Interview de Pascal Alix, avocat et correspondant informatique et libertés, par le Moniteur sur les effets du RGPD dans le domaine des bâtiments connectés. Point rapide sur les grands principes et les impacts du RGPD dans le secteur du bâtiment et de la construction et piste pour une méthode.

1. Réglementation
72 l Le Moniteur 19mai2017
Bâtiment connecté
« La protection des
données doit être prise
en compte très en amont »
Lacollecteetlaprotectiondesdonnéespersonnelles
vont-elles devenir le cauchemar des ­acteurs du bâ-
timent connecté ? Une réglementation européenne,
applicabledansunan,vaeneffetrenforcerlesobliga-
tions en la matière. Explications de Pascal Alix,­avocat à la Cour,
cabinet Virtualegis, correspondant Informatique et Libertés.
£Dans quels cas la réglementation relative au traitement
des données s’applique-t-elle ?
Les hypothèses sont très larges ! La loi Informatique et
Libertés de 1978 s’applique dès que des données à caractère
personnel sont collectées, transmises, conservées, etc. Sont
considérées comme telles des informations permettant une
identification ­directe (nom, captation d’image…) ou indirecte
(empreinte digitale, numéro de compte…) d’une personne phy-
sique. S’agissant des objets et bâtiments connectés, le recours
à des compteurs intelligents placés dans les domiciles, à des
dispositifs de cyber­surveillance, à la gestion biométrique des
accès – pour ne citer que ces exemples – donne prise à l’appli-
cation de ce cadre ­juridique.
£Ce cadre est sur le point d’être bouleversé…
Le règlement européen sur la protection des données adopté
en avril 2016 entrera en application le 25 mai 2018. Il instaure des
règles uniformes en Europe. Pour la France, c’est un changement
total de paradigme qui va s’opérer. D’un régime de déclaration
préalable, on passe à un dispositif qui responsabilise les acteurs :
ils doivent eux-mêmes assurer la conformité de leurs processus,
et ce, très en amont. Les textes français seront toilettés.
£Quels sont les grands principes posés par le règlement ?
Tout d’abord, la privacy by design : la protection des données
doit être inscrite dès la conception du système ou de l’objet. Par
exemple, elle devra être prise en compte par le fabricant d’un
capteur dans le logiciel embarqué. Autre règle essentielle, la
privacy by default : ne sont traitées, par défaut, que les données
nécessaires au regard de chaque finalité spécifique poursuivie.
£Quelles autres règles faut-il encore connaître ?
Le règlement européen impose le renforcement de la sécurité
informatique. Celui qui collecte des données doit par exemple
améliorer le contrôle de l’accès à ses locaux ! Il contraint à in-
former les personnes dont les données sont atteintes ainsi que
l’autorité concernée – en France, la Cnil – dans un délai de 24 à
72 h. Citons encore l’obligation de transparence renforcée qui
permettra aux intéressés d’être informés de façon beaucoup
plus détaillée qu’aujourd’hui, le recueil du consentement ren-
forcé lui aussi, et enfin l’empowerment – qui rend plus effective
la maîtrise des données par les personnes concernées – avec
notamment un droit à l’oubli et à la portabilité des données.
£Quel impact aura cette nouvelle réglementation
sur l’univers du bâtiment connecté ?
La particularité de ce secteur est le grand nombre d’inter-
venants : fabricants d’objets, maîtres d’œuvre, entreprises de
construction, fournisseurs d’énergie… Ils sont tous soumis à
cette réglementation. La privacy by design implique que ces
acteurs intègrent la question du traitement des données dès la
conception des objets connectés et du bâtiment qui les incor-
pore. Ce qui suppose d’associer aux équipes traditionnelles
des experts du sujet. Par ailleurs, en cas de manquements à la
réglementation protégeant les données, il risque d’y avoir des
difficultés à imputer les responsabilités. Autre obstacle qu’il fau-
dra surmonter : recueillir le consentement des individus ne sera
pas toujours évident, par exemple dans un Ehpad ou même un
immeuble de bureaux. Il faudra mettre en place des systèmes
de recueil de consentements assez sophistiqués.
£Comment se préparer ?
Il reste très peu de temps pour se mettre en conformité, et
les acteurs du BTP qui seront prêts auront un véritable avantage
compétitif ! Le règlement européen fait 88 pages et ne peut être
digéré en un clin d’œil. La Cnil propose depuis 2014 un pack
de conformité sur les compteurs communicants, qui peut ins-
pirer plus largement une méthode de travail pour le bâtiment
­connecté. •Propos recueillis par Sophie d’Auzon
Pour l’avocat Pascal Alix, la nouvelle réglementation va entraîner
« un changement total de paradigme » pour les acteurs du BTP.
BRUNOLEVY/LEMONITEUR
SPECIAL
INNOVATION