Smart privacy dans la smart city

Peu d’auteurs se sont spécifiquement attaqués au respect de la vie privée et des libertés dans la smart city, celles-ci étant même souvent mises de côté au nom de la personnalisation des services, de l’optimisation des flux et de la sécurité des citoyens. C’est pourquoi cette contribution de Rob Kitchin est particulièrement intéressante. Déjà auteur de nombreux articles et ouvrages sur les smart cities, data, open data… il dresse un panorama des risques et des pistes de solutions à apporter pour tendre vers des villes respectueuses des individus, et sûres du point de vue de la sécurité des données.

La multiplicité des services implantés dans la ville numérique soulève une série de questions quant à la collecte et à l’usage des données des individus ainsi qu’à la sécurité des systèmes. C’est à partir de ce constat que Rob Kitchin construit son article. Tout d’abord, beaucoup de technologies de la smart city captent des données personnelles de citoyens (caractéristiques, localisation, déplacements, activités...), leur croisement rend possible la création de profils de ses habitants, voire même la prise de décisions les concernant. Ensuite, s’agissant de la sécurité, si les villes n’ont pour le moment que peu été sujettes à des attaques, le risque n’en reste pas moins présent et doit être pris en compte. En partisan convaincu de la smart city, Rob Kitchin propose d’adopter une approche éthique et une série de recommandations pragmatiques afin de permettre le développement de projets pour « servir les intérêts des citoyens »  sans porter atteinte à leur vie privée.

 
Enjeux « privacy » de la smart city

Dans une première partie consacrée au constat, Rob Kitchin expose une série de six enjeux relatifs à la vie privée dans les smart city :

• Intensification de la datafication : les technologies mises en œuvre captent des données personnelles dont le volume, la gamme et la granularité sont toujours plus élevés, des données qui approchent l’exhaustivité, qui circulent d’une plateforme à l’autre, d’un service à l’autre, et dont la collecte est potentiellement continue.
• Inférence et aux modèles prédictifs : les modèles prédictifs peuvent parfois être utilisés pour inférer l’appartenance à des groupes sociaux, des opinions politiques ou religieuses. Kitchin cite l’exemple des réseaux sociaux qui permettent déjà l’inférence de l’orientation sexuelle d’une personne, dès lors que l’on connait l’orientation de 20% des membres de son réseau (Mislove et al. – 2010) ; il est également possible d’inférer ce type d’information à partir de la géolocalisation, par exemple si la personne est régulièrement localisée à proximité d’un bar gay. La publicité ciblée peut engendrer un outing de la personne voire dans certains pays, peut la mettre en danger. D’autre part, ces inférences peuvent  tout simplement se révéler fausses, et avoir donc des conséquences pour les individus, dans l’exemple cité ci-dessus ou encore dans le cas des algorithmes prédictifs du crime.
• Ré-identification : les données pseudonymisées permettent encore l’identification des personnes. L’auteur souligne à juste titre que le terme « anonymisé » souvent utilisé par les entreprises tient de l’oxymore dès lors que celles-ci ne recourent en réalité qu’à la pseudonymisation. Or après anonymisation, il ne doit plus être possible d’identifier la personne.
• Obfuscation et perte du contrôle sur les données : le grand nombre de systèmes, de dispositifs et d’acteurs privés ou publics opérant dans la ville, ainsi que les multiples transferts de données entre chacun d’eux, rend le consentement, le contrôle et la sécurité des données très complexes, dans un système d’autant plus opaque que la collecte des données est le plus souvent automatisée.
• Réutilisation pour des usages et des finalités non souhaités : ces données peuvent être notamment agrégées, pseudonymisées, puis revendues pour des usages tiers (à l’image des données de Strava Metro). Rob Kitchin note cependant que ces données peuvent également avoir un impact direct ou indirect sur la vie des personnes, notamment dans le cas des données vendues à des data brokers à des fins de profilage marketing, ou dans ou leur usage par des algorithmes (i.e : prédiction du crime), menant à une forme de « data déterminisme », ou selon les termes d’Antoinette Rouvroy, de gouvernementalité algorithmique.
• Absence d’information et de consentement : ces deux notions, pierres angulaires de la protection des données personnelles, sont particulièrement affaiblies dans les technologies de la smart city. Le volume et la diversité des données collectées rend très compliqué le contrôle de leurs données par les individus, même pour les plus proactifs : lire et comprendre les conditions générales d’utilisation de chacun des services serait trop compliqué et chronophage.

