Vous avez dit connectés ?
Vous avez dit connectés ?

Vous avez dit connectés ?

connexion numérique urbaine

Date : 29/01/2021

Sujet : une contribution au débat intercommunautaire sur la connexion numérique du territoire d’Iroise

Avec quelques élus de la CCPI et des citoyens, nous avons eu l’occasion de co-produire l’analyse ci-dessous concernant un projet de développement de la connectivité numérique du territoire.

Ce projet proposé à l’assemblée Pays d’Iroise Communauté est porté par le SDEF et vise entre autres à utiliser plus largement les capteurs connectés pour différents services publics.

Bonne lecture

 
commune connectée

Ce document a pour objet d’analyser la convention dite « Finistère Smart Connect » et d’éclairer le vote de l’assemblée Pays d’Iroise Communauté ainsi que les citoyens.

Synthèse

1- Cette convention prévoit une captation et un traitement de données sur une échelle conséquente (50 000 habitants bientôt). Certaines des données sont des éléments significatifs de la vie privée (ex : consommation d’eau du foyer). Il est prévu, par le montage de cette convention, que ces données soient confiées à des acteurs privés dont un spécialiste de e-marketting. Nos concitoyens ne sont peut-être pas d’accord que des éléments significatifs de leur vie privée soient confiés à ces acteurs.
Sur un tel projet et un sujet aussi sensible que la donnée personnelle, il est indispensable d’être accompagné par la CNIL. Or nous ne voyons aucune référence à cet organisme de contrôle, ni même à un autre acteur du domaine alors même qu’un service big data nécessite une dérogation de l’article 89 du RGPD et donc une déclaration préalable à la CNIL.
Nous relevons un fort risque juridique dans différents aspects de cette convention, en particulier sur la gestion des données à caractère personnel. L’avis voire la participation de la CNIL et de l’ANSSI nous paraît nécessaire, la participation de la CADA souhaitable.

2- La signature de cette convention, engagerait la communauté à assumer et financer des missions qui sortent du champ de ses compétences (applications TellMyCity et dolmen, gestion et traitement de la donnée personnelle) sans que nous ayons délibéré nous-mêmes ou consulté les citoyens sur la pertinence d’assumer ces nouvelles missions. Ainsi, on peut se poser les questions suivantes :

  • A-t-on le droit de financer des missions qui ne font pas partie de nos compétences ?
  • Quelles sont les instances qui vont travailler sur le sujet ?
  • Avec quels services et sous quelle vice-présidence ?
  • Ne faudrait-il pas commencer par la création d’un groupe de travail et un débat sur un tel projet ?

3- La communauté de communes est liée au SDEF par une convention sur l’éclairage public. Même si l’éclairage public est mentionné dans la convention, il n’en n’est qu’une infime partie. En se proposant de gérer ces données, il sort de la convention qui nous lie avec lui.
La gestion des données des services publics est, par nature, transverse et c’est pourquoi elle doit être confiée à un service public de la donnée et pas à un acteur tel que le SDEF. Pour ses activités premières le SDEF est utilisateur d’un tel service, pas le gestionnaire.

1) Analyse du préambule

Cette convention vise « à définir les modalités, administratives, financières, techniques et organisationnelles concernant le déploiement d’objets connectés […] sur le territoire de la Communauté de communes du Pays d’Iroise ».

Depuis la naissance de l’économie numérique en 2008, le monde dans son ensemble a basculé avec un rythme rapide dans un univers numérique, ce qui impacte aussi bien les sociétés commerciales, que les collectivités publiques et naturellement les personnes physiques. Notre territoire ne fait pas exception et la numérisation de la vie publique est un enjeu majeur.

En s’intéressant à la partie de captation des données par la technologie des objets connectés, cette convention s’inscrit dans ce mouvement de numérisation, ce qui va dans le sens de l’intérêt public.

Remarques :

Le domaine traité dans cette convention est celui d’un service public de la donnée1. Nous ne comprenons pas pourquoi il est pris en charge par le SDEF dont le domaine de compétence est celui de l’énergie.

