Marseille et le projet Big Data : la sécurité à l’épreuve des dérives de la surveillance de masse

Dans la continuité du processus de sécurisation des espaces publics urbains instigué en mars 2007, la ville de Marseille a initié un projet intitulé « Big Data de la Tranquillité Publique » à la fin de l’année 2016.

En principe, le big data désigne un volume de données tellement important qu’il permet de découvrir des modèles dans des données qui n’ont qu’une faible densité en information[1], à l’instar de modèles à capacité prédictive[2]. Cela renvoie donc aux phénomènes de massification des données, également appelés « mégadonnées[3] ».

Financé à hauteur de 600 000 euros par le Fonds Européen de Développement Economique et Régional (FEDER) et du même montant par un partenariat entre la ville de Marseille et le Département des Bouches du Rhône, ce projet consiste en une collecte et un croisement des données concernant les habitants de Marseille en vue d’implémenter la surveillance effectuée par le personnel de la Police municipale et, ce faisant, la tranquillité et la sécurité des zones destinées au public[4].

Développé depuis 2018 et destiné à entrer en application en 2020[5], ce projet se matérialise sous la forme d’un centre de supervision et prend la dénomination d’« Observatoire de la tranquillité publique[6] ».

Le projet Big Data repose sur trois objectifs principaux : apporter une aide aux responsables politiques dans les choix qu’ils sont amenés à prendre dans le domaine de la sécurité, soutenir les personnes chargées de diriger les opérations de sécurité dans leur action, et permettre une meilleure interaction entre les citoyens et les pouvoirs publics[7].

En vue de parvenir à ces objectifs, plusieurs apports concrets sont visés par la ville de Marseille[8], à commencer par la mise en place d’un partage d’informations entre les acteurs de la tranquillité publique en faisant en sorte que ceux-ci puissent avoir rapidement accès aux informations susceptibles de concerner leurs missions[9].

Ensuite, les données récoltées sont sensées permettre d’effectuer des analyses dont les résultats impliqueraient la possibilité d’identifier les délinquants et d’évaluer les conséquences de leurs actes sur les autres citoyens[10]. Il serait également possible de dégager les tendances de commission d’actes de délinquance pour mieux les appréhender et adapter les mesures de politique publique en conséquence[11].

De plus, l’étude des données pourrait mener à une anticipation des risques pouvant potentiellement survenir dans le futur en ce qui concerne la sécurité, les problèmes liés à l’occupation du domaine public ou encore la circulation routière[12]. Cela renvoie aux différentes questions inhérentes à l’utilisation d’outils de prédiction, notamment celle de la discrimination[13].

L’essentiel des données traitées est constitué des incidents de mains courantes mais aussi d’autres types de données, telles que celles relatives à des dates d’événements passés ou probables. Concernant ces derniers, ils pourront être détectés par la mise en œuvre du projet de vidéoprotection intelligente.

 

1. La notion de smart city

Le projet Big Data n’est pas sans rappeler le concept des villes intelligentes – ou smart cities. Bien que les définitions dont elles font l’objet soient toujours imprécises et en perpétuelle mouvance[14], il est possible de les envisager comme des villes dont la structure repose sur la gestion instantanée de données dans le but d’optimiser la dynamique des espaces urbains, des réseaux et des populations[15].

Avant de pouvoir appréhender les smart cities, il apparaît primordial de s’intéresser à la notion même de ville. Dans un rapport sur la smart city publié en 2017, la Commission nationale de l’informatique et des libertés (CNIL) explique qu’il s’agit d’un « espace caractérisé par une forte densité d’habitations et d’habitants, un lieu de rencontres et un creuset, en même temps qu’un lieu d’anonymat, aujourd’hui remis en cause par le numérique[16]. »

Le caractère « intelligent » de ces villes repose donc sur leur aptitude à anticiper et estimer le maximum de situations hypothétiques en matières technologique, politique et socioculturelle à partir de l’ensemble de données qu’elles reçoivent[17]. Les données qui permettent ces tâches sont ainsi des éléments dénués de finalités, une forme de matériau dont l’usage reste à déterminer[18]

Le développement de ce type de villes est motivé par la prise de conscience des décideurs politiques de la dimension stratégique de ce concept[19] depuis la révolution numérique et la globalisation[20].

L’expression anglaise de smart city permet de rendre compte de l’origine de son apparition, à savoir le milieu des entreprises technologiques de la Silicon Valley[21], en particulier des GAFA (acronyme désignant les entreprises américaines Google, Amazon, Facebook et Apple) qui ont pour ambition de constituer le principal moteur de l’essor des smart cities[22].
Cette expression est d’ailleurs sévèrement jugée par certains commentateurs, qui y voient un culte à la dimension technologique des villes[23], alors que le potentiel des smart cities va bien au-delà de la simple application des avancées technologiques au milieu urbain[24]. En effet, la smart city est destinée à améliorer tous les secteurs de l’espace urbain, de l’économie à l’environnement en passant par le social[25]. Une politique urbaine qui privilégierait un domaine au détriment des autres manquerait d’ailleurs de pertinence[26].

Les implications juridiques de la smart city sont trop nombreuses pour faire l’objet d’un seul papier[27], à l’instar des procédures et régimes contractuels[28]. Dans le cas du projet Big Data, les principales préoccupations concernent la protection des données à caractère personnel collectées par la ville de Marseille.

 

2. La question de l’Open Data

Se pose tout d’abord la question de savoir si la ville de Marseille, et par extension les smart cities, seront tenues de respecter les dispositions de la Loi pour une République numérique et, le cas échéant, de la manière dont elles devront coordonner ces obligations avec celles du Règlement général sur la protection des données (RGPD)[29].

En effet, la loi pour une République du 7 octobre 2016 a instauré l’Open Data, c’est-à-dire l’ouverture des données publiques détenues par les personnes publiques à tout utilisateur en vue de leur éventuelle réutilisation[30].

La limite à la divulgation des données dans le cadre de l’Open Data repose sur le caractère personnel des données susceptibles d’être collectées[31]. Le RGPD, entré en application le 25 mai 2018, prohibe ainsi la communication de données de ce type[32]. Pour qu’un organisme public puisse respecter les deux textes, il serait donc contraint de recourir à un procédé lui permettant de communiquer les données sans divulguer d’éléments de nature à rendre identifiées ou identifiables les personnes concernées[33]. La technique de l’anonymisation pourrait par exemple être utilisée[34], mais engendrerait un coût non négligeable pour l’administration[35], d’autant plus que l’Open Data a vocation à être appliqué de manière gratuite[36].

Toutefois, les données qui seront reçues dans le cadre du projet Big Data seront considérées comme des archives publiques[37], puisque l’article L.211-4 du code du patrimoine dispose que « les documents qui procèdent de l’activité de l’Etat, des collectivités territoriales, des établissements publics et des autres personnes morales de droit public[38]. »

Par conséquent, les données des smart cities pourront échapper aux obligations de l’Open Data sur le fondement de la constitution d’archives publiques, qui sont exclues du champ des informations devant être mises à disposition du public[39].

 

3. Le respect du droit des données à caractère personnel

L’entrée en application du RGPD le 25 mai 2018 modifie en substance la façon dont les données à caractère personnel peuvent être traitées.

En effet, ce texte s’impose aussi bien aux personnes publiques qu’aux personnes privées[40] et implique le respect d’un certain nombre de principes dans le cadre d’un traitement de données à caractère personnel[41].

Les données doivent ainsi être traitées de manière licite, loyale et transparente[42] et être collectées pour répondre à des finalités déterminées, explicites et légitimes[43]. De plus, elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement[44], exactes et tenues à jour[45]. Il est enfin impératif que les données ne soient pas conservées plus longtemps que ne l’exigent les finalités du traitement[46], et qu’elles soient traitées de manière à leur garantir une sécurité appropriée[47].

Eu égard à la date à laquelle ce projet a vu le jour, la ville de Marseille ne fonde son traitement de données que sur les dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés[48].

Toutefois, elle sera désormais tenue de respecter les principes du RGPD, au risque de se voir infliger une amende administrative pouvant s’élever jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires mondial dans le cas d’une entreprise)[49].

Le RGPD a initialement été adopté dans l’objectif d’implémenter la protection des données à caractère personnel des citoyens européens face à l’hégémonie des GAFA[50]. Les géants du numérique font donc l’objet des sanctions les plus lourdes, à l’image de Google qui a écopé d’une amende de 50 millions d’euros le 21 janvier 2019[51][52].

Cependant, les personnes publiques ne sont pas non plus à l’abri d’une sanction, à l’image de l’Office Public de l’Habitat (OPH) de Rennes Métropole que la CNIL a affligé d’une amende de 30 000 euros pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social[53].

La ville de Marseille n’est donc pas à l’abri d’une éventuelle sanction, à moins de faire valoir les dispositions de l’article 2.d du RGPD selon lequel le règlement ne s’applique pas au traitement réalisé « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces[54]. »

 

4. L’apparition de nouveaux risques

Outre la question des données à caractère personnel et du RGPD, il convient de souligner que le développement de la smart city est associé à celui du big data, eu égard à la quantité drastique de données qui y sont collectées.
L’appréhension du projet Big Data de la ville de Marseille requiert donc de se pencher sur les problématiques liées au big data, à commencer par les menaces sur les libertés individuelles[55]. En effet, les données à caractère personnel sont réunies dans un ensemble tellement important qu’une défaillance de sécurité des systèmes de conservation pourrait constituer une véritable atteinte à la vie privée des personnes concernées[56], de même que si ces données sont transmises à une entreprise tierce[57] (notamment à des fins de profilage marketing[58]

D’autres formes de menaces peuvent également être impliquées par l’analyse du big data[59], comme la question de la discrimination[60] qui est inhérente à l’utilisation d’outils de prédiction[61], ou encore celle de la manipulation politique des données recueillies[62].

Le risque que constituerait le big data pour la démocratie est même parfois soulevé[63], avec l’exemple de la surveillance de masse, dont la particularité est de mettre en application des techniques d’interception, de stockage et d’analyse des métadonnées à grande échelle[64]. Cette crainte a notamment été amplifiée par la divulgation par l’informaticien américain Edward Snowden de documents « top secret » révélant le programme de surveillance systématique des réseaux mis en œuvre par la principale agence de renseignement américaine, la National Security Agency (NSA)[65].

 

[1] DELORT (P.), « Le Big Data : concepts et définitions », Presses Universitaires de France, 2018, p.41.

[2] Ibid.

[3] BERGE (J.-S.), LE METAYER (D.), « Données – Phénomènes de masse et droit des données », Communication Commerce électronique (n°12), décembre 2018.

[4] Site internet de la ville de Marseille.

[5] REES (M.), « Big Data de la tranquillité : le Minority Report de Marseille », NextInpact, mars 2018.

[6] LEGROS (C.), « A Marseille, le big data au service de la sécurité dans la ville », Le Monde, décembre 2017.

[7] Ville de Marseille, « Création d’un outil Big Data de la Tranquillité Publique et prestations d’accompagnement », Cahier des Clauses Techniques Particulières, p. 4 et 5.

[8] Ville de Marseille, « Création d’un outil Big Data de la Tranquillité Publique et prestations d’accompagnement », Cahier des Clauses Techniques Particulières, p. 14.

[9] Ibid.

[10] Ibid.

[11] Ibid.

[12] Ibid.

[13] V. l’article publié chez Jurilab, « la vidéoprotection à l’ère de l’intelligence artificielle ».

[14] DOUAY (N.) et HENRIOT (C.), « La Chine à l’heure des villes intelligentes », L’information géographique (Vol.80), mars 2016, p. 89.

[15] Ibid.

[16] Laboratoire d’innovation numérique de la CNIL, « La plateforme d’une ville – Les données personnelles au cœur de la fabrique de la smart city », Cahiers IP innovation et prospective (n°5), octobre 2017, p.9.

[17] CHOPPLET (M.), « Smart City : quelle intelligence pour quelle action ? Les concepts de John Dewey, scalpels de la ville intelligente », Quaderni (n°96), février 2018, p.73.

[18] DEWEY (J.), « La quête de certitude ; une étude de la relation entre connaissance et action », Gallimard, 2014, p.116.

[19] PREVOST (N.), La métropolisation en question, PUF, coll. » La ville en débat », 2015.

[20] GHORRA-GOBIN (C.), « Diction­naire critique de la mondialisation », Armand Colin, 2012.

[21] GHORRA-GOBIN (C.), « Smart City : « fiction » et innovation stratégique », Quaderni (n°96), février 2018, p.9.

[22] LOUBIERE (A.), « Qui gouverne la smart city ? », Urbanisme (n°407), 2017.

[23] BROOKES (K.), « Grenoble et la « Smart City ». Entretien avec Eric Piolle, maire de Grenoble », Quaderni (n°96), février 2018, p.59.

[24] Ibid.

[25] CORNILLE (P.), « Urbanisme – Les défis de la « smart city » et de l’ « ubérisation » de l’immobilier », Construction – Urbanisme n°6, juin 2016.

[26] PINOL (J.-L.), « La ville médiévale – Histoire de l’Europe urbaine 2 », Seuil, 2011, Paris, p. 8

[27] V. l’article publié chez Jurilab, « Le droit à l’épreuve de la smart city ».

[28] AUBY (J.-B.), Innovation technologique – Contrats publics et « smart cities » », Contrats et Marchés publics n°10, octobre 2017.

[29] DA PALMA (D.), « La mise en conformité du traitement des données personnelles dans l’Open Data au regard du Règlement général sur la protection des données. Quels enjeux pour les collectivités territoriales ? », La Semaine Juridique Administrations et Collectivités territoriales (n°36), septembre 2017.

[30] LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique.

[31] Ibid.

[32] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[33] Règlement général sur la protection des données, article 4.1.

[34] SAISON (J.) et MONDOU (C.), « Administration / Citoyens – L’administration augmentée », La Semaine Juridique Administrations et Collectivités territoriales (n°50), décembre 2018.

[35] Ibid.

[36] Ibid.

[37] Ville de Marseille, « Création d’un outil Big Data de la Tranquillité Publique et prestations d’accompagnement », Cahier des Clauses Techniques Particulières, p. 29.

[38] Code du patrimoine, article L.211-4.

[39] Loi pour une République numérique, article 6.

[40] Règlement général sur la protection des données, article 2.

[41] Règlement général sur la protection des données, article 5.

[42] Règlement général sur la protection des données, article 5.a.

[43] Règlement général sur la protection des données, article 5.b.

[44] Règlement général sur la protection des données, article 5.c.

[45] Règlement général sur la protection des données, article 5.d.

[46] Règlement général sur la protection des données, article 5.e.

[47] Règlement général sur la protection des données, article 5.f.

[48] Ville de Marseille, « Création d’un outil Big Data de la Tranquillité Publique et prestations d’accompagnement », Cahier des Clauses Techniques Particulières, p. 28.

[49] Règlement général sur la protection des données, article 83.5.

[50] BOSCO (D.), « Pratiques anticoncurrentielles – Facebook condamné pour abus de position dominante en Allemagne en raison d’une violation du RGPD », Contrats Concurrence Consommation (n°4), avril 2019.

[51] CNIL, formation restreinte, délibération n° SAN-2019-001 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC, 21 janvier 2019.

[52] GRIGUER (M.), FRANCO (S.), « Première sanction française RGPD : Google sanctionnée à hauteur de 50 millions d’euros par la CNIL », Revue internationale de la Compliance et de l’Ethique des Affaires (n°1), février 2019.

[53] CNIL, formation restreinte, délibération n° SAN -2018-007 prononçant une sanction pécuniaire à l’encontre de l’Office Public de l’Habitat de Rennes Métropole- ARCHIPEL HABITAT, 24 juillet 2018.

[54] Règlement général sur la protection des données, article 2.d.

[55] BERGE (J.-S.), LE METAYER (D.), « Données – Phénomènes de masse et droit des données », Communication Commerce électronique (n°12), décembre 2018.

[56] Executive Office of the President of the United States. President’s Council of Advisors on Science and Technology. Big data and privacy : a technological perspective. The White House, mai 2014.

[57] MANOKHA (I.), « Le scandale Cambridge Analytica contextualisé : le capital de plateforme, la surveillance et les données comme nouvelle « marchandise fictive » », Culture et Conflits (n°109), janvier 2018, p.39.

[58] CNIL, « La plateforme d’une ville », Cahiers IP (n°5), 2017, p.13.

[59] BERGE (J.-S.), LE METAYER (D.), « Données – Phénomènes de masse et droit des données », Communication Commerce électronique (n°12), décembre 2018.

[60] HIRSCH (D.), « That’s unfair! Or is it? Big data, discrimination and the FTC’s unfairness authority, Kentucky Law Journal, Vol. 103, 2015.

[61] V. l’article « la vidéoprotection à l’ère de l’intelligence artificielle ».

[62] CASTELLUCIA (C.) et LE METAYER (D.), « Understanding algorithmic decision making : opportunities and challenges », Parlement européen, Scientific Foresight Unit (STOA), nov. 2018.

[63] Ibid.

[64] BERGE (J.-S.), LE METAYER (D.), « Données – Phénomènes de masse et droit des données », Communication Commerce électronique (n°12), décembre 2018.

[65] MUSIANI (F.), « Edward Snowden, l’ « homme-controverse » de la vie privée sur les réseaux », Hermès, La Revue (n°73), mars 2015, p.209.

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s