocation à le précéder, si bien que face à des procédés nouveaux générant des données inédites, il ne faudra pas hésiter à interroger ce cadre et à trouver les mécanismes nécessaires pour assurer le respect des principes garantissant la protection de la vie privée.