Au regard de la valeur et des impacts potentiels du traitement des données à caractère personnel, il existe un risque de conflit d’intérêts entre les finalités poursuivies par le SDEF et les acteurs de cette convention, les finalités d’un service public de la donnée, le respect des libertés individuelles et de la vie privée.

1.1 Les buts du projet

Les buts affichés sont compréhensibles mais très généraux et sans éléments justificatifs vérifiables. Le lecteur doit admettre la faisabilité à un coût futur assumable par la collectivité et pour un retour sur investissement acceptable or rien ne permet ici objectivement de le conclure.

On note une confusion d’arguments concernant l’efficacité énergétique des bâtiments : à moins d’être transformée en hydrogène ou utilisée en force motrice (ce qui n’est pas l’objet ici), l’eau n’est pas une énergie.

L’argument environnemental n’éclaire pas le lecteur : les possibilités citées sont très vagues et surtout orientées semble-t-il vers des applications domotiques. Une ambition plus large est possible et souhaitable (polluants de l’air, allergènes, contrôle continu des rejets en eau, contrôle sanitaire, contrôle du volume sonore, …).

Concernant l’eau potable nous remontons une première inquiétude concernant l’intrusion dans la vie privée. La télé-relève des compteurs privés (quels que soit leur nature) a un intérêt économique puisqu’elle supprime l’obligation des relevés physiques mais elle est en mesure de relever des éléments significatifs de la vie privée. Les moyens engagés (captation excessive des données) pourrait être jugés disproportionnés par la CNIL par rapport aux finalités déclarées (gérer les fuites potentielles)2.

Enfin concernant le stationnement, les buts évoqués sont pertinents mais cela n’entre-t-il pas plutôt dans le cadre d’une convention avec les établissements potentiellement chargés de la gestion desdits parkings ? Là aussi nous relevons une confusion entre le domaine de compétence du SDEF et celui des acteurs en charge du service public de la mobilité.

Enfin, le fait que cette convention entre dans le cadre d’une première expérimentation pilote doit inciter les élus à une prudence particulière. La captation et le traitement des données à grande échelle est un outil certes puissant et très efficace, mais sans maîtrise suffisante cette efficacité peut très vite se faire au détriment des acteurs concernés, en particulier des citoyens.

1 Le service public de la donnée est défini par l’Article 14 de la loi pour une République numérique (https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000033205148/2016-10-09/)

2 La jurisprudence en particulier sur les compteurs linky pourrait être instructive dans ce projet

https://www.facebook.com/groups/1430018487248642

3) Infrastructures

Le futur service mis en place utilisera des technologies big data (même si ce n’est pas explicitement écrit). Ces projets ont leur intérêt mais doivent être strictement encadrés.

Sur un tel projet il est indispensable d’être accompagné par la CNIL or nous ne voyons aucune référence à cet organisme de contrôle, ni même à un autre acteur du domaine. Un service big data entre dans un des cas dérogatoires de l’article 89 du RGPD1. Cette dérogation doit préalablement donner lieu à des travaux spécifiques de mise en conformité et d’une déclaration préalable à la CNIL au titre de l’article 362.

Objection : en l’état, il existe un très fort risque juridique sur ce projet à cause d’un non respect probable des lois RGPD et Informatique & Libertés.

Ce projet prévoit le déploiement d’antennes, a priori peu émissives. Cependant, au regard de la sensibilité de la population sur le sujet de déploiement d’antennes, il nous semble qu’il convient de choisir les lieux avec prudence et de privilégier des lieux à faible densité d’habitations. Ici aussi, l’avis d’une représentation de citoyens serait souhaitable.

4) Les services proposés

4.1 Télégestion de l’éclairage

Nous sommes ici dans le cadre de la mission du SDEF et de l’extension de ce qui est déjà engagé.

4.2 Efficacité énergétique des bâtiments

Il s’agirait d’une extension de ce que fait déjà le SDEF, qu’apporte cette convention en plus ?

4.3 Télé-relève et détection de fuites d’eau

Il y a là interférence entre cette convention portée par le SDEF, le service public de l’eau et un service public de la donnée.

La finalité de détection des fuites d’eau sur le réseau nous paraît très pertinente. Par contre, nous demandons à ce qu’un avis de la CNIL soit rendu en ce qui concerne les conditions de suivi des compteurs des particuliers. À défaut, le risque juridique nous paraît très important.

