Coup de balai sur les objets connectés

La CNIL a annoncé mardi dernier une nouvelle vague de contrôle sur les traitements de données personnelles liés aux objets connectés.

Ces contrôles seront opérés par le Global Privacy Enforcement Network, le GPEN. Issu d’une recommandation de l’OCDE, ce groupe de forces très spéciales a pour vocation de promouvoir la collaboration transfrontalière entre les autorités de protection de la vie privée au niveau international. Chaque année en mai, le GPEN organise donc un grand « ratissage » simultané d’internet en contrôlant un sujet d’actualité commun à l’ensemble des pays participants, chaque autorité de protection de la vie privée se chargeant d’opérer ce ratissage dans son pays.

C’est ce qui faisait jusqu’ici à la fois la force et la faiblesse de ce GPEN. Tout d’abord les thèmes retenus chaque année font plus ou moins l’unanimité au sein des autorités de protection de la vie privée du monde entier. Aussi, en 2013, alors qu’il s’agissait de tester les transparences des sites internet concernant leur politique de gestion des données personnelles, seuls 18 pays avaient participé au « Sweep Day », certains pays comme l’Inde ou la Chine n’ayant pas véritablement d’appétence pour la transparence. A l’inverse, un thème fait l’unanimité aux quatre coins du monde : la protection des enfants qui avait alors suscité la participation de 29 autorités au niveau mondial en 2015.

Ensuite, les pouvoirs de contrôle en ligne de chacune des autorités sont parfois limités. C’était jusqu’ici la limite des Sweep Days puisqu’il s’agissait alors d’un simple état des lieux des pratiques et non d’un véritable contrôle permettant d’attester d’une réalité à un instant T et de prendre des mesures de sanctions adéquates à l’égard des sites contrôlés. Mais les choses ont changé ! En mars 2014, l’article 44 de la Loi Informatique & Libertés a été modifié afin d’autoriser la CNIL à effectuer des contrôles en ligne à distance. La mise en place de la structure organisationnelle et opérationnelle de ces contrôles a été longue et ce n’est finalement qu’en 2015 que la CNIL s’est véritablement servi de cet outil avec plus de 150 contrôles réalisés (soit près de 300% d’augmentation en quelques mois).

En mai 2015, la CNIL a examiné 54 sites internet destinés aux enfants (dont plus de la moitié destinée aux 7-12 ans) lors du Sweep Day du GPEN. Elle a ainsi pu constater que 62% d’entre eux n’offraient aucune mesure de vigilance (comme un message de sensibilisation ou l’envoi d’un courriel aux parents pour les informer de la collecte des données de leur enfant et leur demander leur accord) et que près de 20% demandaient aux mineurs de lui fournir des informations sur des tiers.

Si l’année dernière la CNIL avait plutôt joué la carte de la sensibilisation en envoyant de simples courriers et en éditant des fiches pratiques pour les parents et pour les éditeurs de sites internet à destination du jeune public, cette année la CNIL annonce d’emblée la couleur : elle se réserve le droit d’engager des contrôles plus formels et de prendre des « mesures répressives ». Le ton est donné et la cible parfaitement définie : il s’agira d’auditer dès le début du mois de mai 3 catégories d’acteurs à savoir les objets domotiques, les objets de santé et les objets de bien-être. Les montres connectées, les appareils de santé comme les glucomètres ou encore les appareils de mesure de la qualité de l’air sont plus particulièrement visés.

Et on comprend bien pourquoi : ils contiennent aujourd’hui des données que la CNIL pré-qualifie de données de santé et donc de données particulièrement sensibles au sens de la Loi Informatique & Libertés, avec toutes les contraintes associées. Par conséquent, la CNIL annonce qu’elle sera spécialement attentive à trois points : la qualité de l’information délivrée, le niveau de sécurité des flux de données (y compris la localisation des serveurs hébergeant ces données), le degré de contrôle de l’utilisateur sur l’exploitation de ses données (consentement, exercice des droits, etc.). Les résultats de cet audit seront connus au mois de septembre 2016.

Start-ups et entrepreneurs dans le domaine des objets connectés, il ne vous reste que quelques semaines pour vous y préparer et être prêts pour ce Sweep Day. Un ménage de printemps s’impose !

Retour