L’encadrement juridique des solutions numériques au service de la protection de l’environnement

Résumé

Cette contribution vise à analyser les règles juridiques applicables aux solutions numériques, notamment de traitements de données, et à déterminer si celles-ci sont adaptées à la mise en place d’outils utiles à la protection de l’environnement. Pour cela, le propos s’articule autour de deux approches. La première, générale, vise à analyser le régime juridique des données, notamment énergétiques et environnementales, en mettant en avant les contraintes auxquelles doivent faire face les acteurs souhaitant développer des applications au service de l’environnement. La seconde, spécifique, se concentre quant à elle sur un thème émergent : la smart city. Ce terme, qui recouvre des réalités très disparates et des objectifs beaucoup plus divers que la seule protection de l’environnement, demeure régulièrement évoqué comme l’une des solutions en faveur de la protection de l’environnement. Pourtant, si le cadre juridique, national comme européen, laisse une latitude bienvenue aux personnes publiques pour déployer ces outils, la présente contribution démontrera qu’il ne parvient pas à garantir que ces derniers aient un effet positif sur l’environnement.

Index

Mots-clés

numérique, environnement, droit des données personnelles, droit de l’énergie, droit administratif

Plan

Texte

D’après la feuille de route de l’International Energy Agency publiée en 2021 (IEA, 2021, p. 184), la moitié des technologies nécessaires à l’atteinte de la neutralité carbone d’ici à 2050 ne sont pas encore disponibles. Bien que cette estimation soit contestable et que les solutions technologiques ne constituent qu’une infime partie de la réponse à la crise climatique, l’innovation et le développement du numérique peuvent effectivement contribuer à la protection de l’environnement et à la réduction des émissions de gaz à effet de serre. En effet, de nombreuses technologies numériques reposant sur l’analyse de données, dont le développement a été facilité par l’augmentation de la quantité de données disponibles et par l’essor de l’intelligence artificielle (Choné, 2017), présentent un intérêt du point de vue environnemental.

Par exemple, dans le domaine des énergies renouvelables, le croisement de données météorologiques, géographiques et industrielles peut aider les pouvoirs publics à identifier les zones où l’implantation de panneaux photovoltaïques ou d’éoliennes serait la plus efficace (Fabrégat, 2018). Dans le domaine de l’électricité, l’analyse de données facilite le pilotage et l’équilibrage du réseau en permettant de mieux prédire l’injection de la production des énergies intermittentes, en détectant plus facilement les pannes nécessitant une opération de maintenance ou encore en facilitant l’autoconsommation collective à l’échelle locale (Flament, Pegouret, 2020). Enfin, dans le domaine du bâtiment, l’analyse de données de consommation énergétique permet d’identifier les immeubles nécessitant des travaux de rénovation (Fourmon, 2021) ou de mieux piloter la consommation de bâtiments industriels afin de réaliser des économies d’énergie (Buckman, Mayfield, Beck, 2014) : pilotage intelligent de la climatisation, des éclairages… Les exemples sont nombreux et concernent tous les champs de la transition énergétique.

Le développement de ces technologies numériques se fait dans un environnement juridique complexe (Stein, 2020).

D’une part, le cadre juridique actuel pourrait sembler très favorable à la mobilisation du numérique pour développer des solutions vertueuses pour l’environnement. En effet, il n’existe que peu de textes encadrant directement les applications envisagées ici et l’on constate depuis plusieurs années une véritable tendance à l’ouverture des données. On pourra par exemple citer le règlement européen du 14 novembre 2018 établissant le principe de libre flux des données à caractère non personnel dans l’Union européenne1, la directive européenne du 20 juin 2019 sur les données ouvertes et la réutilisation des informations du secteur public2, ou encore les récents projets de règlements sur les données, le Data Act3 prévoyant des obligations de partage de données issues d’objets connectés et le Data Governance Act4 qui devrait faciliter la réutilisation de certaines données d’intérêt général. En France, l’ouverture des données organisée par la loi pour une République numérique de 20165 contribue également à la diffusion de ce nouvel or noir (Brousseau, 2022), nécessaire au développement des solutions technologiques qui permettront d’accélérer la transition énergétique (Les Échos, 2019).

D’autre part, la production, la collecte, le traitement ou la réutilisation des données nécessaires à la conception et au fonctionnement de ces solutions technologiques sont soumis à différents régimes, suivant la qualification juridique des données traitées (Lavrijssen, Espinosa Apraez, Ten Caten, 2022 ; Fourmon, 2018). Ces règles sont justifiées par différents impératifs tels que la protection de droits et libertés fondamentaux (dont la vie privée) ou la protection des intérêts économiques des acteurs produisant les données. Parmi les réglementations applicables, on trouve évidemment le célèbre Règlement général sur la protection des données (RGPD), encadrant de façon très stricte le traitement de données à caractère personnel, mais également d’autres règles plus spécifiques, relatives par exemple à la protection des secrets d’affaires ou à la libre concurrence. L’ensemble de ces règles, qu’il conviendra d’identifier, génère de fortes contraintes au développement de solutions qui pourraient s’avérer utiles sur le plan environnemental.

Dans ce contexte, le premier objectif de la présente contribution est de déterminer la latitude laissée par le cadre juridique actuel pour concevoir des outils numériques permettant d’agir en faveur de la protection de l’environnement, le tout dans le respect de la règle de droit. Son second objectif est d’interroger la proportionnalité des règles applicables et des contraintes qu’elles génèrent au vu des bénéfices potentiels des traitements de données ayant une finalité environnementale.

Pour ce faire, nous adopterons une double approche. La contribution consistera d’abord en une approche générale en cherchant à dresser le panorama des différents régimes juridiques pouvant contraindre l’utilisation de données, entendue de façon large, aux fins de protection de l’environnement et dont l’application dépend de la qualification juridique des données traitées (1). Cette approche générale sera ensuite complétée par une étude spécifique et sectorielle, dédiée aux applications du numérique en faveur de l’environnement dans le milieu urbain, connues sous le nom de smart city (2).

1. Des contraintes juridiques à l’utilisation des données pour la protection de l’environnement

Comme abordé en introduction, les exemples de technologies numériques utiles à la transition écologique sont nombreux mais évoluent dans un cadre juridique contraint. Cet encadrement est pleinement justifié puisque certaines applications font peser un certain nombre de risques pour les droits et libertés des individus. Par exemple, certains systèmes peuvent être amenés à traiter d’importantes quantités de données à caractère personnel contenant des informations sur la vie intime des individus. C’est le cas pour des applications déployées par des fournisseurs d’énergie nécessitant la collecte des données de consommation via des compteurs communicants. À ce titre, il semble parfaitement légitime que ce type d’application fasse l’objet d’un encadrement relativement strict (1.1). En revanche, d’autres systèmes n’ont pas besoin de traiter des données personnelles et présentent un niveau de risque moins élevé. Des logiciels peuvent notamment être utilisés pour gérer l’éclairage public ou affiner des prédictions météorologiques. Ces derniers peuvent fonctionner à partir de données dites non personnelles, qui ne permettent pas d’identifier une personne physique. Le traitement de données à caractère non personnel nous semble être une voie efficace pour développer des systèmes utiles en matière environnementale, tout en limitant les risques pour les individus. Il est donc heureux que ce type de données réponde d’un régime beaucoup plus souple que celui dédié aux données personnelles (1.2).

1.1. Un cadre juridique contraignant applicable aux traitements de données à caractère personnel à finalité environnementale

Le RGPD est pleinement applicable à tous les systèmes traitant des données à caractère personnel, qu’ils poursuivent une finalité environnementale ou non. Ses grands principes devront donc être pris en compte par toute personne ou organisation ayant pour projet de développer un tel système et ce, dès la conception (privacy by design). Notre étude révèle que cette application conduit à contraindre fortement le développement de certaines solutions en faveur de l’environnement (1.1.1). Ce constat est d’autant plus vrai lorsque certaines données personnelles présentant un risque élevé pour la vie privée des individus sont traitées, notamment s’il s’agit de données de consommation électrique (1.1.2).

1.1.1. Des contraintes résultant de l’application des principes du RGPD aux traitements de données à caractère personnel à finalité environnementale

Le recours au numérique pour développer des solutions utiles à la protection de l’environnement peut nécessiter de collecter et de traiter des données à caractère personnel et serait, à ce titre, assujetti aux règles du RGPD. Le présent paragraphe se concentrera sur le cas du développement d’une application procédant à des traitements de données personnelles par des personnes privées, notamment les entreprises, et à l’exclusion donc des personnes publiques (collectivités, ministères…). En effet, les entreprises jouent un rôle primordial dans le développement des solutions technologiques utiles à la transition environnementale : ce sont elles qui disposent de l’expertise technique, des moyens de recherche et développement, parfois même des données nécessaires, et qui ont un intérêt commercial à développer des solutions numériques. Prenons l’exemple d’une start-up qui souhaiterait développer et commercialiser une solution logicielle de performance énergétique du foyer à destination des particuliers. De nombreuses données personnelles pourraient être mobilisées : caractéristiques du domicile, équipements électroménagers détenus, composition du foyer, données de consommation issues d’un compteur communicant, habitudes de consommation des membres du foyer… L’ensemble des principes du RGPD devraient être respectés6. Premièrement, l’entreprise devrait respecter le principe de finalité en s’assurant, notamment, de limiter les buts dans lesquels les données sont traitées et de disposer d’une base légale conformément à l’article 6 du RGPD. Deuxièmement, le principe de proportionnalité impose de pouvoir justifier de la pertinence et de la stricte nécessité des données collectées au regard de la finalité du traitement. Troisièmement, le responsable de traitement doit fixer des durées de conservation précises, là aussi proportionnées au but poursuivi. Quatrièmement, la start-up devra respecter le principe de sécurité des données en mettant en œuvre toutes les mesures techniques et organisationnelles permettant de garantir leur confidentialité. Enfin, l’entreprise devra permettre aux personnes concernées d’exercer leurs droits conformément à la législation, notamment leurs droits d’accès, d’opposition ou à l’effacement des données les concernant. L’ensemble de ces principes doivent, conformément au principe de privacy by design7, être pris en compte dès la phase de conception de la solution logicielle, ce qui peut conduire à des surcoûts non négligeables. En effet, pour mettre en œuvre ces principes, la start-up devra mettre en place un certain nombre de processus de conformité ou procéder à des développements supplémentaires dans son application, par exemple pour créer des mécanismes de purge automatique des données afin d’assurer le respect des durées de conservation fixées. Toutes ces actions représentent des coûts importants, tant financiers qu’humains (Ciriani, 2015).

De plus, si la start-up ne dispose pas des compétences juridiques ou techniques pour se mettre en conformité, elle devra se faire accompagner, ce qui engendrera à nouveau des coûts supplémentaires appelés coûts d’intermédiation. L’application du RGPD à des applications vertueuses pour l’environnement n’est donc pas neutre et pourrait conduire à l’abandon de certains projets qui ne seraient pas suffisamment rentables. Outre la question du coût de la mise en conformité, certaines dispositions du RGPD nous semblent peu adaptées aux cas d’usage envisagés dans la présente contribution.

En effet, l’article 6 du RGPD liste les motifs de licéité pouvant fonder la collecte et le traitement de données à caractère personnel. Toujours dans notre exemple de start-up souhaitant développer une solution logicielle de performance énergétique d’un foyer, trois bases légales figurant à l’article 6 § 1 du RGPD pourraient théoriquement être mobilisées : le consentement des personnes concernées, l’exécution du contrat ou l’intérêt légitime du responsable de traitement. Lorsque l’application est commercialisée, il n’y a pas de difficultés particulières puisque la start-up entrerait dans une relation contractuelle avec les personnes concernées (bien que se poserait tout de même la question des données relatives aux autres membres du foyer qui ne sont pas partie au contrat). En revanche, si l’on se place en amont, lors de la phase de conception, la start-up peut avoir besoin de données pour concevoir ses algorithmes. Le choix du motif de licéité se complique. D’autant plus qu’en pratique les données nécessaires sont souvent détenues par des acteurs du secteur de l’énergie qui souhaitent eux aussi concevoir de nouveaux produits à partir de ces données. Les données nécessaires à la conception des applications vertueuses pour l’environnement peuvent donc être difficilement accessibles. Il est envisageable de conclure une convention avec les acteurs qui disposent des données pertinentes mais chacune des parties sera alors confrontée à une difficulté concernant le choix de la base légale du traitement. Les données ont, en effet, été collectées pour une autre finalité et les personnes concernées n’ont pas été informées que leurs données allaient être utilisées pour concevoir de nouveaux systèmes ou transmises à des tiers pour ladite conception. Tant notre jeune start-up que notre acteur du secteur de l’énergie se retrouveraient dans une situation délicate puisqu’il leur faudrait alors informer toutes les personnes concernées et, le cas échéant, fonder le traitement visant à la conception d’un nouveau produit sur une nouvelle base légale si la finalité n’avait pas été prévue initialement.

Pour répondre à cette problématique, des solutions techniques peuvent être envisagées. Il est en effet possible pour notre start-up de développer ses algorithmes à partir de données anonymisées ou bien de « fausses données » aussi appelées données synthétiques, qui présenteraient les mêmes caractéristiques mais auraient été générées artificiellement (ne pouvant donc identifier aucune personne réelle). Toutefois, ces solutions ne sont pas envisageables pour toutes les situations puisque, dans le premier cas, l’anonymisation peut rendre la donnée inexploitable et, dans le second cas, le recours à des données fictives peut conduire à altérer la performance du système final. Juridiquement, il est toujours possible d’informer les personnes concernées d’une nouvelle finalité, qui pourrait être l’intérêt légitime du responsable de traitement à concevoir de nouveaux produits. Mais cette information peut être difficile et coûteuse à réaliser selon la quantité d’individus à contacter. De plus, il conviendra de permettre aux personnes d’exercer leurs droits sur les données les concernant, dont leur droit d’opposition, ce qui peut conduire à des difficultés opérationnelles si l’exercice du droit intervient après la commercialisation du système.