4.4 Gestion des déchets

Il y a interférence entre le service public de gestion des déchets, le SDEF et un service public de la donnée.

Il faut en plus noter que les capacités de déduction big data en matière de déchets sont potentiellement très importantes et intrusives vis à vis de la vie privée. En fonction des sous-finalités qui seront définies, un avis CNIL est plus que souhaitable.

4.5 Qualité environnementale

La convention mentionne (indirectement) le service public de la météorologie : il y a là interférence.

Les finalités d’analyse de la qualité de l’air nous paraissent très importantes, cependant elles relèvent d’un service de santé publique (comme pour l’analyse de l’eau). La recherche des polluants doit se faire selon nous en priorité sur les polluants courants sur un territoire agricole (ammoniac, nitrates d’ammonium et autres particules fines, allergènes, …).

4.6 Gestion du stationnement

Comme nous l’avons relevé plus haut, il s’agit là d’un service lié à la mobilité et probablement de services qui peuvent être inclus dans les conventions avec les gestionnaires de parking.

Une réflexion particulière sur le rôle du SDEF peut être menée dans le cadre de la généralisation probable des véhicules électriques mais dans le cadre de la présente convention, cela nous semble une anticipation peu souhaitable.

4.7 Plateforme citoyenne collaborative

Nous ne pouvons qu’approuver cette orientation… et regretter le peu d’éléments concrets et leur généralité.

La récupération de données à fins de nouveaux développements est un des aspects essentiels du service public de la donnée : l’open data. Cela fait partie de la loi du 8 octobre 2016 pour une République numérique qui instaure entre autres le principe de l’open data « par principe », la CNIL et la CADA en ayant cadré l’application pour les collectivités dans le cadre des données à caractère personnel1.

Mais à nouveau, il y a ici confusion de compétences.

Le signalement des dégradations du domaine public nous semble relever des compétences de police du maire.

L’information du citoyen de façon automatisée par un service numérique automatisé nécessite son approbation préalable2, une gestion rigoureuse des consentements et n’a rien à voir avec la mission du SDEF.

Par ailleurs le déploiement d’applications telles que celles citées dans cette convention n’a aucun rapport avec le déploiement d’une infrastructure de l’internet des objets. Elle doit se faire dans le cadre d’une politique d’évolution des services publics. Nous attirons de plus l’attention sur les problèmes liés à l’analphabétisme numérique et au choix légitime de certains citoyens de rester « numériquement invisible ».

4.8 Propriété des données

« Les données relevant des politiques publiques dont la communauté de communes du Pays d’Iroise a les compétences sont sa propriété ». Certes, sauf s’il s’agit de données à caractère personnel qui appartiennent par défaut aux personnes concernées. Cette convention impliquant potentiellement des conséquences sur la vie privée, il est fondamental de garder cela à l’esprit. Le transfert d’un partenaire à l’autre n’est donc en aucun cas automatique3.

4.9 Stockage et cybersécurité

Les éléments de ce paragraphe sont à la fois trop précis et trop généraux (sic). Il parait souhaitable d’inclure l’ANSSI dans un tel projet.

Nous notons la présence d’un PRA (Plan de Reprise d’Activité) mais l’absence d’un PCA (Plan de Continuité d’Activité) ce qui est dommageable pour un projet qui prétend prendre en compte des éléments de service public touchant à la gestion de services essentiels.

2 article L. 34-5 du code des postes et des communications électroniques (CPCE).

3 On rappellera que la violation de la RGPD peut entraîner des sanctions administratives, civiles et/ou pénales.

Le dossier original

2 commentaires

  1. Francoise SANQUER

    je dois avouer mon incompétence pour un certain nombre de points. Cependant , au vu des explications données, je dois avouer être très réticente en effet .. Bien des données sont très personnelles et n’ont pas à être exploitées par la collectivité même si c’est « pour notre bien » .. et surtout les dérives et les risques de piratage que cela implique .. don il serait nécessaire que plus de visibilité soit donné et que les citoyens soient davantage informés et consultés ( Comme hélas pour beaucoup de choses)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *