Derrière le slogan de la smart city et les prix de l’innovation, les municipalités espagnoles ont discrètement remis les clés de notre territoire à une infrastructure technologique relevant de la juridiction des États-Unis. Une analyse des dynamiques de passation des marchés révèle que le modèle de gouvernance locale pourrait porter atteinte à des principes essentiels d’autonomie stratégique et de mise en concurrence.
La transformation numérique des administrations locales en Espagne a pris une direction qui commence à inquiéter les experts en sécurité et en droit administratif. De Madrid à Barcelone, en passant par Valence, Séville, Saragosse, Malaga, Bilbao, La Corogne et les capitales des Canaries, les villes deviennent des « villes intelligentes » en utilisant une seule et même architecture technique : le logiciel ArcGIS, propriété de la multinationale américaine Esri.
Ce qui se présente comme une modernisation nécessaire dissimule pourtant une réalité de négligence stratégique et d’éventuelles irrégularités administratives.
1. Le risque juridique : une collision avec la doctrine européenne
En centralisant la gestion des données urbaines, de la circulation au réseau d’eau, sur des plateformes propriétaires américaines, l’administration publique espagnole se place sur un terrain d’instabilité juridique. Le CLOUD Act fédéral des États-Unis (Clarifying Lawful Overseas Use of Data Act, enregistré au Congrès américain sous la référence H.R.4943, 115th Congress) permet à Washington d’accéder aux données stockées par les entreprises technologiques américaines, quel que soit le lieu physique des serveurs, même en sol européen.
Cette pratique se heurte de plein fouet à la doctrine de la Cour de justice de l’Union européenne établie dans l’arrêt historique Schrems II (affaire C-311/18, code CELEX : 62018CJ0311). Cet arrêt a invalidé les cadres de transfert automatique de données au motif que les lois de surveillance américaines ne garantissent pas un niveau de protection équivalent à celui exigé par le Règlement général sur la protection des données (RGPD / Règlement UE 2016/679, code CELEX : 32016R0679). En normalisant des contrats commerciaux standard avec des entreprises soumises à des règles extraterritoriales, l’État compromet l’esprit de l’autonomie stratégique européenne et expose les données de mobilité, d’infrastructures et de services critiques des citoyens à une juridiction étrangère.
La faille du cadre de protection : bien que la Commission européenne ait adopté une décision d’adéquation (EU-US Data Privacy Framework, décision d’exécution UE 2023/1795), la persistance du CLOUD Act maintient le conflit de fond : la primauté de la sécurité nationale américaine sur les droits fondamentaux européens.
2. Des cahiers des charges « orientés » : la mort de la concurrence ?
Au-delà de la sécurité, le modèle de passation soulève des soupçons au regard de la loi 9/2017 du 8 novembre sur les marchés du secteur public (LCSP), publiée au Journal officiel de l’État sous la référence BOE-A-2017-12902. L’homogénéité technologique entre des villes aussi diverses n’est pas le fruit du hasard.
Le cœur du problème réside dans la rédaction des cahiers des prescriptions techniques (PPT). L’article 126.4 de la LCSP est catégorique :
« Sauf justification liée à l’objet du marché, les prescriptions techniques ne feront pas référence à une fabrication ou à une provenance déterminée […] ni à des marques, brevets ou types […] dans le but de favoriser ou d’écarter certaines entreprises ou certains produits. »
L’inclusion explicite de licences ArcGIS, ou la rédaction d’exigences techniques si précises que seul un fournisseur de logiciel propriétaire peut les satisfaire, exclut de fait les alternatives fondées sur le logiciel libre ou les standards ouverts (comme QGIS ou des architectures souveraines de bases de données spatiales). Ce défaut de concurrence réelle constitue une barrière technique qui empêche l’écosystème technologique local de concourir à armes égales.
3. La « boîte noire » de la démocratie locale
Déléguer la décision urbaine à un logiciel propriétaire est une anomalie démocratique. Les administrations publiques ont l’obligation légale d’être transparentes et auditables. En confiant la gestion du territoire à une « boîte noire », un logiciel à code fermé dont le fonctionnement interne est un secret commercial, la municipalité renonce à sa capacité d’audit.
Il s’agit d’une abdication de fonctions. La jurisprudence sur la transparence algorithmique a déjà établi que la numérisation de l’administration ne peut devenir un espace d’opacité : le code source et la logique des systèmes qui gèrent des ressources publiques doivent être soumis au contrôle public et judiciaire. Recourir à des plateformes fermées rompt ce principe et transforme l’administration en cliente captive, dépendante d’une entreprise privée dont la logique interne est protégée contre tout contrôle citoyen.
4. Le paradoxe du financement public et de la souveraineté
À la gravité technique et juridique s’ajoute une contradiction économique structurelle : l’usage de fonds publics européens, y compris les dotations du Plan de relance, de transformation et de résilience, régi en Espagne par le décret-loi royal 36/2020 (BOE-A-2020-17338) et lié à NextGenerationEU, pour payer des licences récurrentes à des multinationales étrangères.
Il est paradoxal que des capitaux destinés à renforcer la résilience et la souveraineté numérique de l’Union soient canalisés vers des infrastructures extérieures. Au lieu de saisir cet investissement historique pour développer une infrastructure numérique propre et dynamiser l’industrie nationale, l’argent public subventionne l’expansion de plateformes étrangères.
Comme le soulignent les débats européens sur la gouvernance des données (Data Governance Act / Règlement UE 2022/868, code CELEX : 32022R0868), la dépendance à l’égard de fournisseurs non européens pour des services critiques constitue une vulnérabilité stratégique directe. Chaque euro investi dans un écosystème captif est un euro soustrait au développement de solutions ouvertes et interopérables qui maintiennent le retour sur investissement numérique dans l’économie locale, dans notre sécurité et entre nos mains.
Index d’enregistrement et de vérification documentaire
Jurisprudence et législation de l’Union européenne (données et vie privée)
- Arrêt Schrems II (C-311/18) : base de données Curia de l’UE, code CELEX : 62018CJ0311.
- Règlement général sur la protection des données (RGPD) : code officiel CELEX : 32016R0679.
- U.S. CLOUD Act (2018) : registre officiel du Congrès américain (Congress.gov), référence H.R.4943, 115th Congress.
Cadre des marchés publics et fonds publics en Espagne
- Loi sur les marchés du secteur public (loi 9/2017) : moteur de recherche du BOE, code BOE-A-2017-12902.
- Décret-loi royal de gestion du Plan de relance (RDL 36/2020) : BOE, code BOE-A-2020-17338.
Gouvernance numérique européenne
- Loi sur la gouvernance des données de l’UE (Règlement 2022/868) : identifiant officiel CELEX : 32022R0868.