Les objets connectés envahissent notre quotidien : montres, podomètres, téléphones, bracelets, ceintures, lunettes, systèmes de surveillance… Ils permettent des échanges de données via des applications web ou mobile.
Chacun de ces objets pose des enjeux fondamentaux car ils ont besoin d'être alimentés par des données concernant leurs utilisateurs. Mais à qui envoyez-vous vos données ? Est-ce qu'elles peuvent être stockées et utilisées à votre insu ? Si les risques sont réels, ils sont néanmoins de mieux en mieux contrôlés par la réglementation française et européenne.
À noter : concernant la protection de votre santé, le décret n° 2019-1186 du 15 novembre 2019 et un arrêté du même jour étendent à compter du 1er juillet 2020 l’obligation d’affichage du débit d’absorption spécifique (DAS) à l’ensemble des équipements radioélectriques ayant vocation à être utilisés à proximité du corps humain (moins de 20 cm du corps humain). Les valeurs du DAS devront être affichées sur la notice d’emploi, ainsi que dans les lieux de vente, à proximité de l’appareil.
Objets connectés : quelles problématiques juridiques ?
Le concepteur d'un objet connecté, comme tout concepteur, est confronté aux questions de protection de la propriété intellectuelle des initiateurs du projet (droits d'auteur), et aux questions de droit des contrats informatiques.
C'est surtout la protection des données des utilisateurs qui est sensible. Ces données sont en effet collectées, analysées, stockées et restituées. Les risques sont de trois ordres : le piratage des données personnelles, l'atteinte à la vie privée des utilisateurs et les dérives prévisibles du « tout connecté ».
Risque de piratage : la question de la sécurité des systèmes informatiques
Le risque de cyberattaque de tout objet connecté est réel. Un piratage peut être à l'origine d'un détournement des données au profit d'un tiers non autorisé, d’utilisations malveillantes, ou même d'une prise de contrôle de l'objet connecté.
Le concepteur d'un objet connecté doit donc proposer un système de protection fiable. En matière de santé notamment (objets connectés permettant de prendre sa température, sa tension, son poids, etc.), les exigences de sécurité sont renforcées.
Utilisation des données personnelles : la question de la protection de la vie privée
L'article 4 du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable (...), directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
La collecte et l'exploitation des données personnelles doivent être particulièrement encadrées et maîtrisées, pour éviter toute atteinte à la vie privée de l'utilisateur. Ce dernier doit être parfaitement informé de l'utilisation qui sera faite de ces données, qui peuvent être variées :
- nom, prénom, pseudo ;
- numéro d'identification ;
- adresse IP ;
- adresse e-mail et téléphone ;
- adresse postale et géolocalisation (risque de profilage) ;
- habitudes de vie ;
- données de santé ;
- heure des repas ;
- personnes rencontrées ;
- heures de travail ou de loisir.
Le risque de dérives du « tout connecté »
Les compagnies d'assurances ont très vite compris l'intérêt des objets connectés. Une assurance santé aura intérêt à connaître le rythme cardiaque et le poids de l'assuré en temps réel. Une assurance automobile trouvera bon de connaître les habitudes au volant du conducteur (excès de vitesse, etc.), tout comme une assurance habitation aura intérêt à privilégier un système de vidéo surveillance connecté…
De là, il n'y a qu'un pas vers l'obligation d'utiliser tel ou tel objet connecté, au risque de subir une surprime ou une exclusion d'assurance. C'est ici la liberté du consommateur, non pas de communiquer ses données personnelles mais d'utiliser ou non un objet connecté, qui devra être protégée.
Le cadre juridique des objets connectés
Initialement, c'est la loi Informatique et libertés du 6 janvier 1978 qui a donné un cadre juridique à la protection des données personnelles en France.
Au niveau européen, le règlement général sur la protection des données (RGPD) est entré en vigueur pour tous les États membres le 25 mai 2018 (règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016). La loi Informatique et libertés a donc été modifiée en conséquence, par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018 applicable au 1er juin 2019).
Les principes de protection des données personnelles
La loi pose un principe de loyauté dans la collecte des données via des objets connectés : cette collecte doit être proportionnée et pertinente par rapport à l'objectif poursuivi. Seules les données nécessaires à l'usage requis peuvent être exigées. Cela signifie notamment qu'il est interdit de collecter des données à l'insu du consommateur, et de les utiliser à d'autres fins que celles annoncées. Une fois l'objectif de la collecte réalisé, les données personnelles doivent être supprimées.
Ce principe de loyauté entraîne une obligation d'information de l'utilisateur sur l'identité du collecteur, la finalité de la collecte de données, son caractère obligatoire ou facultatif, les conséquences d'un défaut de communication, les destinataires de ces données, le droit d'opposition, d'accès, de modification et de suppression.