Sur ce dernier point soulevé par Rob Kitchin, s’ils constituent l’un des enjeux de la numérisation des villes, le respect du droit à l’information des personnes concernées et ainsi que l’obtention  du   consentement (sauf si l’existence d’un autre fondement légal justifie le traitement) restent des obligations juridiques dès lors qu’il y a traitement de données personnelles. L’enjeu pour les porteurs de projet réside dans leur capacité à mettre en œuvre des services respectueux des droits des personnes, quelle que soit la complexité des systèmes. D’où l’intérêt pour les porteurs de projets d’effectuer une analyse d’impact (Privacy Impact Assessment), dès lors que la mise en œuvre du service engendre un risque élevé pour les droits et les libertés des personnes physiques (article 27 du RGDP).

Pistes et recommandations

Pour répondre à ces enjeux, Rob Kitchin propose une série de recommandations pour répondre aux risques pesant sur la vie privée et permettre ainsi un développement harmonieux de la smart city. Selon lui, le débat se situe à deux niveaux : d’abord sur les questions éthiques et politiques induites par la surveillance de masse permise par les technologies de la smart city, ensuite par la manière dont il serait possible d’implémenter des solutions respectueuses de la vie privée.

Le débat sur la surveillance se focalise en général sur deux types d’arbitrages :

• Entre vie privée et sécurité nationale : soit les citoyens sont traités comme des menaces potentielles, soit la vie privée est vue comme un élément à préserver pour les sociétés démocratiques.
• Entre vie privée et développement économique : pour les uns, la préservation de la vie privée empêcherait l’innovation et le développement économique, pour les autres il serait possible de créer des nouveaux produits sans profilage et tracking des individus.

Dans ces débats binaires, la vie privée serait toujours l’ennemi à combattre. Mais il serait toutefois possible, en combinant plusieurs types d’approches, de développer des solutions qui respectent les individus, sécurisent les données, et apportent de nouveaux services :

• Solutions du marché : les acteurs du marché pourraient s’auto-réguler, de peur de perdre des parts de marché. Cette solution semble peu probable selon Rob Kitchin, dès lors qu’elle n’est pas encouragée par des mécanismes de gouvernance et de régulation. Le respect de la vie privée pourrait par contre devenir un avantage compétitif pour des entreprises qui chercheraient à se démarquer des acteurs traditionnels.
• Solutions technologiques : diffuser des bonnes pratiques auprès des développeurs de services (PET - Privacy Enhancement Technologies), qui permettent aux usagers de prendre en main leur protection. En effet, peu de solutions existent actuellement pour les services de la smart city.
• Solutions politiques et réglementaires : Rob Kitchin liste une série d’initiatives qu’il considère adaptées, comme le privacy by design (promu par le Règlement européen), le security by design, les programmes d’éducation et de formation adressés à l’ensemble de la population ainsi qu’aux acteurs de la ville.
• Solutions de gouvernance et management : la ville intelligente devrait adopter des solutions de gouvernance adaptées, composées notamment d’un conseil consultatif chargé de tracer les grandes lignes stratégiques de la ville, à l’image du Privacy Advisory Committee de Seattle , d’un comité de gouvernance, d’éthique et de sécurité, plus opérationnel, chargé de suivre chacun des projets et de s’assurer de leur respect de la vie privée, et enfin, d’une équipe spécifiquement chargée de la sécurité, afin de parer les potentielles vulnérabilités ou cyberattaques et incluant notamment  une équipe informatique d’intervention d’urgence  (City Computer Emergency Response Team – CERT), en mesure de répondre aux incidents. Chacune de ces équipes devrait travailler en complémentarité.

Sur ce dernier point, on pourrait ainsi préciser certaines missions qu’occuperont les délégués à la protection des données – DPO, data protection officer - (rendu obligatoire par le règlement européen pour les collectivités), relatives à l’accompagnement des processus de numérisation des services urbains, par les collectivités ou par des tiers du secteur privé, qui selon les recommandations du G29, devront également désigner un DPO dès lors qu’ils exerceront une délégation de service public.

Si elles  ne révolutionnent pas la manière dont il faut aborder la protection de la vie privée dans la ville numérique, Rob Kitchin dresse un panorama pertinent des constats, enjeux et propositions liés à l’espace urbain, une contribution à retenir dans le cadre des travaux de préparation au prochain Cahier IP consacré à la place du citoyen dans la ville connecté.