lundi 2 juin 2014

Le “kill switch” est-il l’arbre qui cache la forêt (des données) ?


Rendre un smartphone aussi utile qu’une brosse à dents pour téléphoner en quelques secondes est techniquement possible depuis plusieurs années. En effet, grâce à la multiplication des applications et fonctionnalités, le smartphone, apporte de nombreux services qui nous facilitent la vie quotidienne. La fonction appelée “kill switch”, et qui peut être littéralement traduire par “interrupteur mortel”, permet à un utilisateur de bloquer son téléphone à distance en cas de perte ou de vol. Si la fonction possède un véritable intérêt, rien n’oblige jusqu’à présent les principaux constructeurs de téléphones à en doter leurs bijoux technologiques. Pourtant, cette position devrait rapidement évoluer.

The first shot has been fired!
Tout du moins aux États-Unis[1] car, en dépit du rejet[2] du Sénat de Californie le mois, l'État du Minnesota vient, quant à lui, de promulguer une loi[3] qui contraint dorénavant les constructeurs de smartphones à proposer une fonction dite de "kill switch" soit une fonction qui permet à un utilisateur de bloquer son téléphone à distance en cas de perte ou de vol.

Cette loi répond à l'impressionnante recrudescence de vols de smartphones constaté par les services de police[4]. L’autre intérêt de cette mesure est de pouvoir mieux protéger les données personnelles contenues dans le téléphone. En effet,  par cette fonctionnalité l'utilisateur, comme pour le vol d'une carte bancaire, bloque l'utilisation du téléphone et protège son contenu. En fonction des options, il lui est même tout à fait possible d’effacer l’ensemble de ses données personnelles comme ses SMS, ses photos et les contacts de son carnet d’adresses, par exemple.S’il peut récupérer ultérieurement son téléphone, un simple mot de passe permet de réactiver l’ensemble des données effacées.

Certes les constructeurs de smartphones avaient l'intention de proposer une telle fonction mais de promulguer une telle disposition législative est un écho positif, dans un contexte de surveillance électronique accru, pour  la protection du consommateur et de ses données personnelles.
D'autant plus qu'il est très probable que cette disposition soit généralisée aux Etats Unis par les mêmes constructeurs à partir de juin 2015. De plus, il est tout à fait envisageable qu'outre - atlantique et au niveau européen, un tel texte de loi fasse sens notamment si cette obligation concerne l'ensemble des objets connectés.

Cette première partie de l’article a été écrite avec l’auteur du blog « Si Vis Pacem Para Bellum » dont la suite de l’article à teneur plus technique peut être lue ici : http://si-vis.blogspot.fr/2014/06/le-kill-switch-est-il-larbre-qui-cache.html

Et si la sécurité gagnait ?
Un premier écho à cette nouvelle réglementation américaine vient de la très récente jurisprudence européenne qui s'exprime clairement en faveur de la protection des données à caractère personnel.
En effet, l’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 13 mai 2014[5] a consacré le principe d'un droit à l’oubli, sous certaines conditions, pour les citoyens à l’encontre des moteurs de recherche. La CJUE a mis fin à l’irresponsabilité des moteurs de recherche quant aux données qu’ils traitent.  En effet, selon la CJUE :
-           les moteurs de recherche sont des responsables de traitement de données à caractère personnel ;
-          ils se voient appliquer la directive européenne relative à la protection des données à caractère personnel en raison d’une interprétation extensive de la notion d’établissement ;
-          une personne peut s’adresser directement au moteur de recherche pour qu’il supprime les liens vers les pages web contenant ses données à caractère personnel et qui porte atteinte à sa vie privée ;
-          le moteur de recherche répondra à cette demande au cas par cas car il faut concilier le respect des droits fondamentaux de l’individu avec l’intérêt économique du moteur de recherche[6], le droit à l'oubli n'est donc pas absolu .

Suite à cette décision, Google a mis en place, jeudi 29 mai, un questionnaire à l’adresse des internautes souhaitant la suppression de résultats de recherche qu’ils jugent « inappropriés, hors de propos ou qui n’apparaissent plus pertinents »[7]. Ce questionnaire a reçu, dès le lendemain, 12 000 requêtes d’internautes européens demandant la suppression de liens portant atteinte à leurs droits fondamentaux notamment leur vie privée[8].

Cela n'est pas un scoop qu'aujourd'hui le problème juridique par excellence du cyber est la protection des données personnelles face à l'innovation du numérique.
Il est certain qu'il faille modifier, améliorer les dispositions légales existantes. Cela ne peut plus continuer comme cela. La conciliation entre la protection des données à caractère personnel et les innovations numériques est en perpétuel interrogation : que faire face au cloud? au big data? aux objets connectés? et que faut-il imposer aux moteurs de recherche ?
Il est grand temps de mettre en place une régulation du marché, au moins européen, de la donnée.
L’arrêt de la CJUE a donné un signal fort pour que les citoyens conservent la maîtrise de leurs données et a fortiori de leurs droits à l’ère d’or de la data.
Il pourrait être possible de soumettre les données à caractère personnel sous un régime spécifique qui, sur contrôle exprès de l’individu et demande expresse des exploitants de données, permettrait d’en rendre certaines complètement publiques et d’autres spécifiquement protégées.
Ainsi, par exemple, Facebook pourrait demander expressément si l’utilisateur souhaite que toutes ses données soient complètement publiques et qu'il renonce à la propriété de celles-ci ou s’il souhaite une protection particulière des données qui ne pourront être concédées à autrui.

En conclusion, il est, encore, possible d’être optimiste concernant la sécurité informatique et sa réglementation. La conciliation de la sécurité des données et de l’innovation numérique ne saurait être un combat perdu !

Ce blog souffle sa première bougie, l’auteur du blog en profite donc pour remercier tous ses lecteurs en espérant que vous soyez toujours plus nombreux ! N’hésitez pas à me faire vos remarques, commentaires, états d’âme ;-) au sujet de ce blog afin que je puisse l’améliorer.

[1] http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203454745213-comment-la-technologie-kill-switch-va-sauver-votre-telephone-665860.php
[2] http://www.frandroid.com/actualites-generales/213510_californie-rejette-projet-loi-kill-switch
[3] http://www.usatoday.com/story/tech/2014/05/15/smartphone-kill-switch/9119207/
[4] Environ 1 vol sur 3 concernerait un smartphone d’après l’article d’USA Today cité dans le lien précédent
[5]La décision du 13 mai 2014 Google Spain SL, Google Inc.c.Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja Gonzalez : http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=259149
[6]Lire le communiqué de la CNIL sur l’arrêt de la CJUE du 13 mai : http://www.cnil.fr/linstitution/actualite/article/article/decision-de-la-cour-de-justice-de-lunion-europeenne-les-moteurs-de-recherche-doivent-respect/
[7] Selon les termes de l’arrêt de la CJUE du 13 mai 2014.

[8] http://www.lesechos.fr/tech-medias/hightech/0203533875475-droit-a-loubli-google-a-recu-12000-demandes-en-un-jour-1007945.php
Publié par à
Libellés : , , , , , , ,

1 commentaire:

  1. sécurité informatique20 juin 2014 à 13:34

    Instaurer une loi qui oblige les fabricants de smartphones à inclure une précaution qui protège les données des utilisateurs constitue une action louable. Tout doit-être fait pour préserver la sécurité informatique.

    RépondreSupprimer

Inscription à : Publier les commentaires (Atom)