Le règlement européen développe 2 autres principes :
- Le « Privacy by design » : la question de la protection et de la confidentialité des données doit être abordée dès la conception de l'objet. Une réflexion doit être menée en amont sur la nécessité des données et leur durée de conservation.
- Le « Privacy by default » : par défaut, le service proposé doit demander le minimum d'informations nécessaires, pour offrir le niveau de sécurité le plus protecteur pour le consommateur.
Par ailleurs, le règlement renforce le droit à l'oubli numérique en permettant à l'utilisateur de demander l'effacement de ses données personnelles, notamment lorsque les données ne sont plus nécessaires, lorsque le délai de conservation autorisé a expiré ou encore lorsque la personne concernée a retiré son consentement. Ce principe subit cependant des exceptions, par exemple pour la recherche scientifique ou la révélation de crimes et délits.
Le règlement met fin, en outre, au vide juridique concernant la majorité numérique. En effet, depuis le 25 mai 2018, toute collecte de données personnelles d'un enfant de moins de 16 ans nécessite l'autorisation préalable des parents. Les États membres de l'Union européenne ont la possibilité d'abaisser cet âge sans que celui-ci ne puisse être inférieur à 13 ans. La France a fait le choix de fixer cette majorité numérique à 15 ans (loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles).
Bon à savoir : s’agissant des données sensibles touchant à la santé des personnes, la loi pose en principe que leur collecte est interdite. Elle est permise sur acceptation expresse de l'intéressé (système de l'option), et sur autorisation de la CNIL ou décret en Conseil d'État. Au surplus, l'hébergeur de telles données doit avoir reçu un agrément spécifique du ministre de la Santé après avis de la CNIL (article L. 1111-8 du Code de la santé publique).
À noter : pour faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves et la recherche de leurs auteurs, certaines autorités administratives sont autorisées à mettre en œuvre des traitements automatisés de données à caractère personnel permettant, sur autorisation et sous contrôle de l'autorité judiciaire, la collecte, l'enregistrement, l'exploitation et la conservation de données destinées à la localisation en temps réel d'une personne, à l'insu de celle-ci, d'un véhicule ou de tout autre objet, sans le consentement de son propriétaire ou de son possesseur (arrêté du 22 mai 2018).
Contrôles et sanctions
La loi Informatique et liberté posait un principe de déclaration auprès de la CNIL de tout système de traitement de données personnelles. Cette déclaration se transformait en autorisation pour les données sensibles, ou en cas de transfert des données vers un pays tiers n'offrant pas la même protection.
Depuis le 25 mai 2018, les formalités de déclaration auprès de la CNIL ne sont plus obligatoires. Le règlement européen ne prévoit pas de système de déclaration, mais renforce le contrôle des entreprises, notamment au moyen d'audits réguliers contrôlant les points suivants : clarté et précision de l'information de l'utilisateur, niveau de sécurité, degré de contrôle de l'utilisateur (consentement, accès à ses données, rectifications et suppression).
À noter : depuis le 25 mai 2018, la désignation d'un délégué à la protection des données personnelles (DPO) est devenue obligatoire dans certains cas. Ce délégué assiste le responsable de traitement des données. Il a pour mission de veiller au respect de la législation européenne et de la loi Informatique et libertés, par l'organisme au sein duquel il travaille, afin d'éviter les sanctions de la CNIL. La désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL.
L'article 226-17 du Code pénal sanctionne le manquement à ces obligations d'une peine maximale de 5 ans d'emprisonnement et 300 000 € d'amende (1 500 000 € d'amende pour une personne morale). La CNIL peut également prononcer des sanctions administratives pouvant aller jusqu'à 300 000 € ou 5 % du chiffre d’affaires en cas de réitération dans les 5 ans.
Le règlement européen augmente significativement ces sanctions en prévoyant une amende 20 millions d'euros ou 4 % du chiffre d’affaires mondial de la société, et en prévoyant que la responsabilité ne concernera pas seulement le concepteur mais également ses sous-traitants.
Article
Recommandations pour vous protéger et rester connecté
En premier lieu, l'utilisateur doit lire avec sérieux les conditions d'utilisation de l'objet connecté : les données collectées, les finalités de cette collecte, les destinataires des données, les interconnexions, et le service auprès duquel l'utilisateur peut accéder, modifier ou supprimer ses données.
Il doit également veiller à effectuer régulièrement les mises à jour de sécurité, à changer régulièrement de mot de passe, et à utiliser un réseau personnel sécurisé.
À noter : il n'existe pas encore de normes attestant des garanties offertes par le système à l'utilisateur. Mais face à l'enjeu de sécurité des données confiées, des certifications ou codes de conduite vont certainement voir le jour.