L’exemple édifiant du premier “quartier connecté” commandé à Alphabet, société du groupe Google, par la ville de Toronto, interroge de façon plus générale sur la prise en compte de la réglementation des traitements de données à caractère personnel dans le cadre des marchés publics : les projets de smart cities, même de moindre envergure, mobilisent en effet par définition un grand nombre de ces traitements, visant par exemple à optimiser les flux de circulation automobile ou la distribution de l’énergie (smart grids).
Au regard des catégories historiques de la réglementation (reprises pour l’essentiel dans le nouveau règlement général sur la protection des données), l’Etat ou la collectivité territoriale qui est à l’initiative d’un tel projet sera de toute évidence désigné comme responsable des traitements mis en oeuvre (éventuellement de façon conjointe avec la ou les société(s) prestataire(s)). Il en découle, pour ce responsable, l’obligation de s’assurer (et de pouvoir démontrer) que le projet est bien conforme aux exigences de la protection des données à caractère personnel ; en particulier, il s’agira, au titre de l’obligation de privacy by design et by default, d’opter constamment pour les solutions les plus respectueuses de cette protection.
Du point de vue des procédures de la commande publique, cela signifie prendre en compte ces aspects réglementaires depuis la détermination des critères de mise en concurrence jusqu’au choix final du prestataire et de son projet : toutes choses égales par ailleurs, ce choix ne pourra ainsi porter que sur le projet le plus protecteur, à savoir notamment le plus économe en traitements et le plus sécurisé. Pour satisfaire par ailleurs au principe de transparence et d’accountability, il conviendra donc d’accorder une importance toute particulière à la rédaction d’un volet “Données personnelles” du cahier des charges – davantage en tous cas que ne l’ont fait, outre-atlantique, les commanditaires torontois (voir l’annexe C de l’appel d’offres publié)…
Quant au prestataire candidat, il va sans dire que la compliance représente ici encore, dans son intérêt, un argument commercial décisif.