L’ensemble des contraintes évoquées ici ne sont pas insurmontables mais les solutions pour y répondre peuvent entraîner des conséquences sur la performance du produit final ou sur les coûts de développement. Le traitement de certains types de données personnelles, révélant des informations sur la vie intime des personnes, fait peser un risque plus important sur les individus et fait, à ce titre, l’objet d’un encadrement encore plus contraignant.

1.1.2. L’exemple du régime spécifique encadrant les données de consommation électrique

L’antagonisme entre l’esprit restrictif (car très protecteur) de la protection des données et la dynamique d’innovation en faveur de l’environnement se retrouve également dans certains cas d’usage dans le secteur de l’énergie. On peut ici prendre l’exemple du traitement de la « courbe de charge », c’est-à-dire le relevé, à intervalles réguliers (le pas de mesure), de la consommation électrique de l’abonné. Ces données de consommation sont cruciales pour développer des solutions de réseaux intelligents ou d’autoconsommation collective à l’échelle locale : il faut connaître en temps réel les capacités de production et d’injection de chaque actif de production, le plus souvent intermittente car exploitant des énergies renouvelables, et les besoins de chaque consommateur pour pouvoir les équilibrer en temps réel.

Pourtant, ces données présentent effectivement un risque important pour la vie privée des individus. En ce sens, les autorités considèrent qu’un relevé avec un pas de temps de 10 minutes permettrait « d'identifier les heures de lever et de coucher, les heures ou périodes d’absence, ou encore, sous certaines conditions, le volume d’eau chaude consommée par jour, le nombre de personnes présentes dans le logement, etc.8 ». Il s’agit donc d’une donnée à caractère personnel particulière, pouvant révéler des informations détaillées sur la vie privée des individus. C’est la raison pour laquelle la Commission nationale de l’informatique et des libertés (CNIL) est venue encadrer les conditions de la collecte et de l’utilisation de ces données dans une délibération du 15 novembre 20129.

D’abord, dans cette délibération, la CNIL est venue limiter les finalités du traitement de la courbe de charge au nombre de trois : la maintenance et le développement du réseau de distribution par les gestionnaires de ce réseau ; la mise en place de tarifs adaptés à la consommation des ménages par les fournisseurs d'énergie et la fourniture de services complémentaires par des sociétés tierces tels que des travaux d’isolation.

Ensuite, la délibération encadre les modalités de la collecte de la courbe de charge. Les gestionnaires de réseau ne peuvent la collecter que lorsque des problèmes d’alimentation ont été effectivement détectés. Toute collecte systématique est considérée comme disproportionnée. De plus, les fournisseurs d’énergie et les sociétés tierces souhaitant proposer des services complémentaires ne peuvent collecter la courbe de charge qu’avec le consentement libre et éclairé des personnes concernées.

Enfin, le pas de temps de la courbe de charge est lui aussi encadré. En effet, la CNIL précise que les compteurs doivent pouvoir enregistrer la consommation selon trois pas de temps : 10 minutes, 30 minutes ou 60 minutes. La recommandation de 2012 précise que les compteurs doivent être configurés par défaut sur le paramétrage le plus protecteur, soit le plus long intervalle.

Ces recommandations ont été complétées par la publication d’un « pack de conformité » dédié aux compteurs communicants en mai 2014 (CNIL, 2010). Bien que dépourvu de valeur juridique contraignante, ce document est qualifié par la CNIL de « référentiel sectoriel » devant guider les responsables de traitement dans leur mise en conformité. La clarté de cet outil doit être saluée. En revanche, il est regrettable que le cadre ainsi créé ne laisse que peu de place à l’innovation, si bien que la recherche et le développement de nouveaux services innovants n’apparaissent dans aucune des finalités autorisées. Il convient également de préciser qu’un décret de 2017 est venu préciser les conditions dans lesquelles les courbes de charge pouvaient être collectées par les gestionnaires de réseau de distribution. En effet, ce dernier a créé un article D. 322-16 dans le Code de l’énergie (C. énergie) prévoyant que les gestionnaires pouvaient collecter ces données « pour l’accomplissement des missions mentionnées aux 1°, 6°, 8° et 9° de l’article L. 322-8 ». Les missions visées sont relatives à la mise en œuvre des raccordements au réseau (1°), à l’exploitation et à la maintenance du réseau (6°), à la mise en œuvre d’actions d’efficacité énergétique et favorisant l’intégration d’énergies renouvelables sur le réseau (8°), ainsi qu’au suivi de la gestion du périmètre d’effacement (9°). Ces dispositions ne sont pas suffisantes pour permettre le développement de solutions technologiques en faveur de l’environnement pour deux raisons. D’une part, ces possibilités de collecte de la courbe de charge ne sont ouvertes qu’aux gestionnaires de réseau, ce qui représente, en France, très peu d’entreprises (Enedis et les entreprises locales de distribution) et exclut de fait tous les fournisseurs d’énergie ou autres entreprises (start-up, entreprises de service numérique…). D’autre part, seules les missions d’efficacité énergétique et d’intégration des énergies renouvelables pourraient légitimer l’utilisation des données de consommation pour développer des solutions en faveur de l’environnement, ce qui limite le champ des possibles.

Le traitement des données de consommation par des fournisseurs ou des entreprises autres que les gestionnaires de réseaux de distribution pour développer de nouveaux produits ne pourra ainsi se faire sur une base de licéité distincte et conforme au RGPD. Notre analyse de la délibération de la CNIL de 2012 et du pack de conformité sur les compteurs communicants indique que la seule base légale envisageable dans ce cas serait le consentement de la personne concernée, lequel devra répondre aux conditions de validité du consentement à savoir le caractère libre, éclairé, spécifique et univoque. On peine à imaginer qu’un tel traitement puisse être réalisé sur le fondement d’un consentement donné au suivi de sa consommation ou de la fourniture de services de performance énergétique. Un consentement plus précis, spécifique à la finalité de développement de nouveaux services, devrait alors être recueilli, ce qui constitue une difficulté supplémentaire pour le responsable de traitement.

Par effet de superposition, on comprend que la conception de technologies numériques en faveur de la protection de l’environnement nécessitant de traiter des données à caractère personnel est très complexe. Le responsable de traitement doit se conformer à un important corpus d’exigences réglementaires, qu’elles soient générales et issues du RGPD ou plus spécifiques et issues de référentiels sectoriels. Cette mise en conformité implique des coûts financiers et humains non négligeables, qui peuvent désinciter les entreprises à l’innovation. Privilégier le recours à des données non soumises aux règles du RGPD pourrait alors être une voie préférable, qui ferait, d’ailleurs, peser moins de risques pour les droits et libertés des individus.

1.2. Un cadre juridique souple applicable aux traitements de données non personnelles à finalité environnementale

Certains cas d’usage du numérique utiles à la protection de l’environnement ne nécessitent pas de traiter des données personnelles. C’est le cas, par exemple, d’applications qui ne traiteraient que des données météorologiques pour anticiper l’évolution du littoral ou évaluer le risque de catastrophe naturelle. Ces données non personnelles ne font pas l’objet des mêmes contraintes que celles évoquées dans les développements précédents. Au contraire, par principe, leur utilisation et leur diffusion sont libres (1.2.1). Par exception, il existe certaines règles spécifiques qui peuvent venir contraindre de telles utilisations mais ces dernières nous semblent surmontables (1.2.2).

1.2.1. La promotion bienvenue du partage et de l’utilisation des données non personnelles

Les données non personnelles font l’objet d’un cadre juridique beaucoup moins fourni que les données à caractère personnel. Le règlement (UE) 2018/1807 du 14 novembre 2018 est venu ériger en principe la liberté des flux de données à caractère non personnel dans l’Union européenne. De plus, en droit national, certaines de ces données, notamment issues du secteur public, font l’objet d’obligations de publication en open data10. Mobiliser des données non personnelles pour concevoir des solutions numériques en faveur de l’environnement semble être une solution beaucoup plus simple pour une entreprise souhaitant innover.

Pour contrebalancer les contraintes encadrant le traitement de données personnelles et au regard du faible risque qu’elles font peser sur les droits et libertés des individus, il est donc nécessaire de promouvoir la diffusion des données non personnelles. La disponibilité de ces données pour le plus grand nombre d’acteurs est une condition au développement de solutions technologiques favorables pour l’environnement. Le régime de l’open data en France y participe en ce qu’il impose, notamment, la publication de toutes les données produites dans le cadre de missions de service public mais il faut souligner les récentes initiatives européennes qui vont, d’une part, créer de nouveaux mécanismes juridiques permettant de libérer des données du secteur privé et, d’autre part, faciliter la réutilisation de certaines données issues du secteur public. Nous pouvons ici citer le Data Act11, imposant aux fabricants d’objets connectés et de services associés de concevoir leurs produits de telle sorte que les données produites par ces derniers soient facilement accessibles par les utilisateurs12. De plus, le texte crée un droit pour les utilisateurs de demander au fabricant de l’objet connecté de transférer les données générées à un tiers en vue de la fourniture de services complémentaires13. Les utilisateurs visés ici peuvent autant être des entreprises ayant déployé des capteurs sur leurs installations que des individus ayant installé des objets connectés à leur domicile (auquel cas le RGPD s’appliquera). L’objectif des institutions européennes est bien de libérer les données en favorisant leur partage entre entreprises et des entreprises vers les utilisateurs (Keller, 2022). Le Data Act contient également des dispositions permettant aux autorités publiques d’imposer aux entreprises la communication de données pour des motifs exceptionnels d’intérêt général dont des exemples sont cités dans le texte (crise sanitaire, catastrophe naturelle…)14. Un deuxième exemple de cette dynamique européenne en faveur de la diffusion des données non personnelles est donné par le Data Governance Act15, contenant des dispositions facilitant l’emploi de données protégées détenues par des opérateurs de service public et instaurant la pratique de l’altruisme de données16.

Le fait que la Commission européenne souhaite favoriser le partage de données non personnelles est une bonne chose. L’entrée en vigueur de ses différents textes permettra à de nombreuses données utiles à la transition écologique d’être partagées. Seraient par exemple concernées des données issues d’objets connectés, des données de performance énergétique de bâtiments ou encore des données environnementales relatives à l’état du littoral et des forêts. L’ensemble de ces données pourront ensuite être réutilisées par différents acteurs pour développer des applications utiles à la protection de l’environnement. Toutefois, la réutilisation de données non personnelles peut dans certaines situations être encadrée par des règles spécifiques.

1.2.2. Les limites surmontables encadrant le traitement de données non personnelles à des fins environnementales

Plusieurs corpus juridiques peuvent venir entraver le traitement de données à caractère non personnel. Pour l’objet de la présente contribution, nous n’en donnerons que deux exemples : la préservation de la concurrence à travers l’exemple du régime des informations commercialement sensibles dans le Code de l’énergie et la protection des droits de propriété intellectuelle (CRE, 2017 ; ALDC, 2016).

D’abord, le Code de l’énergie contient plusieurs dispositions susceptibles d’interdire la diffusion et la réutilisation de certaines données non personnelles issues du secteur de l’énergie. En effet, ses articles L. 111-72 et L. 111-73 disposent que les gestionnaires des réseaux de transport et de distribution d’électricité « doivent préserver la confidentialité des informations d’ordre économique, commercial, industriel, financier ou technique dont la communication serait de nature à porter atteinte aux règles de concurrence libre et loyale et de non-discrimination17 ». Cette obligation vise à empêcher que des informations commercialement avantageuses portant sur les activités des gestionnaires de réseaux ne soient divulguées de manière discriminatoire, notamment aux fournisseurs d’énergie. Ainsi, la confidentialité de ces informations est un moyen pour le législateur de préserver le caractère non discriminatoire de l’accès au réseau, en évitant de procurer un avantage concurrentiel à certains fournisseurs (Béatrix, 2018). Les articles R. 111-26 du Code de l’énergie précisent la nature des données protégées. Il s’agit des dispositions contractuelles et informations échangées dans ce cadre, des informations issues des comptages et autres mesures effectués, ainsi que des informations relatives aux programmes d’appel, d’ajustement et de consommation18. Les deux dernières catégories renvoient à des données qui pourraient être utiles à la conception de systèmes de traitement de données relatifs au pilotage du réseau (prévision des consommations, ajustement en temps réel de la production…) ou au développement de services intelligents d’analyse de la consommation pour identifier des pistes d’économies d’énergie. Pour pouvoir obtenir la communication de ces données, il faudra entrer dans le champ d’une des exceptions prévues aux articles R. 111-27 à R. 111-29 du Code de l’énergie. Ces exceptions permettent notamment aux utilisateurs des réseaux publics de transport ou de distribution d’autoriser les gestionnaires à communiquer directement à un tiers des informations relatives à leur propre activité, ou aux opérateurs d’effacement, qui proposent aux consommateurs de réduire leur consommation à des moments précis en l’échange de tarifs avantageux, de demander aux gestionnaires la communication des données nécessaires à l’identification, à la comptabilisation et à la certification des effacements de consommation réalisés dans les foyers, bâtiments ou tout autre site de consommation. Le champ des possibles est donc relativement restreint et seuls les acteurs expressément visés par les textes susmentionnés pourront obtenir la communication des données couvertes par l’obligation de confidentialité.

