Les objets connectés révolutionnent notre quotidien : ils régulent la température de la maison en notre absence, ils deviennent nos coaches personnels en nous précisant nos performances et temps de récupération après une séance de sport, etc. Pourtant derrière ces petits bijoux de technologie qui facilitent nos vies, se cache un véritable modèle économique avec la possible exploitation de nos données personnelles.
Pour nous connaitre si bien, et pouvoir interagir avec leur environnement, les objets connectés ont besoin de certaines de nos données personnelles ce qui n’est ni anodin ni sans risque. Certaines études montrent que 78 % des personnes interrogées se déclarent inquiètes en matière d’atteinte à la vie privée[1] et 12 % perçoivent un « danger en partant du postulat que les objets connectés ont la capacité de recueillir et d’analyser des informations personnelles et confidentielles »[2].
Ces objets peuvent être des cibles potentielles pour les cybercriminels et les faits divers de piratage nourrissent malheureusement trop souvent l’actualité. L’un des derniers en date est le piratage des bases de données clients de la société américaine Spiral Toy, un fabricant de jouets connectés (la gamme Cloudpets) où plus de 800 000 comptes ont été exposés sur la toile ainsi que plus de 2.2 millions d’enregistrements de voix d’enfants et de leurs parents. L’incident n’a d’ailleurs pas été communiqué aux personnes concernées par le fabricant avant la divulgation au public de leurs données personnelles.
L’une des réponses réside dans l’adoption du nouveau règlement général sur la protection des données (RGPD) qui s’appliquera dès le 25 mai 2018. Il renforce en effet plusieurs principes dont le droit des personnes mais en impose de nouveaux avec la consécration du « Privacy by design » ou « la protection des données dès la conception ».
Au regard de l’article 25 de cette nouvelle réglementation européenne : « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées ». En d’autres termes, le responsable de traitement ou le fabricant de l’objet connecté qui collecte des données pour le fonctionnement de ce dernier, devra vérifier et mettre en œuvre les mesures de sécurité de cet objet connecté et ce, au regard de chaque finalité. Il devra notamment justifier la quantité et qualité des données demandées, l’étendu du traitement (collecte, stockage, gestion), la durée de conservation, l’accessibilité de ces données (correspondant à un accès restreint à un certain nombre de personnes).
Cela devra se matérialiser pour le fabricant par la prise en compte de normes techniques, de normes de sécurité comme la pseudonymisation, le chiffrement, la minimisation des données ou encore l’inclusion systématique de « firewall ». Le fabricant devra également s’obliger à documenter largement la prise de décision sur les mesures adoptées afin de pouvoir fournir à tout moment aux autorités nationale (la CNIL) et européenne de protection des données, la preuve d’avoir pris en compte les risques inhérents à l’objet connecté et de les avoir réduit à un niveau raisonnable et acceptable pour sa commercialisation.
Une des nouveautés de cette nouvelle réglementation européenne qui renforce la transparence des fabricants à l’égard des utilisateurs d’objets connectés est l’obligation de notification du responsable de traitement aux personnes concernées de toute violation de leurs données et ce, sous 72h.
L’autre volet, concerne le renforcement considérable de l’obligation de consentement pour valider légalement la collecte ou le traitement en général des données des utilisateurs. Puisque la fonctionnalité des objets connectés repose sur les données personnelles des utilisateurs, il est possible de considérer dès lors que le simple démarrage de l’objet constitue un traitement et que ce dernier « repose sur le consentement » (cf. article 7 du RGPD). Le fabricant devra alors être en mesure de démontrer la preuve de l’obtention du consentement explicite de l’utilisateur de l’objet par le biais d’un formulaire à remplir, d’un mail de validation, d’une case à cocher après des explications complètes, claires et intelligible par tous. Une telle solution semble aisée lorsqu’une interface existe, mais bien plus difficile en présence par exemple de puces passives, RFID (tags pouvant transmettre les données souhaitées en termes de traçabilité des objets/personnes sans contrainte d’environnement).
Le simple usage correspondrait-il à un consentement ? Avec la nouvelle réglementation européenne cela semble peu acceptable. La solution alors serait d’obtenir à tout moment la déconnexion de l’objet connecté.
Au-delà de la problématique du consentement de l’utilisateur, d’autres enjeux s’ajoutent avec l’importance de la déconnexion de l’objet connecté. En effet, il serait le point ultime de prise de contrôle des propres données de l’utilisateur.
Cependant, si le RGDP ouvre la porte au droit à l’oubli ou plutôt au déréférencement, le droit à la déconnexion n’est quant à lui pas consacré par ce nouveau règlement. Juridiquement ce droit n’a pas d’existence mais techniquement, est-il possible de véritablement déconnecter un objet connecté ? La réponse n’est pas si évidente car le risque est de se trouver rapidement dans des situations où l’objet ne peut pas être déconnecté, compte tenu de « son imbrication dans un véritable écosystème d’objets connectés » ce serait le cas des objets connectés dans le secteur médical.
En attendant cet éventuel droit à la déconnexion, il reste au fabricant de rester vigilant lors de la conception de ses objets connectés mais également de vérifier régulièrement leur sécurité par le biais d’audits, la mise à jour des certifications demandées, de ses procédures ou encore la vérification de la mise en conformité de ses sous-traitants.
Télécharger notre Fiche Pratique « Determination des durées de conservation modalités de stockage et suppressions des données » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.
INHESJ – Travaux des auditeurs « Sécurité des objets connectés », 2014, http://www.cigref.fr/securite-objets-connectes-inhesj-cigref-2013-2014
Règlement (ue) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), http://eur-lex.europa.eu/eli/reg/2016/679/oj
[1] Sondage CSA pour Havas Médias-Janvier 2014 – Etude : Internet des Objets – les chiffres clefs
[2] Sondage BVA pour Syntec Numérique – Février 2014 – Baromètre de l’innovation