Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106

doctrine
le responsable du traitement doit prévoir,
dès la conception de celui-ci, des mesures
techniques et organisationnelles, « telles
que la pseudonymisation », qui garantissent
le respect des droits des personnes et des
autres obligations mises à sa charge. La
minimisation de la collecte est également
exigée au titre du second principe, dans la
continuité du principe de proportionnalité. In
fine, l'article 25 obligera à prendre en compte
la protection des données personnelles tout
au long du cycle de vie des technologies,
au stade même de la création, et non seulement à celui de la commercialisation24. Les
capteurs, objets connectés et leurs interfaces
de communication devront ainsi être conçus
en fonction de toutes les contraintes légales,
et notamment celles qui sont prévues par le
règlement. C'est ainsi, par exemple, que la
sécurisation des données (art. 32) et la limitation de leur durée de conservation (art. 5)
devront être garanties par des dispositifs
techniques, lesquels font d'ailleurs l'objet d'autres attentions dans le règlement.
Cette exigence se situe donc en amont des
traitements, et permettra certainement de
mieux les anticiper. La rencontre entre les
standards techniques et juridiques suppose
de sensibiliser davantage les concepteurs
et ingénieurs chargés de la création de
ces produits, y compris au stade de leur
formation. L'innovation est quand même de
taille dans le secteur, car on constate trop
souvent que ces objets ont été développés
par des techniciens peu au fait du droit qui
leur est applicable25. C'est une première
mission « civilisatrice » qui doit continuer
d'être menée, confortant une approche
globale des Smart Cities, à la fois technique,
économique et juridique.
Au-delà de ces aspects, qui intéressent les
responsables de traitements, la mise en
œuvre de l'article 25 doit se traduire par
la mise à disposition d'outils concrets au
profit des personnes, afin qu'elles puissent
prendre le contrôle de leurs données. C'est
à ce niveau que le renforcement des prérogatives individuelles prend tout son sens,
mais jette aussi un défi technique. S'il est
certain, sur la base du principe de Privacy
by Default, que les traitements effectués
devront s'efforcer d'être anonymes, et se
limiter à de simples informations brutes, les
risques de réidentification exigent quand
même que la personne soit dûment informée
de l'existence et de la teneur des traitements.
Mais comment garantir une parfaite information des usagers quant aux traitements

106

déployés à l'échelle des Smart Cities, ainsi
que l'exercice de leurs droits ? La multiplication des points d'accès à l'information par
des moyens clairs et simples (par exemple
à travers des QR codes implantés sur les
objets connectés) est bien sûr envisageable.
Il en serait de même avec des systèmes de
notifications ou d'alertes, qui se mettraient
en marche à chaque connexion et échange
entre capteurs. Toutefois, ces mécanismes
risqueraient d'avoir un effet extrêmement
fastidieux pour l'utilisateur, obligé de se
connecter de manière répétitive. Il serait
alors aisé de profiter de sa lassitude et de son
inertie pour passer outre. La solution idéale
serait de développer un système unique,
centralisant l'ensemble des informations
afférentes aux traitements mis en œuvre26.
Cela permettrait à l'utilisateur de paramétrer à l'avance ses préférences pour tous ses
objets connectés. Ceux-ci seraient dès lors
configurés de façon permanente, donc y
compris dans leurs interactions avec d'autres
capteurs et objets, qui peuvent être placés
dans des lieux publics. Le consentement de
la personne pourrait alors être clairement
exprimé, et conditionner la mise en œuvre
d'une pluralité de traitements. Au-delà, le
même système devra lui permettre d'exercer
son droit d'opposition, par exemple si elle ne
souhaite pas être « traquée » dans certains
lieux, ou certains déplacements. Elle exercerait alors un véritable droit au « silence des
puces » lui permettant de se déconnecter
de l'environnement réseau à tout moment27.
L'exercice de ce droit pourrait bien sûr être
différencié selon le type de traitement, voire
être rendu impossible, par exemple si celuici est nécessaire dans un but de sécurité
publique (art. 23).
L'ambition est forte, mais il reste à concevoir un tel système, avec la capacité d'être
embarqué, ce qui pourrait prendre la forme
d'une application mobile. La gestion des
données personnelles serait ainsi totalement
décentralisée. Dans un mouvement de « Self
Data », il appartiendrait aux individus de
s'en soucier directement28. De ce point de
vue, la Smart City s'apparente bien à un
réseau social, dès lors que les personnes
devront paramétrer à l'avance le partage de
leurs informations !

Les autres obligations
prévues par le règlement
intéressant les Smart Cities
D'autres obligations générales à la charge
des responsables de traitement pourront
efficacement être mises en œuvre dans

EXPERTISES MARS 2017

le cadre des Smart Cities. Tel est le cas avec
l'encadrement des usages secondaires (1) et
les exigences relatives à la transparence des
traitements de données (2).

La compatibilité des
traitements secondaires avec
le consentement initial de la
personne
La centralisation des informations auprès de
l'utilisateur fournira une base juridique à la
pyramide des traitements qui seront mis en
œuvre dans les Smart Cities.
Si le consentement de la personne devra
être recherché dans la mesure du possible,
le règlement n'a pas exclu quelques assouplissements pour les usages ultérieurs de
données. L'article 6 § 4 vise spécifiquement
la situation où des données vont être traitées pour une autre fin que celle de leur
collecte initiale, et sans le consentement de
la personne. Un test de compatibilité devra
ainsi être respecté, afin de vérifier les liens
existants entre les finalités du premier et du
second traitement, le contexte dans lequel
les données ont été collectées, la nature
de celles-ci et les conséquences que pourraient avoir le nouveau traitement. Enfin,
ce test exige du responsable qu'il mette en
œuvre des garanties à l'égard des données,
lesquelles peuvent inclure le chiffrement ou
la pseudonymisation. A défaut, le consentement de la personne devra à nouveau être
recherché. C'est là une dérogation importante en faveur du Big Data29, mais qui sera
aussi utile pour les Smart Cities.
Il reste à savoir comment seront appréciés
les liens existant entre les finalités des traitements, ce qui ne sera pas une mince affaire
au titre de leur potentielle diversité.

Un renforcement de la
transparence des traitements de
données
Le règlement tend également à renforcer la
sécurité et la transparence des traitements
de données. Outre les exigences de l'article
24, plusieurs mesures intéressant les projets
de Smart Cities devront ainsi être respectées.
La désignation de responsables conjoints
(art. 26), ainsi que l'encadrement strict de
la sous-traitance (art. 28 et 29) permettront
normalement d'éviter la divagation ou le
croisement de fichiers non conformes aux
exigences du règlement. A cela s'ajoute la
nécessité de tenir un registre des activités de
traitement, consignant l'ensemble des informations afférentes à celles-ci (catégories de
données, durée de conservation, finalités...),



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422

Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com