Un deuxième exemple de corpus de règles pouvant freiner la diffusion et la réutilisation de certaines données non personnelles pour développer des solutions numériques en faveur de l’environnement peut être trouvé dans les règles liées au droit de la propriété intellectuelle. Par exemple, les « bases de données », définies dans le Code de la propriété intellectuelle (CPI) comme des recueils « d’œuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen19 », bénéficient d’une double protection : au titre du droit d’auteur lorsque la structure de la base est originale, d’une part, et au titre du droit dit « sui generis » des bases de données, d’autre part (Bensamoun, Groffe, 2013). Le producteur de la base de données bénéficiera à ce titre de droits exclusifs sur son contenu. Ces droits permettent notamment au producteur d’interdire l’extraction et la réutilisation du contenu de la base de données pour laquelle il a effectué des investissements substantiels20. Les juridictions administratives reconnaissent d’ailleurs la possibilité de s’opposer à la réutilisation de données concernées par une obligation de publication en open data si ces dernières sont couvertes par la protection sui generis du CPI21. De plus, au-delà de l'opposabilité des droits de propriété intellectuelle sur les bases de données produites, se pose également la question de la conciliation entre incitation au partage de données et protection du savoir-faire des entreprises (Béatrix, 2018). À ce titre, la loi pour une République numérique a créé une exception spécifique, dispensant les opérateurs en charge d’une mission de service public de leur obligation de publication des données lorsque cette communication porterait atteinte au secret en matière industrielle et commerciale. L’article 6 de la loi précise que cette qualification concerne « le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles22 ». La définition est large et se traduit en pratique par une mobilisation très fréquente de l’argument par les acteurs disposant d’importantes quantités de données (tels que les gestionnaires de réseaux dans le secteur de l’énergie) pour s’opposer à leur publication.

Les limites à l’utilisation de données non personnelles, qu’elles soient issues de règles sectorielles ou du droit de la propriété intellectuelle, ne nous semblent pas insurmontables pour plusieurs raisons. D’abord, les règles évoquées ne concernent que certains types de données très précises et non pas l’ensemble des données qui pourraient être utiles au développement du numérique en faveur de l’environnement. Par exemple, des données de performance énergétique d’installations publiques ou de mesures purement environnementales (niveau d’un cours d’eau, état du littoral) ne seraient soumises à aucune des contraintes évoquées. Ensuite, les règles relatives à la préservation de la concurrence comportent plusieurs exceptions mobilisables pour obtenir la communication des données couvertes par la confidentialité. Enfin, les projets de textes européens sur les données contiennent plusieurs dispositions pour assouplir les contraintes résiduelles, notamment celles relatives à la propriété intellectuelle. En effet, à titre d’exemple, le Data Act s’accompagnera d’un amendement de la directive sur le droit sui generis des bases de données pour faciliter la réutilisation des données brutes issues de capteurs. Pour ce faire, le texte prévoit que le droit sui generis ne s’applique pas à ces données, levant ainsi une contrainte supplémentaire.

Ainsi, l’étude réalisée dans la première partie de notre contribution a permis de démontrer que le traitement de données non personnelles apparaissait comme une voie opportune pour le développement de solutions technologiques en faveur de l’environnement. En effet, ces données font l’objet d’une réglementation beaucoup moins contraignante que celle applicable aux données personnelles et leur traitement fait peser un risque bien moins important pour les droits et libertés des individus, sous réserve du respect d’une finalité environnementale. Toutefois, se limiter à l’utilisation de données non personnelles limite également le type d’applications qu’il est possible de développer. En effet, s’il est possible de concevoir un système de prédictions météorologiques à partir de données de mesures, il n’est en revanche pas possible de réaliser un système de performance énergétique d’un foyer sans jeux de données de consommation. Cette limite peut être surmontée grâce au recours à des jeux de données anonymisées. L’anonymisation de données personnelles permet de supprimer le risque de réidentification et, ce faisant, de les faire bénéficier de la qualification de données non personnelles. Les méthodes permettant de parvenir à ce résultat ne sont en revanche pas infaillibles et il n’est pas toujours possible d’exclure complètement le risque de réidentification, ce qui ferait retomber la donnée dans le champ d’application du RGPD. De plus, les techniques d’anonymisation peuvent également conduire à altérer les données initiales et la perte des éléments identifiants peut entraîner des conséquences sur la performance de l’algorithme conçu à partir des données anonymisées. Se reposer uniquement sur l’anonymisation pour espérer promouvoir le développement de technologies numériques en faveur de l’environnement ne semble donc pas la meilleure option.

Si les réflexions menées jusqu’à présent relevaient plutôt de considérations théoriques et générales sur les régimes juridiques susceptibles de venir encadrer l’utilisation de la donnée en faveur de l’environnement, la suite de nos développements adoptera une approche inductive beaucoup plus concrète, en se concentrant sur les règles encadrant un cas d’usage spécifique : la ville intelligente ou smart city.

2. La smart city face au défi environnemental

Au sein des solutions technologiques déployées pour la protection de l’environnement, il est une expression qui revient souvent, celle de smart city ou ville intelligente. Elle est déjà utilisée depuis une vingtaine d’années par les entreprises privées (Courmont, 2020, p. 12123) qui ont popularisé le terme pour faire la promotion des outils qu’elles se proposent de vendre, particulièrement aux personnes publiques. Ce n’est d’ailleurs pas étonnant de retrouver ces mots dans la bouche de certains élus locaux comme un argument politique (Courmont, Vincent, 2020)24. Toutes les grandes communes ou les métropoles françaises, sans exception25, ont aujourd’hui un projet smart city dont la promotion est plus ou moins assurée par le titulaire de l’exécutif. François Rebsamen, président de Dijon Métropole, a mis en place son projet de smart city « OnDijon » en avril 2019 (Dijon Métropole, 2019). À l’opposé du spectre politique, la même année, c’est François Barouin qui a inauguré un programme similaire au sein de la commune de Troyes26.

Sous le vocable de smart city sont réunies un ensemble de solutions et de politiques très différentes tant par leur objet que par leur ambition (ministère de l’Économie, 2021). En matière de transports, cela va de la création de voitures autonomes (Groupe RATP, 2019, p. 45) à la promotion du vélo ou du covoiturage (ministère de l’Économie, 2021, p. 52). En matière d’urbanisme et d’aménagement, il s’agira de construire des logements en « tout électrique » pour réduire la consommation d’énergies fossiles, ou d’une politique d’agrandissement des espaces verts. À Nice et à Marseille, c’est la reconnaissance faciale pour contrôler la fréquentation dans les lycées qui devait être expérimentée par la région pour assurer la sécurité (CNIL, 201927). Dans le cas de la métropole de Dijon, un poste centralisé a été créé et gère à distance tout un ensemble de paramètres : allumage et extinction de l’éclairage public, vidéoprotection, gestion des feux de circulation, taux de remplissage des poubelles recyclables (Dijon Métropole, 2019, p. 5). Les habitants ont été également invités à télécharger une application et à signaler des problèmes : présence d’ordures sur la voie publique, voirie et mobilier public abîmé ou encore des accidents en tout genre.

Il faut donc passer outre le caractère vague de l’expression et ne pas chercher à en dégager une définition stricte ni même définitive. Dans le cadre du droit administratif, la smart city pourrait être définie largement comme « l’ensemble des solutions technologiques innovantes censées améliorer l’efficacité de l’action publique en milieu urbain » (Auby, 201828)29. Plus précisément pour la présente étude, il faudra entendre qu’il s’agit des solutions numériques en faveur de l’environnement et dont le fonctionnement repose sur la récolte et l’exploitation des données. Il s’agit d’une précision importante, car la smart city se décline au gré des objectifs particuliers que les outils poursuivent, lesquels renvoient aussi à une pluralité de personnes publiques compétentes. La safe city est censée améliorer la sécurité publique, le smart urban planning s’intéresse à l’aménagement du territoire et le smart transporation, aux transports. Au demeurant, il faut également ajouter qu’il est réducteur de se limiter à l’aspect environnemental car, en pratique, certains outils permettent de remplir plusieurs objectifs : une caméra pourra servir aussi bien à vérifier que les véhicules respectent les normes de pollution qu’à contrôler la sécurité de la voie publique.

Il existe indéniablement un contexte juridique favorable au développement de solutions environnementales par le numérique, comme l’indiquait l’introduction générale de cet article. L’objet de cette étude est donc de s’interroger sur la latitude que laisse le cadre juridique aux personnes publiques pour concevoir des outils numériques qui permettent d’agir en faveur de l’environnement, le tout dans le respect du droit à la vie privée. Ce n’est, in fine, qu’une étude localisée du grand compromis que constitue le RGPD entre le libre exercice des activités économiques et la protection des personnes.

Le propos ne portera effectivement que sur les données personnelles. Non pas que les données non personnelles ne soient pas pertinentes, bien au contraire, leur utilisation est de plus en plus massive et devrait d’ailleurs être priorisée dans le cas de la smart city. La raison tient plutôt à ce que cette catégorie de données est moins intéressante puisque, par définition, elle désigne celles qui ne permettent pas l’identification des personnes. Il est de plus en plus fréquent que le croisement de données non personnelles mène à l’identification des personnes, mais alors c’est bien le droit des données personnelles qui a, de nouveau, vocation à s’appliquer. Cette situation doit donc faire l’objet d’une attention particulière du responsable de traitement, mais elle se situe à la marge du sujet abordé ici.

Pour répondre à la question qui retient notre attention, il convient d’abord de souligner, à l’instar de tout autre traitement soumis au RGPD, l’importance d’adapter le motif de licéité au mode de fonctionnement et aux ambitions poursuivies par le traitement (2.1). Plus précisément, ensuite, il sera possible de constater que les traitements liés aux politiques de smart city peuvent poursuivre plusieurs objectifs à la fois et que, dans cette hypothèse, aucune règle n’établit de hiérarchie en faveur de l’environnement. Il en résulte le risque d’une contradiction frontale entre l’objectif environnemental et les autres objectifs, voire une instrumentalisation de l’objectif environnemental pour légitimer des traitements attentatoires aux libertés (2.2).

2.1. Le choix essentiel d’un motif de licéité adapté aux modalités du traitement

Du point de vue juridique, la première préoccupation qui doit être celle des responsables de traitements de données est sa légalité. Pour cela, l’article 6, § 1 du RGPD30 prévoit un ensemble de six motifs de licéité. Dans le cas de personnes publiques qui souhaitent créer des traitements de données personnelles en faveur de l’environnement, il semble qu’il faille restreindre les motifs de licéité à deux, qui concernent de surcroît deux situations factuelles profondément différentes. D’un côté, les traitements qui ont vocation à s’appliquer dans l’espace public se fonderont principalement sur le motif de la nécessité du traitement au regard d’une mission d’intérêt public31. De l’autre, les traitements ayant vocation à s’appliquer dans l’espace privé ou auprès d’individus se reposeront surtout le motif énoncé à l’article 6, § 1, sous a) du RGPD qui traite du consentement32. Partant, il est critique pour les personnes publiques d’éviter l’écueil qui consiste à utiliser un motif de licéité qui n’est pas adapté à la physionomie du projet de traitement au vu des risques en termes de droits fondamentaux (2.1.1). Or, le motif de la nécessité liée aux missions d’intérêt public demeure flou dans ses modalités de mise en œuvre et laisse une trop grande marge d’appréciation aux personnes publiques pour créer des traitements en faisant l’économie d’une réflexion sur son utilité (2.1.2.).

2.1.1. Un risque de confusion des motifs de licéité au détriment des droits fondamentaux

Pour les personnes publiques, la licéité du traitement renvoie tout simplement au principe de légalité, qui est au centre de l’action administrative et consiste en une simple prescription : il faut agir conformément au droit33, au risque de commettre une faute susceptible d’engager sa responsabilité34. Dans cette optique, les six motifs de licéité énoncés par le RGPD n’ont rien de cosmétique. Les juristes doivent réfléchir avant la mise en œuvre du traitement sur quel motif ils souhaitent explicitement se fonder, car c’est l’un des premiers points du contrôle qui pourrait être réalisé par la Commission nationale de l’informatique et des libertés (CNIL). Le fait de se fonder sur un motif erroné ou de ne pas en sélectionner entraîne l’illégalité du traitement et un risque de sanction35. Il faut donc retenir l’option la plus adaptée au regard des finalités poursuivies, ce qui n’est pas évident eu égard au caractère très abstrait du RGPD. Dans le cas qui intéresse cette étude, deux motifs semblent principalement envisageables.

Le motif de nécessité à une mission d’intérêt public est adapté aux traitements massifs, notamment au sein de l’espace public. Pour l’illustrer, il suffit d’imaginer un système de vidéoprotection de la voie publique qui servirait à sanctionner plusieurs infractions environnementales comme le non-respect de la pollution sonore36 et des normes de pollution de l’air, ce dernier cas étant de plus en plus fréquent dans le cadre des zones à faibles émissions37 créées par la loi d’orientation des mobilités, déjà adoptées par onze métropoles et dont la loi Climat et Résilience de 2021 a étendu l’application obligatoire à toutes les métropoles de plus de 150 000 habitants dès 202438. En mettant de côté le fait que de tels traitements doivent suivre des formalités supplémentaires et des obligations spécifiques, car ils ont trait à la prévention et à la détection d’infractions pénales39, ce fondement est logique puisque le traitement est déployé sur l’espace public pour des finalités d’intérêt général et qu’il n’est heureusement pas question de récolter le consentement de toutes les personnes qui circulent dans l’espace public. L’intérêt crucial de ce motif est qu’il permet d’écarter le droit d’opposition des personnes par un texte législatif ou réglementaire sous certaines conditions de nécessité et de proportionnalité40. Ainsi, les personnes ne peuvent pas refuser que leurs données personnelles soient collectées et traitées, ce qui est nécessaire pour un traitement sur l’espace public.

