Les objets connectés sont la source de nouveaux services pour les consommateurs, mais sont également exposés aux risques découlant d’une sécurité déficiente. Malgré le RGPD, les conditions générales d’utilisation restent obscures, alors que le RGPD peut constituer une véritable opportunité pour les entreprises traitant les données collectées grâce à ces objets.

Par Julie Jacob, avocat associé et Valentin Boulliez, avocat.

Le marché de l’Internet des objets (IoT) est en pleine expansion, et la révolution annoncée fait dorénavant partie de nos quotidiens : frigos, ­enceintes, etc. Le prochain bouleversement, consistant en le développement de l’intelligence artificielle dans les ­objets connectés est en cours, et le ­ marché de l’IoT bénéficie d’une croissance soutenue). L’institut Gartner indiquait que 8,4 milliards d’objets connectés étaient utilisés dans le monde en 2017 et que ce nombre ­ atteindrait 20 milliards d’ici 2020.

Quelles données ?

L’IoT se nourrit de plusieurs types de données, et notamment de celles relatives à l’identité, aux activités, à l’environnement, à la localisation ou encore au corps humain. Elles peuvent également concerner des enfants, certains objets leur étant consacrés (babyphones, jouets, thermomètres, etc.). De même, des données de santé peuvent aisément être collectées, et de telles collectes n’ont pas manqué d’attirer l’attention de la CNIL et de la Haute autorité de santé, qui a publié un Référentiel de bonnes pratiques sur les applications et les ­objets connectés en santé.

Quelle sécurité ?

Malgré toutes les mises en garde, y compris celles de white hats (hackers réalisant des tests d’intrusion pour repérer les failles de sécurité et avertir les fabricants), la sécurité de ces objets peut être déficiente, comme le montre la récente clôture de la procédure de mise en demeure engagée par la CNIL à l’encontre d’un fabricant de jouets ou encore l’intérêt porté par la police américaine sur les enceintes ­connectées (Echo ou Google Home).

 

Celles-ci constituent un exemple pour illustrer les dangers relatifs à ces objets. Ainsi, une demande adressée à l’enceinte est envoyée vers les serveurs de l’entreprise afin que les systèmes de reconnaissance vocale et de compréhension puissent traiter les demandes. Celles-ci sont par ailleurs associées avec le compte personnel de l’utilisateur. Outre la voix, d’autres données peuvent être collectées lorsque d’autres objets (comme un interrupteur ou un thermostat) sont connectés au service inclus dans l’enceinte. Ces données sont alors stockées dans le cloud, de sorte que les données sont particulièrement exposées en cas de fuite accidentelle ou d’attaque, et certaines entreprises ont choisi de chiffrer ces données.

 

Le RGPD constitue un véritable levier de développement pour les entreprises exerçant dans le domaine des objets connectés.

 

« Malgré toutes
les mises en garde, y compris celles de white hats […], la sécurité de ces objets peut être déficiente. »

Les notions de privacy by design et de privacy by default, visées à l’article 25 du RGPD, peuvent accompagner un marché en pleine expansion tout en protégeant les droits des utilisateurs. Ainsi, des mesures techniques et organisationnelles doivent être mises en œuvre afin que le traitement présente des garanties répondant aux exigences du règlement (privacy by design) et pour garantir que seules les données nécessaires au regard de la finalité concernée soient traitées (privacy by default). Certes, le règlement précise, concernant le privacy by design, que ce concept doit être appliqué au regard des coûts de mise en œuvre, de la nature, de la ­portée, du contexte, des finalités du traitement, des risques et du degré de probabilité et de gravité, mais également au regard de l’état des connaissances. Il serait ainsi possible d’estimer que la sécurisation, dans le monde informatique, est une chimère, dans le but de limiter le concept du privacy by design. Pour autant, il apparaît que certains objets connectés ne disposent pas des règles élémentaires de sécurité, que ce manquement provienne des utilisateurs ou des concepteurs.

 

Ces concepts de privacy by design et privacy by default ne semblent pas encore être parfaitement intégrés par les concepteurs d’objets connectés. En cas de fuite ou d’une demande d’un utilisateur, le délégué à la protection des données (DPO) impérativement désigné devra, en cas de faille et selon le type de fuite, procéder à la notification du hacking à la CNIL et informer les personnes concernées. Ainsi, en ignorant le privacy by design et le privacy by default lors de la conception de l’objet connecté, l’entreprise sera au centre de l’attention de la CNIL, mais également des consommateurs.

 

Par ailleurs, la réglementation impose une information claire quant à un traitement de données à caractère personnel : identité du responsable de traitement, destinataires des données collectées, durée de conservation, indications sur les transferts de données et sur les droits des personnes dont les données sont collectées : droits d’opposition, d’accès, à l’effacement, à la limitation, rectification, portabilité, droit de définir des directives après la mort, droit d’introduire une ­réclamation auprès de l’autorité de contrôle compétente. De même, les mesures techniques et organisationnelles doivent être mises en place par les ­fabricants.

 

Certaines conditions générales d’utilisation consultées ne sont pas à jour sur la réglementation. De grandes entreprises du numérique ont cependant mis à jour leurs politiques de protection des données à caractère personnel en tentant de clarifier les types de données collectées, les finalités ou encore les droits des utilisateurs. Toutefois, et alors que le RGPD impose l’utilisation de termes clairs et simples, la clarté est remise en cause lorsque plusieurs politiques d’utilisation s’appliquent, rendant ainsi l’accès à l’information plus ardu pour un consommateur parfois peu au fait de ses droits en la matière. Cette thématique est d’autant plus importante que certaines informations peuvent être transmises à des tiers lorsque des appareils communiquent entre eux, ajoutant ainsi une nouvelle politique de confidentialité à lire. La problématique relative à la localisation des données doit être soulevée : les conditions générales d’utilisation ne comportent pas la localisation des serveurs, et les données peuvent ainsi être stockées dans des pays situés en dehors de l’Union européenne.

 

Or, s’il était besoin de le rappeler, la protection des données à caractère personnel constitue un véritable argument de vente.

 

Sur les auteurs

Me Julie Jacob, avocat au Barreau de Paris et au Barreau d’Israël, spécialisé en propriété intellectuelle, est la fondatrice du cabinet Jacob Avocats, cabinet entièrement dédié à l’Entertainment et au Digital. Passionnée par l’IP/IT, elle a adopté une approche résolument dynamique dans tous les secteurs dans lesquels elle exerce.

Me Valentin Boullier, avocat exerçant en droit des technologies, rédige
un ouvrage sur la surveillance électronique aux États-Unis.

 

Les points clés

     

  • Malgré les risques liés aux fuites de données, accidentelles ou non, les conditions générales d’utilisation doivent prévoir et une protection adéquate et à jour des droits des utilisateurs.
  •  
  • Les fabricants et entreprises commercialisant des objets connectés doivent mettre en application les concepts du privacy by design et du privacy by default issus du RGPD.
  •  
  • Le RGPD constitue un vecteur positif de développement pour le secteur des objets connectés.
  •  

 

 

 

 

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail