Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105

menacés, pour des raisons logiques. Le
respect du droit au consentement préalable,
des droits d'accès et de rectification, ainsi que
du droit d'opposition à la poursuite du traitement s'avère peu compatible avec les objectifs des Smart Cities, qui exigent une rapidité
d'exécution et de croisement des données.
Cela est d'autant plus vrai au regard des
multiples traitements secondaires, parfois
non prévus à l'origine, qui s'ajouteront à ceux
effectués directement auprès des personnes,
et qui auront parfois pour effet de les réidentifier. Cela justifierait pourtant d'obtenir un
nouveau consentement, avec le risque que
les responsables invoquent un intérêt légitime
leur permettant de passer outre. Ces mêmes
difficultés se posent au niveau du respect des
obligations qui sont mises à leur charge. Tel
est le cas de l'information préalable qui doit
être communiquée aux personnes dont les
données sont collectées, y compris de façon
indirecte, en leur indiquant notamment les
types de données utilisées, les finalités poursuivies, ou encore l'identité des responsables
de traitements. La multitude de capteurs qui
pourront être déployés, la multiplication et
la mutualisation des traitements a posteriori, pour des nouvelles finalités, rendent bien
illusoire cette information dès le stade de la
première collecte. Du moins, elle nécessiterait des efforts disproportionnés à ce stade,
ce qui permettrait d'en exonérer les responsables selon la loi. Cela interroge également
sur le respect du principe de proportionnalité, ou de « minimisation », selon lequel les
collectes doivent être limitées aux seules
données qui sont nécessaires aux finalités
prévues. En admettant que ce principe soit
respecté au premier niveau, les croisements
ultérieurs dont elles peuvent faire l'objet pour
de nouvelles finalités Cette considération
intéresse aussi la durée de conservation des
données, qui doit normalement être limitée.
Or l'intérêt que présentent les usages secondaires explique qu'elles puissent être enregistrées pour des durées dépassant celle
du premier traitement. Encore une fois, ces
risques avaient déjà été identifiés au niveau
des objets connectés20. Enfin, le recours à
des systèmes de Cloud Computing interroge
aussi sur les garanties à mettre en œuvre
lorsque les données seront stockées hors d'un
Etat de l'Union européenne.
De façon plus générale, la sécurisation des
fichiers est également mise en cause. Les
risques d'atteintes sont d'autant plus élevés
en raison de leur interconnexion. Une seule
intrusion malveillante, à un point du réseau,

suffirait pour accéder à l'intégralité de celuici, ou du moins avoir des répercussions à
grande échelle. Un simple bug informatique,
altérant les données traitées, pourrait aussi
impacter tous les autres traitements, et fausser finalement l'ensemble des analyses qui
en sont tirées. La vulnérabilité des objets
connectés contre les attaques informatiques,
et les risques qu'ils génèrent à l'égard de la
vie privée, ont déjà pu être dénoncés21. Ils
prennent désormais de nouvelles proportions à l'échelle des Smart Cities. Enfin,
cette vulnérabilité peut aussi être relevée
au niveau de leur consommation énergétique. Une panne d'électricité, même localisée, pourrait stopper le fonctionnement d'un
certain nombre de capteurs (et avec eux
de traitements). Au-delà de l'intégrité des
données et du respect de la vie privée, c'est la
sécurité physique des personnes qui pourrait
ainsi être mise en cause. Tel serait le cas, par
exemple, avec la défaillance ou le piratage
d'un système de traitement des données de
circulation routière, dont les automobilistes
seraient dépendants. Derrière les prouesses
techniques, on ne doit pas oublier que les
services que rendront les Smart Cities intéressent des personnes et des situations bien
réelles. Leur avenir ne sera viable qu'au prix
de garanties protectrices des prérogatives et
droits extrapatrimoniaux dont les citoyens
disposent sur leurs données. Une « Smart
Privacy »22 est à construire...

LA NÉCESSITÉ DE PENSER
UNE « SMART PRIVACY »
POUR LES SMART CITIES
Le règlement européen du 27 avril 2016
sur la protection des données personnelles
prévoit de nouvelles obligations à l'égard
des responsables de traitements qui
seraient particulièrement adaptées pour
le développement des Smart Cities. Tel est
le cas des principes dits de « Privacy by
Design » et « Privacy by Default » (A). D'autres
obligations peuvent s'avérer particulièrement pertinentes pour les smart cities (B).

Smart Cities, Privacy by Design et
Privacy by Default
Le renforcement des droits des personnes
sur leurs données ne fait pas disparaître
les limites auxquelles va se heurter leur
exercice dans les Smart Cities (1). La solution se doit d'être de même nature que le
problème : technique. C'est l'un des objectifs
qui peut être atteint avec les deux principes
précités (2).

EXPERTISES MARS 2017

Les limites aux droits des
personnes dans l'environnement
technique des Smart Cities
Les droits des personnes sur leurs données
sont certes renforcés et enrichis de nouvelles
prérogatives, telles que le droit à l'effacement
ou à la portabilité des données.
Si ces droits seront théoriquement opposables aux traitements mis en œuvre par
les Smart Cities, ils se heurtent néanmoins
aux mêmes difficultés techniques que celles
qui ont été précédemment relevées. Le texte
laisse d'ailleurs certaines latitudes aux
responsables de traitements à ce niveau.
Par exemple, si le consentement préalable
doit être donné d'une façon « éclairée et
univoque » (art. 4, § 11), et en respectant
certaines exigences en termes de présentation (art. 7), il n'est pas exclu qu'il puisse être
donné de façon implicite, et résulter d'un
simple « comportement » de la personne
(cons. n° 32)23. Le fait de ne pas avoir paramétré les capteurs et objets connectés, et donc
de les laisser échanger des informations
avec d'autres capteurs situés dans les lieux
publics, pourrait-il être considéré comme
manifestant le consentement de la personne
dans l'environnement d'une Smart City ?
De même, si le devoir d'information préalable a été précisé par le règlement, y
compris dans les cas où les données ne
sont pas collectées directement auprès des
personnes (art. 13 et 14), sa mise en œuvre
reste toujours aussi incertaine au vu des
potentialités que présentent les usages ultérieurs. En fait, la dilution des données dans la
masse des traitements mis en œuvre reste le
principal effet pervers à enrayer, car elle met
en cause l'objet même de ces droits. Aussi,
la solution devrait davantage se porter sur
le renforcement des obligations des responsables de traitements, à la fois sur le plan
juridique et technique.

La nécessaire mise en œuvre
d'une solution juridico-technique
dans l'environnement des Smart
Cities
C'est à ce niveau que le règlement présente
un apport significatif pour les Smart Cities,
en cherchant à responsabiliser davantage
les concepteurs quant au respect du droit
des données personnelles.
Tel est le cas avec les principes dits
de « protection des données dès la conception » (Privacy by Design) et de « protection des données par défaut » (Privacy
by Default), visés à l'article 25 du règlement. Selon le premier de ces principes,

105



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422

Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com