À l’inverse, le second motif concerne des traitements qui se basent sur le consentement41 des utilisateurs, lesquels sont d’une utilité plus localisée. Ce sera le cas d’une mairie ou d’une métropole qui encouragera ses habitants à télécharger une application qui leur permet un meilleur accès aux infrastructures de transport en commun, de vélos ou encore qui permet d’informer sur les places de stationnement disponibles en centre-ville. Ces applications fonctionnent donc sur le consentement à la récolte d’un certain nombre de données et, notamment, de la géolocalisation. Dans cette situation, à l’inverse, il sera très compliqué de faire passer le traitement sur la « nécessité42 » des missions d’intérêt public puisque ce motif se situe dans une logique totalement opposée à celle du consentement. Là où le consentement suppose un choix individuel, la nécessité implique, fondamentalement, de passer outre le choix de la personne, tout du moins de considérer que l’accord de la personne est donné par principe, quitte à ce le droit d’opposition lui soit reconnu.

Pour le résumer de manière un peu simpliste, si le traitement est nécessaire, alors il n’y a pas besoin du consentement, car les missions d’intérêt public justifient l’absence de choix. À l’inverse, il est illogique de se fonder sur le consentement si la mission d’intérêt public justifie de réduire cette liberté de choix. En réalité, l’appréciation de la nécessité est liée à la mission d’intérêt public et à la proportionnalité du dispositif, c’est-à-dire si les finalités poursuivies ne peuvent pas être atteintes par des moyens moins invasifs. Très souvent donc, les traitements fondés sur le consentement ont plutôt un caractère incitatif, vertueux d’un point de vue de l’environnement, mais tout à fait incitatif et donc non nécessaire à la réalisation d’une mission d’intérêt public.

L’ensemble de ces précisions permet de souligner que, sans que cela soit automatiquement illégal, il est excessivement difficile de concevoir un traitement licite fondé sur le motif du consentement si celui-ci a vocation à se déployer dans l’espace public. Par exemple, dans un « appel à la vigilance43 » du 17 juin 2020, la CNIL s’est prononcée sur l’utilisation de caméras intelligentes qui mesuraient le taux de respect du port du masque44. Bien qu’elles ne fussent pas directement visées, il s’agissait en fait de mesures prises par la municipalité de Cannes sur l’un de ses marchés communaux et par la Régie autonome des transports parisiens à la station Châtelet-Les-Halles. À cette occasion, la CNIL a abordé notamment une fonctionnalité permettant à l’usager de « faire non de la tête » pour manifester son opposition à la collecte des données par la caméra. Sans préjuger du motif de licéité sur lequel ces traitements étaient fondés, elle a considéré que cette modalité d’opposition était non conforme au RGPD, car elle était trop contraignante pour les personnes, difficile à généraliser et tout simplement inefficace45. Il suffit de se représenter des hordes de passagers matinaux en train de secouer frénétiquement la tête face à une caméra pour comprendre qu’effectivement une telle implémentation n’est ni souhaitable ni satisfaisante.

On comprend alors a contrario que, si le consentement devait être donné avant l’accès au service public, une réelle problématique se poserait. Les personnes ne souhaitant pas donner leur consentement seraient de facto empêchées d’emprunter les transports publics qui contribuent à la réduction de l’utilisation de la voiture et donc des émissions de gaz à effet de serre. Au demeurant, le problème se pose aussi dans le cas d’un traitement fondé sur la mission d’intérêt public si aucun texte ne prévoit d’écarter le droit d’opposition. Dans les deux hypothèses, il est matériellement impossible de scinder les transports publics en deux, entre les personnes qui acceptent que leurs données personnelles soient traitées et les autres. C’est ce qui explique que, dès lors que le contrôle du port du masque a été officialisé, le gouvernement se soit tourné vers le motif de la mission d’intérêt public et ait ainsi écarté le droit à opposition. Les traitements précités ont en effet inspiré le gouvernement qui en a généralisé l’utilisation après une saisine de la CNIL pour avis. Même si cela ne ressort pas explicitement de l’avis de la CNIL46 et du décret, le fondement retenu semble avoir été celui des missions d’intérêt public (Netter, 2021) et sans surprise, le droit d’opposition a été expressément écarté47.

Le choix des fondements est donc prédéterminé par les finalités du traitement et ses modalités pratiques. Les fondements, quant à eux, sont pensés pour constituer des garanties qui permettent, en théorie, d’éviter que des traitements attentatoires à la liberté et à l’utilité cosmétique soient déployés dans l’espace public. Néanmoins, cette protection n’est effective que si la CNIL est à même de contrôler les traitements utilisés par les autorités publiques, ce qui implique que ces dernières fassent preuve de plus de transparence. Ce n’est pourtant actuellement pas le cas.

2.1.2. La persistance d’imprécisions regrettables concernant le motif de la nécessité liée à une mission d’intérêt public

L’exemple de la mesure du taux de port du masque dans les transports l’atteste, il y a un risque de confusion des motifs de licéité qui peut conduire, outre à l’illégalité du traitement, à ce que les modalités de celui-ci ne permettent pas d’assurer un respect effectif du droit au respect de la vie privée. La raison décisive tient, à notre avis, au fait que le motif de la nécessité liée à une mission d’intérêt public souffre encore de trop d’imprécisions, lesquelles laissent une marge d’appréciation trop vaste aux personnes publiques.

Tout d’abord, la notion de mission d’intérêt public exigée par le paragraphe 3 de l’article 6 du RGPD est difficile à appréhender48. Certes, la mission peut être définie par un texte de droit européen ou de droit national, étant précisé que, dans ce dernier cas, le texte peut être de nature législative ou réglementaire49. Cette notion semble néanmoins être interprétée très largement. Lors de ses contrôles, la CNIL fait rarement référence à un texte précis, mais se borne plutôt à vérifier si les finalités du traitement renvoient aux compétences des autorités publiques50. Il est donc plausible de considérer que les larges compétences reconnues par les textes aux collectivités territoriales sont suffisantes pour constituer des bases textuelles à la mission d’intérêt public, fussent-elles liées aux questions environnementales. C’est notamment le cas de l’article L. 1111-2 du Code général des collectivités territoriales qui dispose que ces dernières concourent « à l’aménagement du territoire, […] ainsi qu’à la protection de l’environnement, à la lutte contre l’effet de serre par la maîtrise et l’utilisation rationnelle de l’énergie, et à l’amélioration du cadre de vie » ou encore de l’article L. 110-2 du Code de l’environnement en ce qu’il affirme que les personnes publiques doivent « veiller à la sauvegarde et contribuer à la protection de l’environnement ». La pratique décisionnelle de la CNIL de ne pas viser de texte en particulier dans son contrôle du motif des nécessités liées à une mission d’intérêt public permet en tout cas aux personnes publiques de ne pas forcément se référer à un texte précis, mais plutôt de mettre en avant le lien du traitement avec leurs compétences lesquelles sont énoncées dans des termes si généraux qu’elles permettent, théoriquement, de concevoir un nombre considérable de traitements.

Quant à la question de la dérogation du droit d’opposition par un texte législatif ou réglementaire, il subsiste un doute important auquel la CNIL devrait prochainement répondre, à savoir est-ce qu’une délibération d’un conseil municipal ou métropolitain ou un arrêté du maire est une « mesure du droit de l’État » susceptible d’écarter certains droits et ici notamment le droit d’opposition au sens de l’article 23 du RGPD ? La question se pose sérieusement car, si l’article 23, § 1 du RGPD parle de « mesures législatives » du droit de l’État membre, cette expression ne s’entend pas nécessairement au sens du règlement comme « l’adoption d’un acte législatif par un parlement51 ». S’il ne fait pas de doute que, pour la CNIL et le Conseil d’État, les décrets peuvent écarter le droit à opposition, la question demeure pour les arrêtés ou les délibérations prises au niveau local. Le texte européen laisse ainsi une marge d’appréciation aux autorisations nationales qui a pu récemment être illustrée par une affaire jugée par le Conseil d’État dans un contentieux analogue52, avec comme limites, d’une part, le fait que la mesure doive respecter « l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique53 » et, d’autre part, le principe de sécurité juridique54.

La réponse à cette question semble donc périlleuse à bien des égards, car elle est plus politique que juridique. Y répondre négativement viendrait rendre excessivement difficile le déploiement des types de traitements évoqués ici puisque l’assentiment du pouvoir central serait nécessaire pour écarter le droit d’opposition. Un certain nombre de traitements devraient donc disparaître. Y répondre positivement encouragerait les collectivités à multiplier des traitements qui visent à contrôler l’espace public et sur lesquels la CNIL tente d’appeler à la plus grande vigilance. S’il fallait néanmoins trouver un avantage, ce serait celui de révéler publiquement des traitements qui sont le plus souvent cachés à la population en raison de leur caractère politiquement sensible. Cette pratique est d’autant plus courante que le RGPD a marqué le passage d’un régime d’autorisation à une logique de contrôle a posteriori par une CNIL trop peu dotée financièrement (CNIL, 2022b55). Cela n’incite pas les personnes publiques à se pencher sur la licéité de leurs traitements ou à en informer le public. L’ouverture d’une telle possibilité présente donc également le risque de submerger la CNIL de saisines et les juridictions administratives de recours.

Une première réponse semble avoir été apportée par le Conseil d’État, mais uniquement à l’occasion de l’exercice de sa fonction consultative. Plusieurs municipalités dont la ville de Marseille avaient été mises en demeure de régulariser leur système de contrôle du stationnement payant, dans la mesure où le recueil de plaques minéralogiques était automatique alors que le traitement n’écartait pas le droit d’opposition. Après discussions entre les associations d’élus locaux et le Premier ministre ainsi que le ministère chargé des transports, un projet de décret prévoyant d’autoriser les communes à écarter le droit d’opposition a été soumis à la section de l’intérieur du Conseil d’État. Dans une lettre envoyée à l’Association des maires de France et publiée en ligne, le directeur général des infrastructures, des transports et des mobilités au ministère chargé des Transports révèle que la section s’est montrée favorable à ce qu’une délibération puisse écarter le droit d’opposition (Coquil, 2023). Le ministère a, de plus, accompagné sa lettre d’une note d’éclairage juridique qui précise bien qu’un motif d’intérêt général doit être invoqué et que la délibération doit contenir les éléments exigés par l’article 23, § 2 du RGPD pour pouvoir être légale (ministère de la Transition écologique, 2023). Reste qu’il serait intéressant que cette position soit définitivement confirmée par la section du contentieux du Conseil d’État.

Malgré tout, qu’il soit question d’environnement ou non, le déploiement de traitements de données personnelles par les personnes publiques au nom de la smart city ne peut pas faire l’économie d’une réflexion sur les motifs de licéité. Il en va d’une part de l’efficacité du traitement et donc, de l’action publique, et d’autre part de la protection des personnes. Si le droit au respect de la vie privée vient évidemment à l’esprit, la spécificité des traitements déployés par les personnes publiques ou en leur nom est qu’elle touche aussi aux conditions d’accès aux services publics. Il y a là, une raison supplémentaire pour renforcer les exigences à leur égard, mais aussi une nécessité d’étudier plus en profondeur la manière avec lesquelles les finalités affichées par ces traitements sont poursuivies.

2.2. Le risque constant d’une contrariété entre l’objectif environnemental et les autres objectifs poursuivis par les traitements de données personnelles

Au-delà de la base légale, le droit des données personnelles est tout à fait ouvert à ce qu’un seul et même traitement de données personnelles poursuive une pluralité d’objectifs. Aucune règle juridique n’encadre néanmoins la compatibilité de ces objectifs entre eux. En conséquence, la hiérarchisation des finalités est laissée à la discrétion du responsable du traitement. Dans le cas de l’objectif environnemental, cette absence est regrettable (2.2.1). La crainte d’une marginalisation de cet objectif est renforcée par le fait que le marché de l’innovation et les instruments contractuels à disposition des personnes publiques poussent à un croisement des finalités qui n’assure pas qu’une place de choix soit réservée aux enjeux environnementaux (2.2.2).

2.2.1. L’absence regrettable de bilan coût/avantage du bénéfice environnemental tiré de l’outil numérique

Une fois le palier de la licéité franchie, le responsable de traitement doit aussi réfléchir au respect d’un ensemble de principes définis à l’article 5, § 1 du RGPD. Au milieu de tous ces principes, c’est celui de minimisation qui semble particulièrement important dans le cas de la smart city. Ces solutions reposent en effet sur la collecte de grands volumes de données personnelles. Or, en vertu de ce principe, les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées56 ». Il n’est pas ici question de s’étendre sur le fond de ce principe, mais plutôt de remarquer que, dans le cadre de la présente étude, ce principe de minimisation des données personnelles se double d’un principe, implicite, de minimisation de l’impact environnemental de l’outil smart city. L’idée n’est pas de dire que le droit doit forcément prévoir ce second principe de minimisation, mais plutôt de rappeler que l’autorité administrative n’est ni obligée de tenir compte du coût environnemental de la solution, ni de le confronter aux bénéfices environnementaux qui sont attendus une fois l’outil déployé.

