Equipées de capteurs collectant des données, s’appuyant sur des systèmes d’information pour optimiser leurs services, favorisant un usage croissant du digital, les smart cities sont de plus en plus connectées. Le revers de la médaille ? L’augmentation des risques de sécurité liés au numérique. Afin de préserver le fonctionnement de la ville et de ses services, mais aussi de protéger les données personnelles de leurs administrés, les collectivités se doivent d’agir. Or, ces sujets restent aujourd’hui à la marge de leurs préoccupations.
L’enjeu des données personnelles
Du côté des données, Régis Chatellier, chargé des études innovation et prospective à la CNIL (Commission nationale de l’informatique et des libertés), note une évolution de l’approche smart city. Elle a commencé par la sollicitation d’un seul opérateur technique pour superviser une ville. Ensuite est venue la Civic Hackers, une ville dans laquelle les citoyens produisent eux-mêmes les données pour développer des services. Enfin une approche plus transversale, portée par les grands industriels, est en train d'émerger. « L’entreprise Waze demande actuellement aux villes leurs données, notamment celles concernant les travaux de voirie, cite en exemple Régis Chatellier. Ces informations, complémentaires à celle que la société collecte auprès des citoyens, permettent d’améliorer son offre de service. »
Un service qui se substitue à celui que pourrait proposer une commune pour répondre aux attentes de ses administrés. « Les villes moyennes n’ayant pas les moyens de développer leur propre plate-forme, elles sont tentées d’accepter cette proposition de partage des données » indique le représentant de la CNIL. Dans ce contexte se posent les questions du consentement citoyen, de l’anonymisation des informations, de l’éthique des algorithmes ou encore de la souveraineté des données... « On doit pouvoir faire valoir ses droits sur ses données, peu importe qui les collecte ou le lieu où elles sont stockées » plaide Régis Chatellier.
Le risque cyber
L’autre volet sécuritaire de la smart city, lié aux nouvelles technologies, est le risque cyber. « Il se définit par la rencontre entre les vulnérabilités d’un système d’information, les menaces générées par un ou des agents malveillants et les impacts potentiels » indique Yves Verhoeven, sous-directeur des relations extérieures et coordination à l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Il concerne aussi bien les opérateurs d’importance vitale du pays, que les futurs opérateurs d’importance essentielle (définis par la directive européenne de juillet 2016 sur la sécurité des réseaux et de l’information, et dont les dysfonctionnements sont susceptibles d’impacter fortement l’économie française) ou que les collectivités.
Dans une smart city, le risque cyber est accru par la présence d’objets connectés, piliers des services innovants proposés par la ville. « Ils font potentiellement peser un risque sur la sûreté des personnes, accru par l’interconnexion des services, souligne Yves Verhoeven. Les services sont en effet portés par des systèmes d’information distincts mais interconnectés pour mettre en relation les feux de signalisation, l’éclairage, la distribution d’énergie, etc. » Rassemblées, les données collectées permettent par exemple de définir des itinéraires alternatifs afin de fluidifier le trafic routier et, par conséquent, de réduire les émissions de CO². Un enjeu, parmi d’autres, dans la ville inteligente.
Or, si le risque cyber peut se maîtriser, « il est particulièrement complexes à appréhender pour la smart city et il est nécessaire qu’une gouvernance soit mise en place pour traiter ce sujet, y compris par les collectivités » insiste Yves Verhoeven. Mais les villes n’ont pas toujours les compétences ou les moyens financiers pour faire avancer ce sujet. L’ANSSI n’a d’ailleurs pas connaissance aujourd’hui qu’un projet smart city « ait entamé une prise en compte du risque cyber à son juste niveau ». Loin d’être fataliste face à cette situation, l’institution a commencé à déployer des agents sur le terrain pour sensibiliser les collectivités à ces questions. La CNIL œuvre en parallèle pour accompagner les communes de plus de 3 500 habitants sur l’anonymisation des données, une initiative inscrite dans le cadre des démarches Open Data qui leur seront obligatoires en 2018.