Cette liberté n’a rien d’illogique, sur le plan local elle est même tout à fait classique dans l’optique du principe de libre administration des collectivités territoriales57 ou de la clause générale de compétence de la commune. Simplement, il existe forcément un risque qui pourrait se résumer au solutionnisme technologique ou au greenwashing. En somme, s’il faut minimiser la collecte des données personnelles pour éviter de tomber dans l’illégalité, il est possible de concevoir un outil de smart city parfaitement légal même si son impact environnemental est négatif. Or, il n’est pas difficile d’arriver à ce résultat. La fabrication des capteurs stimule le recours aux industries extractives qui constitue d’ailleurs l’écrasante majorité du coût environnemental du numérique (ADEME/ARCEP, 2022, p. 15-1758). La captation constante, le transfert des données récoltées et leur stockage dans des serveurs consomment aussi de l’énergie dans des proportions non négligeables. Pis, puisque la smart city ne concerne pas que des actions en faveur de l’environnement, il est impossible d’empêcher une solution qui poursuit une pluralité d’objectifs en même temps que la protection de l’environnement, mais qui produirait, à cette occasion, un effet négatif sur celui-ci. C’est, il nous semble, le cas des caméras ou des drones parlants qui permettent à un agent d’interpeller les personnes commettant toutes sortes d’incivilités. D’un point de vue strictement environnemental, il existe un risque de disproportion dans le cas d’une caméra fonctionnant plusieurs heures par jour (VHK, Viegand Maagøe, 2020, p. 151-15359) si elle ne conduit qu’à éviter que quelques détritus soient jetés au sol60. Certes, les bénéfices attendus en termes de sécurité pourraient toujours être avancés pour compenser ce surcoût environnemental, même si un récent rapport de la Cour des comptes ne relève « aucune corrélation globale […] entre l’existence de dispositifs de vidéoprotection et le niveau de la délinquance commise sur la voie publique, ou encore les taux d’élucidation » (Cour des comptes, 2020, p. 7061). Il n’en demeure pas moins que, d’un point de vue environnemental, l’utilité de ces dispositifs est douteuse, à moins qu’ils soient, par exemple, placés à des endroits connus pour servir de décharge sauvage62. Or, dans le cas des mairies qui ont ou ont eu recours à ces dispositifs63, il n’est jamais clairement déterminé quelle place prend la motivation environnementale par rapport aux objectifs sécuritaires ou sanitaires.

Il n’est d’ailleurs pas question de défendre l’idée que cette forme de bilan coût/avantage environnemental doive être rendue juridiquement obligatoire. Au contraire, à la réflexion, il est très difficile, pour ne pas dire impossible, de déterminer ce bilan avec certitude. Les méthodes d’estimations scientifiques sont variées et ne prennent pas en compte les mêmes paramètres ou ne leur accordent pas la même importance. Dès lors que les dimensions sociales s’ajoutent, cette estimation devient même totalement inenvisageable, tout du moins les problématiques sont démultipliées par le simple facteur du comportement humain. Par exemple, une application qui informe des places de parking disponibles en ville n’encourage pas forcément à prendre les transports en commun. La même réflexion s’étend au covoiturage qui peut parfois revenir financièrement moins cher que le train malgré un coût environnemental supérieur.

L’autre problème majeur qui se pose vis-à-vis du principe de minimisation des données personnelles, mais aussi de minimisation de l’impact environnemental réside justement dans la multiplication des finalités poursuivies par un seul et même traitement. Plus un traitement poursuit de finalités, plus il est susceptible d’avoir besoin d’un grand nombre de données, moins il est susceptible de minimiser la collecte et le traitement de ces dernières. De la même manière, plus les finalités sont nombreuses, plus leur conciliation pose problème. S’il est tout à fait compréhensible que le cadre juridique du droit des données personnelles laisse une large liberté aux personnes publiques pour prendre en charge ces problématiques qui appellent de toute façon à des réponses au cas par cas, leurs choix sont cependant orientés par d’autres facteurs.

2.2.2. Une réalité économique et un cadre juridique encourageant le croisement des finalités au détriment probable de l’objectif environnemental

Le croisement des finalités par une seule et même solution technologique est en pratique tout à fait courant pour une raison qui tient au caractère compétitif de ce marché, aspect renforcé par le cadre juridique qui permet de formaliser ces projets. Il est rarissime que l’outil technologique soit développé par les services des personnes publiques qui n’en ont généralement ni les moyens ni les compétences techniques. Ces solutions sont dans leur écrasante majorité vendues par des personnes privées à des personnes publiques (Picaud, 2020, p. 864). Cette situation concurrentielle les incite à livrer des solutions ou des services qui peuvent aider à la réalisation d’un grand nombre de missions des personnes publiques dans une optique de mutualisation et d’économie des deniers publics, en bref, d’efficacité de l’action publique (Courmont, 2020, p. 12165). Mais la raison tient aussi et surtout à ce que les instruments contractuels à la disposition des personnes publiques66 mettent le caractère innovant des offres au centre des critères qui permettent aux sociétés privées de remporter le développement, l’expérimentation ou encore la mise en œuvre et la maintenance de la solution smart city. C’est notamment le cas du partenariat d’innovation et surtout du marché global de performance qui ont été tous deux créés pour permettre aux personnes publiques de favoriser les nouveaux usages de la technologie (ministère de l’Économie, 2021, p. 184-190).

Deux raisons principales expliquent pourquoi ces deux instruments sont adaptés. Les solutions liées à la smart city sont généralement coûteuses et impliquent une diversité de compétences techniques. Or, ces contrats permettent d’associer plusieurs cocontractants67 tout en étant susceptibles de déroger au principe d’allotissement68 qui impliquerait un fractionnement trop contraignant des marchés. Enfin, et de manière plus évidente, le caractère innovant ou les critères de performance et les possibilités laissées par le Code encouragent les candidats à proposer des solutions croisant les finalités.

Le partenariat d’innovation permet d’envisager conjointement une phase de recherche et de développement puis, éventuellement, une phase d’achat de la solution (Bélot, 2017, p. 19). Le Code de la commande publique (CCP) définit le caractère innovant de manière très laconique, mettant en avant « les travaux, fournitures ou services nouveaux ou sensiblement améliorés69 ». Pour pouvoir y recourir, l’acheteur doit également apporter la preuve que la solution adaptée au besoin n’est pas disponible sur le marché. Dès lors, cette forme contractuelle traduit déjà la volonté de bénéficier de nouvelles prestations, laquelle peut résider dans une poursuite efficace de plusieurs finalités par un seul et même outil. Il est tout du moins vraisemblable que ce motif puisse constituer un caractère nouveau ou sensiblement amélioré. Certes, le critère d’indisponibilité de la solution sur le marché peut dissuader les acheteurs de recourir à cet outil. Un rapport parlementaire de 2017 préconisait d’assouplir ce critère en le remplaçant par l’obligation de « prouver [que l’acheteur] a suivi la procédure lui permettant d’évaluer si des solutions existent, ce qui devrait limiter l’incertitude juridique » (ibid., p. 70). Une simple recherche sur le bulletin officiel des annonces des marchés publics démontre effectivement que cet outil est encore utilisé de manière extrêmement marginale. Cette solution a pourtant été privilégiée dans certains cas, comme dans celui du syndicat départemental d’énergie Morbihan Énergies, qui y a eu recours pour son projet de smart territories lancé en 2019.

Le marché global de performance est, pour sa part, beaucoup plus populaire. Il « associe l’exploitation ou la maintenance à la réalisation ou à la conception-réalisation de prestations70 ». Sa spécificité réside dans l’imposition d’« un ou plusieurs critères relatifs aux objectifs de performance définis en fonction de l’objet du marché71 » en plus du critère du coût global. Il a d’ailleurs été avant tout pensé pour des innovations en faveur de l’environnement puisque les objectifs mesurés « sont définis notamment en termes de niveau d’activité, de qualité de service, d’efficacité énergétique ou d’incidence écologique72 ». Il s’agit là d’une option sans doute plus confortable puisqu’elle n’implique pas le risque relatif au caractère indisponible de la solution sur le marché. La possibilité d’imposer des critères de performance est évidemment essentielle, notamment si le critère environnemental est prédominant. Il s’agit de l’outil privilégié des grands projets smart city comme celui de la métropole de Dijon, qui est réalisé avec des sociétés telles que Capgemini, Suez ou encore des sociétés du groupe Bouygues et du groupe EDF.

Il faut enfin noter que ces deux outils permettent aisément de bénéficier d’une procédure avec négociation ou d’une procédure de dialogue compétitif73, que ce soit en raison du caractère innovant de la solution74 ou du fait que le marché global portera sur des prestations de conception75. Il en résulte un dialogue construit avec les cocontractants potentiels qui ne manqueront pas de mettre en avant les applications multiples de leurs solutions pour se démarquer de leurs concurrents. Conjuguées à la souplesse du contrôle juridictionnel sur la phase de définition des besoins76, ces procédures assurent aux candidats et aux pouvoirs adjudicateurs un cadre suffisamment libre. Au demeurant, les acheteurs ont également régulièrement recours à la technique de l’accord‑cadre pour surpasser cette exigence, comme ce fut le cas dans le projet Morbihan Énergies. S’il est toujours possible pour la personne publique de choisir une stricte définition de ses besoins qui fermerait la porte au croisement des finalités, ce n’est pas la philosophie adoptée par certaines collectivités, lesquelles encouragent plutôt à un véritable concours Lépine des innovations technologiques (Bélot, 1017, p. 4377).

En somme, le droit de la commande publique, mais aussi le contexte économique poussent au croisement de finalités qui ne sont pas hiérarchisées en droit. Il en résulte le risque d’une forme de solutionnisme technologique incité tant par les outils contractuels que par la situation financière des collectivités, malgré l’émergence de règles78 et de solutions79 censées limiter le coût environnemental du numérique dans l’achat public. À nouveau, le but n’est pas ici de regretter la liberté nécessairement large laissée aux personnes publiques, mais plutôt de noter que la protection de l’environnement peut en pâtir.

Il semble donc que la smart city ne promette pas de faire mieux pour l’environnement, mais qu’elle tente de faire différemment, c’est-à-dire de contenir le caractère énergivore ou néfaste pour l’environnement des innovations technologiques. Elle ne renonce pour autant pas à ces dernières. Une chose est sûre, elle doit surtout éviter de faire pire. Mais, sur ce dernier point, le droit n’intervient pas. Cet angle mort juridique est donc compréhensible, mais il est aussi révélateur du constat que le cadre juridique du droit des données personnelles se fonde sur l’idée que le développement économique n’est pas contradictoire avec la protection de l’environnement. Ce constat n’est sans doute pas surprenant, mais il est nécessaire de le questionner, au moins sur l’absence de conciliation entre la finalité environnementale et les autres finalités. La lutte contre le réchauffement climatique et en faveur de l’environnement passe sans aucun doute par une hiérarchisation des finalités de l’action publique. Or, en droit des données personnelles, cette hiérarchisation ne repose aujourd’hui que sur la bonne volonté des personnes publiques et elle apparaît orientée par les solutions qu’offre le droit de la commande publique vers une forme de centralisation des buts poursuivis par un seul et même outil, en dépit des risques de contrariété entre ces objectifs.

Conclusion

L’étude du cadre juridique qui régit les outils de la smart city développés dans une perspective environnementale permet de rationaliser l’apport du modèle. La conciliation entre la protection des données personnelles et la plus-value réelle des outils invite à en réduire considérablement les usages. À l’inverse, les données non personnelles devraient être priorisées mais, si elles sont pourvoyeuses de solutions intéressantes, il serait naïf de croire qu’elles joueront un rôle primordial pour régler la crise climatique. La conclusion de cette étude pourrait alors être décevante mais, en réalité, ce cadre paraît tout à fait conforme aux objectifs de la politique environnementale française. Derrière la smart city et tous les autres cas d’usage du numérique en faveur de l’environnement évoqués dans notre contribution, il y a un idéal de croissance économique et le cadre juridique se révèle tout à fait réceptif à cette idée, en ce qu’il permet de la favoriser sans trop d’encombres. Est-ce toujours vrai à l’heure où, ayant manifestement lu Pierre Charbonnier (2020), le président de la République ne parle plus de start-up nation80 mais de « fin de l’abondance » ? Seul l’avenir le dira.

1 Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à

2 Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations

3 Commissioneuropéenne, Proposition de règlement du Parlement européen et du Conseil sur des règles harmonisées relatives à l’accès équitable aux

4 Commissioneuropéenne, Proposition de règlement sur la gouvernance européenne des données (Data Governance Act), COM(2020) 767 final, 25 novembre

5 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JORF n° 0235, 8 octobre 2016, texte n° 1.

6 Les cinq principes généraux du RGPD présentés dans les développements figurent à l’article 5.

7 RGPD, art. 25.

8 Délibération de la CNIL n° 2012-404 du 15 novembre 2012 portant recommandation relative au traitement des données de consommation détaillées

9 Ibid.

10 Loi n° 2016-1321, précit., texte n° 1.

11 Commissioneuropéenne, Proposition de règlement du Parlement européen et du Conseil sur des règles harmonisées relatives à l’accès équitable aux

12 Data Act, art. 3.

13 Ibid., art. 5.

14 Ibid., art. 14 et s.

15 Commissioneuropéenne, Proposition de règlement sur la gouvernance européenne des données (Data Governance Act), précit.

16 Conseil de l’Union européenne, « Le Conseil approuve l’acte sur la gouvernance des données », communiqué de presse du 16 mai 2022.

17 C. énergie, art. L. 111-72 pour le gestionnaire du réseau de transport d’électricité et art. L. 111-73 pour les gestionnaires des réseaux de

18 C. énergie, art. R. 111-26.

19 CPI, art. L. 112-3.

20 Sur l’étendue de la protection, voir CPI, art. L. 342-1 à L. 342-6. Sur la notion d’investissement substantiel, et not. son interprétation

21 Voir not. CAA de Bordeaux, 26 février 2015, n° 13BX00856, Société Notre famille.com : JurisData n° 2015-006245 (Lambot, 2015).

22 Loi n° 2016-1321, précit., texte n° 1.

23 « La smart city repose sur un discours générique standardisé qui promeut une vision commune à l’ensemble des industriels IT de ce qu’est la ville

24 Plus largement pour une étude sur la communication institutionnelle des communes, laquelle évoque notamment le rôle des discours d’élus, voir Côme

25 Il n’existe pas de cartographie publique complète sur le phénomène. Néanmoins, les cartes du Cerema mentionnent une partie des initiatives en

26 Voir le dossier « Troyes smart city » dans le magazine municipal Press’Troyes (Bourgoin, 2019).

27 Voir surtout le jugement du TA de Marseille qui annule la convention formalisant l’expérimentation : TA de Marseille, 27 février 2020, La

28 « [Les smarts cities] correspondent bien à un vocabulaire international qui désigne toute une série d’évolutions actuelles dans le fonctionnement

29 « L’Union internationale des télécommunications, qui est l’agence des Nations unies spécialisée dans les technologies de l’information et de la

30 Repris à l’article 5 de la loi Informatique et Libertés.

31 RGPD, art. 6, § 1, sous e).

32 Le motif contractuel (art. 6, § 1, sous b) peut lui aussi être tout à fait adapté. Néanmoins, il sera volontairement laissé de côté dans la mesure

33 Pour plus de développements, notamment historiques, voir Plessix (2022, p. 645-647).

34 Cons. État, Sect., 26 janvier 1973, Ville de Paris c/ Driancourt, n° 84768, Lebon, p. 78.

35 Par exemple pour une récente décision de sanction : CNIL (Formation restreinte), délibération SAN-2022-019 du 17 octobre 2022, Société Clearview

36 Il s’agit d’une infraction réprimée par l’article R. 318-3 du Code de la route. Concernant le niveau de décibels admis selon le type de véhicule

37 Art. L. 2213-4-1 du Code général des collectivités territoriales créé par l’article 86 de la loi n° 2019-1428 du 24 décembre 2019 dite loi d’

38 Art. L. 2213-4-1, al. 3 du Code général des collectivités territoriales tel que modifié par l’article 119 de la loi n° 2021-11401 du 22 août 2021

39 Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère

40 RGPD, art. 23, § 1, spéc. sous c) et d).

41 Entendu, au sens de l’article 4, § 11 du RGPD comme : « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la

42 La nécessité renvoie à l’idée que le traitement doit constituer un moyen approprié et le moins attentatoire possible au droit à la protection des

43 Cet acte peut s’assimiler plus largement aux mises en garde, pratique tout à fait courante des autorités administratives indépendantes dans le

44 Il semble que le traitement ne servait qu’à mesurer le taux du port de masque et à déclencher des messages audio ou une intervention à titre

45 Cette position a été réaffirmée dans une position sur le déploiement des vidéos intelligentes prises après consultation publique : « Les

46 CNIL, Délibération n° 2020-136 du 17 décembre 2020 portant avis sur un projet de décret relatif au recours à la vidéo intelligente pour mesurer le

47 Art. premier, II du décret n° 2021-269 du 10 mars 2021 relatif au recours à la vidéo intelligente pour mesurer le taux de port de masque dans les

48 En réaction à des recommandations de la Commission européenne, le Comité européen de la protection des données a ainsi pu considérer que la

49 Même si cela n’est pas développé dans la présente étude, cette indifférence à la nature législative ou réglementaire doit être questionnée au

50 Par ex., dans le cadre d’un avis rendu sur un projet de décret qui élargit le champ des données récoltées par le traitement automatisé relatif au

51 Pt. 41 des considérations introductives au règlement.

52 En ce sens : Cons. État, 23 novembre 2022, Association InterHop, n° 456162, not. cons. 7 à 9. Il était ici question de transfert de données de

53 RGPD, art. 23, § 1.

54 Ibid. : « Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible

55 Certes, les dotations de personnels de la CNIL ont augmenté de 25 % entre 2019 et 2022, mais la présidente de l’autorité pointe elle-même dans son

56 RGPD, art. 5, § 1, sous c).

57 Constitution, art. 72, al. 3.

58 L’étude affirme que le cycle de fabrication des objets numériques représente la large majorité de l’impact environnemental du numérique (calculé

59 L’étude, commandée par la Commission européenne, propose un calcul puis une projection, de la consommation énergétique des caméras vidéo en Europe

60 En 2021, le maire de la ville de Lunel a ainsi diffusé via un Tweet une vidéo de promotion des caméras parlantes vantant leur rôle en faveur de la

61 Ce constat doit néanmoins être nuancé, car le rapport déplore l’absence d’études suffisamment sérieuses et systématiques sur cette question.

62 Au demeurant, il s’agit déjà d’un motif qui peut justifier le recours à des dispositifs de vidéoprotection sur l’espace public. Il faut néanmoins

63 Ces révélations ont la plupart du temps lieu par voie de presse et, malgré nos recherches et sollicitations des mairies, aucun acte ne formalisant

64 « Au-delà de la question urbaine et du recours croissant aux nouvelles technologies, la fin des années 2000 connaît aussi une récession économique

65 « Fournisseurs historiques des administrations publiques et privées, IBM et Cisco sont des protagonistes majeurs de la promotion de ce modèle de

66 Pour une étude plus large sur les outils contractuels, voir Brenet (2022).

67 CCP, art. R. 2172-30 : « L’acheteur peut décider de mettre en place un partenariat d’innovation avec un ou plusieurs opérateurs économiques qui

68 Dans le cas du marché global de performance, cette dérogation est affirmée par l’article L. 2171-1 du CCP. En ce sens : Cons. État, 8 avril 2019

69 CCP, art. L. 2172-3.

70 Ibid.

71 CCP, art. R. 2171-3 : « Un ou plusieurs critères relatifs aux objectifs de performance définis en fonction de l’objet du marché. »

72 CCP, art. L. 2171-3.

73 Pour les pouvoirs adjudicateurs, les conditions pour bénéficier d’une procédure de dialogue compétitif sont calquées sur celles qui permettent de

74 CCP, art. R. 2124-3, 2°.

75 CCP, art. R. 2124-3, 3°.

76 Marion Ubaud-Bergeron note ainsi que « les juges n’ont presque jamais sanctionné une procédure sur le seul motif d’une évaluation incorrecte des

77 Le rapport établit une distinction entre l’approche incrémentale, qui tente d’intégrer progressivement les finalités, et l’approche globale, qui

78 Citons ici l’obligation de prise en compte de l’indice de réparabilité (art. L. 541-9-2 du Code de l’environnement) lors de l’achat public de

79 C’est notamment le cas du « Guide pratique pour des achats numériques responsables », publié par plusieurs services ministériels et

80 E. Macron, discours prononcé au salon VivaTech le 15 juin 2017 : « I want France to be a “start-up Nation”, meaning both a nation that works with

Bibliographie

Les adresses citées dans cette bibliographie ont été consultés le 16 février 2024.

ADEME/ARCEP, 2022, Évaluation de l’impact environnemental du numérique en France et analyse prospective. Évaluation environnementale des équipements et infrastructures numériques en France Synthèse du 2e volet de l’étude, [https://www.arcep.fr/uploads/tx_gspublication/etude-numerique-environnement-ademe-arcep-volet02-synthese_janv2022.pdf]

Auby J.-B., 2018, « Algorithmes et smart cities : données juridiques, Revue générale du droit on line, contribution au colloque Les algorithmes publics des 12 et 13 avril 2018 à l’Université de Lorraine (Metz), n° 29878

Autorité de la concurrence, 2016, Droit de la concurrence et données, rapport

Beatrix O., 2018, « Open data et secteur de l’énergie : le début de l’histoire », RFDA, n° 1, p. 49

Bélot L. (dir.), 2017, De la smart city au territoire d’intelligence[s], rapport au Premier ministre sur l’avenir des smarts cities

Bensamoun A., Groffe J., 2013, « Création numérique », Répertoire de droit civil, Paris, Dalloz, p. 34-45

Bourgoin L., 2019, « Troyes smart city », Press’ Troyes, n° 288, p. 14-21, [https://fr.calameo.com/read/00003027726c8d1dadccd]

Brenet F., 2022, « Villes intelligentes et commande publique : vers de nouvelles formes de contrats ? », Droit et ville, n° 93, p. 237-255

Brousseau E., 2022, « Organiser la valorisation de l’or noir du xxie siècle », Annales des Mines. Enjeux numériques, n° 18, p. 15-23

Buckman A. H., Mayfield M., Beck S. B., 2014, « What is a smart building? », Smart and Sustainable Built Environment, vol. 3, n° 2, p. 92-109

Caisse des dépôts, 2016, « Smart city versus stupid village ? », [https://www.banquedesterritoires.fr/sites/default/files/2019-02/Guide%20Smart%20city%20versus%20stupid%20village.pdf]

CEPD, 2020, « Letter concerning the European Commission’s draft guidance on apps supporting the fight against the covid-19 pandemic », [https://edpb.europa.eu/sites/default/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf]

Charbonnier P., 2020, Abondance et liberté. Une histoire environnementale des idées politiques, Paris, La Découverte

Choné F., 2017, « L’énergéticien du xxie siècle : le numérique au service du consommateur et de la transition énergétique », Annales des Mines. Responsabilité et environnement, n° 87, p. 43-44

Ciriani S., 2015, « The economic impact of the European reform of data protection », Communications & Strategies, n° 97, p. 41-58

CNIL, 2022a, « Caméras dites “intelligentes” ou “augmentées” dans les espaces publics », [https://www.cnil.fr/sites/cnil/files/atoms/files/cameras-intelligentes-augmentees_position_cnil.pdf]

CNIL, 2022b, « Plan stratégique 2022-2024. Être à vos côtés pour construire une société numérique de confiance », [https://www.cnil.fr/sites/cnil/files/atoms/files/cnil_plan_strategique_2022-24.pdf]

CNIL, 2019, « Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position », communiqué de presse du 29 octobre 2019, [https://www.cnil.fr/fr/experimentation-de-la-reconnaissance-faciale-dans-deux-lycees-la-cnil-precise-sa-position]

CNIL, 2014, « Pack de conformité sur les compteurs communicants », [https://www.cnil.fr/sites/cnil/files/typo/document/Pack_de_Conformite_COMPTEURS_COMMUNICANTS.pdf]

Côme T., Magne S., Steyer A., 2018, « Être ou ne pas être une smart city : une étude empirique des innovations valorisées sur le site Web des villes », Gestion et management public, vol. 7, n° 2, p. 73-101

Commissariat général au développement durable, 2020, « L’empreinte carbone des Français reste stable », [https://www.statistiques.developpement-durable.gouv.fr/media/3537/download?inline]

Coquil T., 2023, « Lettre à l’attention de la présidente de France urbaine, du président de l’Association des maires de France, du président d’Intercommunalités de France et du président du Groupement des autorités responsables de transport », 13 janvier 2023, [https://medias.amf.asso.fr/docs/DOCUMENTS/c03e73062603a64cda1116cc559e64d2.pdf]

Cour des comptes, 2020, Les polices municipales, rapport public thématique

Courmont A., 2020, « Où est passée la smart city ? Firmes de l’économie numérique et gouvernement urbain », dans I. Laudier, L. Renou (dir.), Prospective et co-construction des territoires au xxie siècle, Paris, Hermann, p. 119-131

Courmont A., Vincent M., 2020, « Smart cities : des politiques numériques faiblement politisées », Metropolitiques.eu, [https://metropolitiques.eu/Smart-Cities-des-politiques-numeriques-faiblement-politisees.html]

CRE (Commission de régulation de l’énergie), 2017 Rapport du comité d’études relatif aux données dont disposent les gestionnaires de réseaux et d’infrastructures d'énergie, rapport

Denolle A.-S., 2022, « La smart city à l’heure du réchauffement climatique : un modèle fantasmé », Droit et ville, n° 93, p. 203-217

Dijon Métropole, 2019 « Dijon métropole met en service un projet inédit de smart city en France », dossier de presse du 11 avril 2019

Fabrégat S., 2018 « Trois solutions pour optimiser la production photovoltaïque », Actu Environnement, 25 juillet 2018, [https://www.actu-environnement.com/ae/news/solutions-optimiser-production-photovoltaique-reduire-prix-31746.php4]

Flament M., Pegouret C., 2020, Stratégies collectives en intelligence artificielle appliquée à l’énergie, mémoire de fin d’étude, EMLyon Business School, [https://extranet.thinksmartgrids.fr/?get_group_doc=9/1601387643-PFEFLAMENTPEGOURET-StratgiescollectivesenIntelligenceArtificielleappliquelnergie.pdf]

Fourmon A., 2021, « Performance énergétique des bâtiments », JurisClasseur Environnement et développement durable, Paris, LexisNexis, fasc. 4440

Fourmon A., 2018, « Ouverture des données énergétiques et big data », Énergie, Environnement, Infrastructures, n° 4, comm. 22

Groupe RATP, 2020, Rapport d’activité et de développement durable 2019, [https://www.ratp.fr/sites/default/files/inline-files/RATP-RADD-2020-FR_01.pdf]

Hidalgo A., 2015, « Communication de la maire de Paris sur le plan stratégique Paris intelligent et durable. Perspective 2020 et au-delà », 26 mai 2015, [https://cdn.paris.fr/paris/2022/06/15/bb1b8ecacbf238edb6fea3bbe57fb1dc.pdf]

Hillerstörm H., Troborg U., 2010, Customized LCA for network cameras, KTH Industrial Engineering and Management, thèse

IEA (International Energy Agency), 2021, Net zero by 2050: A roadmap for the global energy sector, rapport, [https://www.iea.org/reports/net-zero-by-2050]

Jasanoff J., Kim S. H. (dir.), 2015, Dreamscapes of modernity: Sociotechnical imaginaries and the fabrication of power, Chicago, University of Chicago Press

Keller J., 2022, « Le Data Act : de nouvelles règles de partage des données », Dalloz Actualité, [https://www.dalloz-actualite.fr/flash/data-act-de-nouvelles-regles-de-partage-des-données]

Hervet B., 2020, « Les villes intelligentes sont mieux armées pour gérer les crises », LinkedIn, 17 avril 2020

Lambot G., 2015, « Quand le juge administratif fait échec au droit de réutilisation des informations publiques. CAA de Bordeaux, 26 février 2015, n° 13BX00856, Société Notre famille.com : JurisData n° 2015-006245 », La semaine juridique. Administrations et collectivités territoriales, n° 30-34, 2239

Lavrijssen S., Espinosa Apráez B., Ten Caten T., 2022, « The legal complexities of processing and protecting personal data in the electricity sector », Energies, vol. 15, n° 3, 1088

Les Échos, 2019, « Transition énergétique : la donnée, clé du succès ? », [https://www.lesechos.fr/partenaires/enedis-la-transition-connecte/transition-energetique-la-donnee-cle-du-succes-1131172]

Ministère de l’Économie, 2021, « Les cas d’usage des territoires intelligents », dans De la smart city à la réalité des territoires connectés. L’émergence d’un modèle français, rapport, Data Publica/KPMG, p. 50‑68, [https://www.entreprises.gouv.fr/files/files/en-pratique/etudes-et-statistiques/dossiers-de-la-DGE/rapport_de_la_smart_city_a_la_realite_des_territoires_connectes.pdf ]

Ministère de la Transition écologique, 2023, Note d’éclairage juridique relative à la possibilité pour une collectivité territoriale ou un groupement de collectivités compétentes d’écarter le droit d’opposition à la collection du numéro d’immatriculation des véhicules dans le cadre du stationnement payant sur la voie publique, [https://medias.amf.asso.fr/docs/DOCUMENTS/55812066b5f133fe2d06a53d40ce73db.pdf]

Netter E., 2021, « “Vidéo intelligente” et port du masque dans les transports : la nécessité du malentendu », Dalloz IP/IT : droit de la propriété intellectuelle et du numérique, n° 7-8, p. 415

Paroutis S., Bennett M., Heracleous L., 2014, « A strategic view on smart city technology: The case of IBM smarter cities during a recession », Technological Forecasting and Social Change, vol. 89, p. 262-272

Pécresse V., 2017, « De la smart city à la région intelligente », Les cahiers de l’Institut d’aménagement et d’urbanisme de la Région Île-de-France, n° 174, p. 3

Picaud M., 2020 « Les smart cities : un gouvernement par la performance à l’échelle locale ? Analyse de la construction d’un marché de dispositifs numériques pour l’espace urbain en France », Working Paper n° 5, Sciences Po Cities and Digital Technology Chair [www.sciencespo.fr/ecole-urbaine/sites/sciencespo.fr.ecole-urbaine/files/2020_05%20-%20Picaud%20(1).pdf]

Pirson T., Bol D., 2021, « Assessing the embodied carbon footprint of IoT edge devices with a bottom-up life-cycle approach », Journal of Cleaner Production, vol. 322

Plessix B., 2022, Droit administratif général, 3e éd., Paris, LexisNexis

Stein A. L., 2020, « Artificial intelligence and climate change », Yale Journal on Regulation, vol. 37, p. 890-939

Ubaud-Bergeon M., 2019, Droit des contrats administratifs, 3e éd., Paris, LexisNexis

VHK/Viegand Maagøe, 2020, ICT Impact Study. Final report, Commission européenne, [https://susproc.jrc.ec.europa.eu/product-bureau/sites/default/files/2020-11/IA_report-ICT_study_final_2020_(CIRCABC).pdf]

Vincent M., 2020, « Faire la smart city dans une ville moyenne française : de la numérisation des services publics à l’attractivité territoriale, les trajectoires entrepreneuriales de Béthune et Nevers », Working Paper, n° 3, SciencesPo Paris, chaire « Villes et Numérique »

Notes

1 Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne.

2 Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public.

3 Commission européenne, Proposition de règlement du Parlement européen et du Conseil sur des règles harmonisées relatives à l’accès équitable aux données et à leur utilisation équitable (Data Act), COM(2022) 68 final, 23 février 2022.

4 Commission européenne, Proposition de règlement sur la gouvernance européenne des données (Data Governance Act), COM(2020) 767 final, 25 novembre 2020.

5 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JORF n° 0235, 8 octobre 2016, texte n° 1.

6 Les cinq principes généraux du RGPD présentés dans les développements figurent à l’article 5.

7 RGPD, art. 25.

8 Délibération de la CNIL n° 2012-404 du 15 novembre 2012 portant recommandation relative au traitement des données de consommation détaillées collectées par les compteurs communicants.

9 Ibid.

10 Loi n° 2016-1321, précit., texte n° 1.

11 Commission européenne, Proposition de règlement du Parlement européen et du Conseil sur des règles harmonisées relatives à l’accès équitable aux données et à leur utilisation équitable (Data Act), précit.

12 Data Act, art. 3.

13 Ibid., art. 5.

14 Ibid., art. 14 et s.

15 Commission européenne, Proposition de règlement sur la gouvernance européenne des données (Data Governance Act), précit.

16 Conseil de l’Union européenne, « Le Conseil approuve l’acte sur la gouvernance des données », communiqué de presse du 16 mai 2022.

17 C. énergie, art. L. 111-72 pour le gestionnaire du réseau de transport d’électricité et art. L. 111-73 pour les gestionnaires des réseaux de distribution d’électricité.

18 C. énergie, art. R. 111-26.

19 CPI, art. L. 112-3.

20 Sur l’étendue de la protection, voir CPI, art. L. 342-1 à L. 342-6. Sur la notion d’investissement substantiel, et not. son interprétation jurisprudentielle par la Cour de justice des communautés européennes, voir Cour de justice de l’Union européenne, 9 novembre 2004 (quatre arrêts), The British Horseracing Board Ltd c/ W. Hill Organization Ltd, aff. C-203/02, Fixtures Marketing Ltd c/ Oy Veikkaus Ltd, aff. C-46/02, Fixtures Marketing Ltd c/ Svenska Spel AB, aff. C-338/02, Fixtures Marketing Ltd c/ OPAP, aff. C-444/02, obs. F. PollaudDulian, RTD Com., 2005, p. 90.

21 Voir not. CAA de Bordeaux, 26 février 2015, n° 13BX00856, Société Notre famille.com : JurisData n° 2015-006245 (Lambot, 2015).

22 Loi n° 2016-1321, précit., texte n° 1.

23 « La smart city repose sur un discours générique standardisé qui promeut une vision commune à l’ensemble des industriels IT de ce qu’est la ville numérique. Ce discours véhicule un “imaginaire socio-technique” (Jasanoff, Kim, 2015), construit par des entreprises de l’économie numérique, notamment IBM et Cisco, afin d’enrôler des acteurs urbains et gagner de nouveaux marchés. »

24 Plus largement pour une étude sur la communication institutionnelle des communes, laquelle évoque notamment le rôle des discours d’élus, voir Côme, Magne, Steyer (2018). Cet argument a par exemple été largement mobilisé en Île-de-France, par Anne Hidalgo à la mairie (Hidalgo, 2015) et par Valérie Pécresse à la Région (Pécresse, 2017).

25 Il n’existe pas de cartographie publique complète sur le phénomène. Néanmoins, les cartes du Cerema mentionnent une partie des initiatives en matière de smart city des métropoles de plus de 250 000 habitants. Voir en ce sens (https://smart-city.cerema.fr/]. Il ne faut néanmoins pas en déduire que le phénomène se limite aux grandes villes. Des rapports incitent les collectivités de taille modeste à penser une telle politique et quelques études empiriques analysent ce mouvement, voir : Vincent, 2020 ; Caisse des dépôts, 2016.

26 Voir le dossier « Troyes smart city » dans le magazine municipal Press’Troyes (Bourgoin, 2019).

27 Voir surtout le jugement du TA de Marseille qui annule la convention formalisant l’expérimentation : TA de Marseille, 27 février 2020, La Quadrature du net et autres, n° 1901249.

28 « [Les smarts cities] correspondent bien à un vocabulaire international qui désigne toute une série d’évolutions actuelles dans le fonctionnement concret des villes qui rayonnent autour du numérique et de ce que celui-ci apporte à l’amélioration de ce fonctionnement » (Auby, 2018).

29 « L’Union internationale des télécommunications, qui est l’agence des Nations unies spécialisée dans les technologies de l’information et de la communication, a pris le soin en 2015 de définir la smart city comme une ville faisant usage des technologies de l’information et de la communication TIC, afin d’“améliorer la qualité de vie, l’efficacité de l’exploitation et des services urbains, et la compétitivité” tout en prenant en considération les besoins des générations présentes et futures en ce qui concerne les aspects économiques, sociaux et environnementaux » (Denolle, 2022, p. 203).

30 Repris à l’article 5 de la loi Informatique et Libertés.

31 RGPD, art. 6, § 1, sous e).

32 Le motif contractuel (art. 6, § 1, sous b) peut lui aussi être tout à fait adapté. Néanmoins, il sera volontairement laissé de côté dans la mesure où son esprit n’est pas fondamentalement différent de celui du consentement, bien qu’il présente certains aspects techniques particuliers.

33 Pour plus de développements, notamment historiques, voir Plessix (2022, p. 645-647).

34 Cons. État, Sect., 26 janvier 1973, Ville de Paris c/ Driancourt, n° 84768, Lebon, p. 78.

35 Par exemple pour une récente décision de sanction : CNIL (Formation restreinte), délibération SAN-2022-019 du 17 octobre 2022, Société Clearview AI, § 101 : « La formation restreinte rappelle, ensuite, l’extrême gravité du manquement à l’article 6 du RGPD. En effet, la société met en œuvre ce traitement en toute illicéité puisqu’elle ne dispose d’aucun fondement juridique à cette fin : ni intérêt légitime du responsable de traitement, ni consentement des intéressés. » Il convient néanmoins de préciser que, dans le cas où les traitements sont mis en place pour le compte de l’État ou qu’il s’agit de traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, le responsable du traitement n’encourt aucune sanction pécuniaire. Voir, en ce sens, art. 20, III de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

36 Il s’agit d’une infraction réprimée par l’article R. 318-3 du Code de la route. Concernant le niveau de décibels admis selon le type de véhicule, voir l’arrêté du 13 avril 1972 relatif au bruit des véhicules automobiles.

37 Art. L. 2213-4-1 du Code général des collectivités territoriales créé par l’article 86 de la loi n° 2019-1428 du 24 décembre 2019 dite loi d’orientation des mobilités et modifié par l’article 119 de la loi n° 2021-11401 du 22 août 2021 dite loi Climat et Résilience et décret n° 2022-99 du 1er février 2022 relatif aux conditions de l’instauration d’une zone à faibles émissions mobilité.

38 Art. L. 2213-4-1, al. 3 du Code général des collectivités territoriales tel que modifié par l’article 119 de la loi n° 2021-11401 du 22 août 2021 dite loi Climat et Résilience. Il convient néanmoins de noter qu’un récent décret énonce des dérogations, assez restreintes, à l’obligation de mise en place des zones à faibles émissions mobilités : décret n° 2022-1641 du 23 décembre 2022 relatif aux conditions de l’instauration d’une zone à faibles émissions mobilité dans les agglomérations de plus de 150 000 habitants situées sur le territoire métropolitain.

39 Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, transposée aux articles 87 à 114 de la loi informatique et libertés.

40 RGPD, art. 23, § 1, spéc. sous c) et d).

41 Entendu, au sens de l’article 4, § 11 du RGPD comme : « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d’un traitement. »

42 La nécessité renvoie à l’idée que le traitement doit constituer un moyen approprié et le moins attentatoire possible au droit à la protection des données personnelles, pour permettre la réalisation de la mission d’intérêt public. Dans une affaire à laquelle la Cour de justice se réfère régulièrement (CJUE, Gde ch., 22 juin 2021, Latvijas Republikas Saeima, aff. C-439/19), elle vérifie « en particulier si, eu égard à la gravité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel […], celle-ci apparaît justifiée, et notamment proportionnée, aux fins de la réalisation des objectifs poursuivis » (pt. 106). Elle vérifie aussi que le traitement répond à « l’objectif d’intérêt général [poursuivi à travers la mission d’intérêt public], sans aller au-delà de ce qui est nécessaire pour réaliser cet objectif » (pt. 109). Pour mener ce contrôle à bien, la Cour de justice s’appuie aussi sur le considérant 39 du RGPD qu’elle synthétise : « Cette exigence de nécessité n’est pas remplie lorsque l’objectif d’intérêt général visé peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel garantis aux articles 7 et 8 de la Charte, les dérogations et les restrictions au principe de la protection de telles données devant s’opérer dans les limites du strict nécessaire » (pt. 110).

43 Cet acte peut s’assimiler plus largement aux mises en garde, pratique tout à fait courante des autorités administratives indépendantes dans le cadre de leur pouvoir d’autosaisine par laquelle elles attirent l’attention sur une problématique spécifique relevant de leurs compétences.

44 Il semble que le traitement ne servait qu’à mesurer le taux du port de masque et à déclencher des messages audio ou une intervention à titre purement préventif si celui-ci était trop bas. Il n’était donc pas question de sanctionner les individus.

45 Cette position a été réaffirmée dans une position sur le déploiement des vidéos intelligentes prises après consultation publique : « Les conditions d’exercice du droit d’opposition apparaissent, la plupart du temps, difficilement acceptables en pratique, indépendamment de leur effectivité, comme par exemple exprimer son opposition par un mouvement corporel significatif, le placement dans un espace dédié ou un marquage au sol, le fait de porter un vêtement, emprunter des parcours alternatifs, etc. De telles modalités font souvent peser une contrainte trop lourde, voire irréaliste, dans la vie quotidienne » (CNIL, 2022a, p. 14).

46 CNIL, Délibération n° 2020-136 du 17 décembre 2020 portant avis sur un projet de décret relatif au recours à la vidéo intelligente pour mesurer le taux de port de masque dans les transports.

47 Art. premier, II du décret n° 2021-269 du 10 mars 2021 relatif au recours à la vidéo intelligente pour mesurer le taux de port de masque dans les transports : « En application du paragraphe 1 de l’article 23 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, les droits d’accès, de rectification, d’opposition ainsi que les droits à l’effacement et à la limitation […] ne s’appliquent pas à ce traitement. »

48 En réaction à des recommandations de la Commission européenne, le Comité européen de la protection des données a ainsi pu considérer que la licéité des applications de contact tracing proposées par les personnes publiques pendant la crise de Covid-19 ne relevait pas « nécessairement » du consentement, mais qu’il était plus pertinent qu’elles relèvent de la mission d’intérêt public, malgré le fait que leur fonctionnement reposait uniquement sur une base volontaire (CEPD, 2020). Tout porte à croire, néanmoins, qu’il s’agit là d’un cas assez particulier car ce rattachement à la mission d’intérêt public s’explique, d’une part, par la nature sensible des données collectées et, d’autre part, par la dimension plus protectrice qu’offre la mission d’intérêt public d’un point de vue de la sécurité juridique et des droits fondamentaux, eu égard au fait qu’elle comporte obligatoirement une base légale en droit interne, contrairement au consentement.

49 Même si cela n’est pas développé dans la présente étude, cette indifférence à la nature législative ou réglementaire doit être questionnée au regard du domaine de la loi dans la mesure où certains traitements semblent pouvoir se rattacher aux garanties fondamentales pour l’exercice de libertés publiques. Voir, en ce sens, CNIL (2022a, p. 16).

50 Par ex., dans le cadre d’un avis rendu sur un projet de décret qui élargit le champ des données récoltées par le traitement automatisé relatif au recensement des enfants soumis à l’obligation scolaire et par l’amélioration du suivi de l’assiduité, la CNIL se borne à constater « que ce traitement n’est pas obligatoire, mais constitue une faculté pour le maire et relève dès lors de l’exécution d’une mission d’intérêt public au sens du e) du 1. de l’article 6 du RGPD ». Voir CNIL, Délibération n° 2021-135 du 18 novembre 2021 portant avis sur un projet de décret en Conseil d’État modifiant les articles R. 131-3, R. 131-4 et R. 131-10-2 du Code de l’éducation. Cela ressort encore plus explicitement d’une autre délibération concernant des traitements à des fins d’études : « Les traitements mis en œuvre par la FNORS et l’OR2S s’inscriront dans le cadre de l’exécution des missions d’intérêt public dont ils sont investis. Ces traitements sont, à ce titre, licites au regard de l’article 6.1.e du RGPD. »

51 Pt. 41 des considérations introductives au règlement.

52 En ce sens : Cons. État, 23 novembre 2022, Association InterHop, n° 456162, not. cons. 7 à 9. Il était ici question de transfert de données de santé à l’étranger autorisées dans le cadre du nouveau système national des données de santé, notamment au regard des conséquences de l’arrêt Schrems II ayant conduit à l’annulation de la décision d’adéquation de la Commission européenne autorisant le transfert de données personnelles entre l’Union européenne et les États-Unis (dite Privacy shield). Le Conseil d’État applique notamment l’article 49, § 1, sous d) du RGPD qui autorise les transferts de données vers des États tiers ou des organisations internationales malgré l’absence de décision d’adéquation si « le transfert est nécessaire pour des motifs importants d’intérêt public ». Il en conclut que le décret, en se bornant à renvoyer aux dispositions législatives qui autorisent un « accès ponctuel » qui n’a vocation à jouer que lorsqu’un « motif d’intérêt public » est invoqué, est conforme au RGPD.

53 RGPD, art. 23, § 1.

54 Ibid. : « Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne. »

55 Certes, les dotations de personnels de la CNIL ont augmenté de 25 % entre 2019 et 2022, mais la présidente de l’autorité pointe elle-même dans son plan stratégique 2022-2024 que : « Malgré tout, répondre à toutes les sollicitations et besoins en très forte croissance sur le terrain restent un défi quotidien pour l’institution, qui doit rester un régulateur efficace, pragmatique et moderne » (2022b).

56 RGPD, art. 5, § 1, sous c).

57 Constitution, art. 72, al. 3.

58 L’étude affirme que le cycle de fabrication des objets numériques représente la large majorité de l’impact environnemental du numérique (calculé sur la base de l’émission de CO2). Ainsi, la fabrication et l’utilisation des terminaux numériques (écrans, ordinateurs, caméras) représentent entre 63,6 et 92 % des émissions de CO2 liées au secteur du numérique (bien loin devant le fonctionnement des data centers et des réseaux).

59 L’étude, commandée par la Commission européenne, propose un calcul puis une projection, de la consommation énergétique des caméras vidéo en Europe. Le stockage et la captation sont estimés à 6,53 TWh (térawatts-heure) en 2020 et 8,61 Twh en 2025. La consommation des caméras reste très difficile à estimer car les technologies utilisées varient et peu d’études spécifiquement dédiées aux caméras de surveillance existent. La plupart y font référence via la catégorie beaucoup plus large d’Internet des objets, au point que certains objets dans cette catégorie seront parfois jusqu’à 150 fois plus coûteux en CO2 que d’autres lors d’une analyse sur le cycle de vie (Pirson, Bol, 2021). Une étude de 2010 se focalisant sur une caméra réseau commercialisée par la société Axis Communications, qui se revendique comme la plus attachée à limiter la consommation d’énergie, estime que, durant son cycle de vie, la caméra de surveillance étudiée consomme 662 kg de CO2 (dont 610 kg pour la seule utilisation). Voir Hillerstörm, Troborg (2010, p. 32). À titre de comparaison, en 2018, on estimait que chaque Français émettait 11 tonnes de CO2, tandis que la trajectoire des Accords de Paris voudrait que cette émission soit réduite à 2,1 tonnes de CO2 (Commissariat général au développement durable, 2020).

60 En 2021, le maire de la ville de Lunel a ainsi diffusé via un Tweet une vidéo de promotion des caméras parlantes vantant leur rôle en faveur de la propreté, sans préciser si ces caméras seraient utilisées à d’autres fins.

61 Ce constat doit néanmoins être nuancé, car le rapport déplore l’absence d’études suffisamment sérieuses et systématiques sur cette question.

62 Au demeurant, il s’agit déjà d’un motif qui peut justifier le recours à des dispositifs de vidéoprotection sur l’espace public. Il faut néanmoins préciser que l’ajout d’une fonctionnalité parlante constitue une solution qui n’est pas envisagée par le Code de la sécurité intérieure et il peut donc s’agir d’un traitement de données personnelles distinct. En ce sens, voir CNIL (2022a, p. 11).

63 Ces révélations ont la plupart du temps lieu par voie de presse et, malgré nos recherches et sollicitations des mairies, aucun acte ne formalisant l’un de ces traitements n’a pu être trouvé. Il est possible de citer, pêle-mêle, les communes d’Hyères (2019), de Mandelieu-la-Napoule (2016), de Lunel (2021) ou de Toulouse (2018).

64 « Au-delà de la question urbaine et du recours croissant aux nouvelles technologies, la fin des années 2000 connaît aussi une récession économique. Celle-ci a favorisé le repositionnement d’entreprises en difficulté, telles que Cisco ou IBM, sur ce marché. Elles tentent de revendre leur offre, initialement destinée aux grandes entreprises, à des gouvernements locaux (Paroutis, Bennett, Heracleous, 2014). »

65 « Fournisseurs historiques des administrations publiques et privées, IBM et Cisco sont des protagonistes majeurs de la promotion de ce modèle de la smart city auprès des villes. Confrontées à la récession économique de 2008, ces firmes IT se sont tournées vers le secteur public en lui promettant des gains d’optimisation par l’usage des nouvelles technologies d’analyse de données. » Les entreprises l’ont aussi bien compris. Voir en ce sens le post publié par Bruno Hervet, P-DG de Suez, sur son compte LinkedIn dans lequel il défend le poste centralisé OnDijon en ces termes : « La mutualisation de plusieurs postes de contrôle en un seul offre une plus grande transversalité des services. Cet outil permet donc de moderniser et d’améliorer l’efficacité de l’action publique grâce à une meilleure coordination, anticipation, connaissance du territoire et rapidité de réaction » (Hervet, 2020).

66 Pour une étude plus large sur les outils contractuels, voir Brenet (2022).

67 CCP, art. R. 2172-30 : « L’acheteur peut décider de mettre en place un partenariat d’innovation avec un ou plusieurs opérateurs économiques qui exécutent les prestations de manière séparée dans le cadre de contrats individuels. »

68 Dans le cas du marché global de performance, cette dérogation est affirmée par l’article L. 2171-1 du CCP. En ce sens : Cons. État, 8 avril 2019, n° 426096 et n° 426914, Société Orange et Région Réunion, comm. H. Hoepffner, Contrats et marchés publics, n° 6, juin 2019, comm. 188. Dans le cas du partenariat d’innovation, si le principe d’allotissement est conservé, ses conditions de mise en œuvre, notamment celle tenant au fait que la solution ne soit pas déjà disponible sur le marché, semblent pouvoir justifier d’une dérogation par rapport à l’objet du marché au sens de l’article L. 2113-10 du CCP ou une difficulté technique ou financière au sens de l’article L. 2113-11 du même code, étant noté qu’en toutes hypothèses, ce refus d’allotissement doit être motivé par le pouvoir adjudicateur.

69 CCP, art. L. 2172-3.

70 Ibid.

71 CCP, art. R. 2171-3 : « Un ou plusieurs critères relatifs aux objectifs de performance définis en fonction de l’objet du marché. »

72 CCP, art. L. 2171-3.

73 Pour les pouvoirs adjudicateurs, les conditions pour bénéficier d’une procédure de dialogue compétitif sont calquées sur celles qui permettent de recourir à une procédure avec négociation : CCP, art. R. 2124-5 : « Le pouvoir adjudicateur peut passer ses marchés selon la procédure du dialogue compétitif dans les cas mentionnés à l’article R. 2124-3. » Pour les entités adjudicatrices, le recours au dialogue compétitif est libre : CCP, art. R. 2124-6.

74 CCP, art. R. 2124-3, 2°.

75 CCP, art. R. 2124-3, 3°.

76 Marion Ubaud-Bergeron note ainsi que « les juges n’ont presque jamais sanctionné une procédure sur le seul motif d’une évaluation incorrecte des besoins, un tel contrôle s’avérant d’ailleurs assez délicat à apprécier et se limitant à un contrôle de l’erreur manifeste d’appréciation » (2019, p. 253).

77 Le rapport établit une distinction entre l’approche incrémentale, qui tente d’intégrer progressivement les finalités, et l’approche globale, qui tente de croiser les finalités dès la phase de conception.

78 Citons ici l’obligation de prise en compte de l’indice de réparabilité (art. L. 541-9-2 du Code de l’environnement) lors de l’achat public de produits numériques pour l’État, les collectivités et leurs groupements (art. 15 de la loi n° 2021-1485 du 15 novembre 2021 visant à réduire l'empreinte environnementale du numérique en France).

79 C’est notamment le cas du « Guide pratique pour des achats numériques responsables », publié par plusieurs services ministériels et interministériels sous l’égide du ministère de la Transition écologique en avril 2022.

80 E. Macron, discours prononcé au salon VivaTech le 15 juin 2017 : « I want France to be a “start-up Nation”, meaning both a nation that works with and for the start-up, but also a nation that thinks and moves like a start-up » (« Je veux que la France soit une start-up Nation, c’est-à-dire à la fois une Nation qui travaille avec et pour les start-up, mais aussi une Nation qui pense et agit comme une start-up », notre traduction).

Citer cet article

Référence électronique

Antoine Oumedjkane et Thomas Le Goff, « L’encadrement juridique des solutions numériques au service de la protection de l’environnement », Amplitude du droit [En ligne], 3 | 2024, mis en ligne le 21 mars 2024, consulté le 21 novembre 2024. URL : https://amplitude-droit.pergola-publications.fr/index.php?id=621 ; DOI : https://dx.doi.org/10.56078/amplitude-droit.621

Auteurs

Antoine Oumedjkane

Maître de conférences en droit public, Univ Lille (CRD&P – ERDP) ; antoine.oumedjkane@gmail.com

Thomas Le Goff

Maître de conférences en droit et régulation du numérique, Telecom Paris, Institut polytechnique de Paris, Institut interdisciplinaire de l’innovation (i3 – UMR CNRS 9217) ; thomas.legoff@telecom-paris.fr

Droits d'auteur

Licence Creative Commons – Attribution 4.0 International – CC BY 4.0