samedi 6 décembre 2014

Sécurité des objets connectés, le juridique donne-t-il l’exemple ?

L’essor de l’internet des objets, ou encore des objets connectés, est impressionnant. A tel point que les gadgets des films futuristes des années 1990-2000 tels ceux du célèbre film  « le Cinquième Élément » ont désormais leur place dans notre quotidien. Des voitures connectées aux panneaux d’affichage personnalisés[1] , la liste s’agrandit chaque jour un peu plus laissant présager un large champ des possibles dans les mois et les années à venir.
Selon la Commission européenne, l’internet des objets se compose d’une « série de nouveaux systèmes indépendants fonctionnant avec leurs propres infrastructures qui reposent en partie sur les infrastructures existantes de l’internet »[2] .
Il est évident que ces objets connectés apportent de nombreux avantages fonctionnels mais avec eux également tout un cortège de risques informatiques notamment en terme de protection des données à caractère personnel tels la divulgation et perte des données ainsi que la perte de contrôle de ces dernières. Le législateur français pouvait-il imaginer en 1978 lorsque la loi Informatique et Libertés fut adoptée que, 36 ans plus tard la protection des données à caractère personnel prendrait une telle ampleur et serait au cœur du droit du numérique ?
Le G29[3] a mis en exergue et a synthétisé les problèmes juridiques sur la protection des données à caractère personnel des objets  connectés[4]. Le constat concernant ces données est le suivant :

  • absence de contrôle de l’utilisateur sur la diffusion de ses données notamment si la collecte et le traitement de la donnée ne sont pas transparents ;
  • consentement éclairé de l’utilisateur oublié ;
  • détournement de la finalité d’origine du traitement de données ;
  • utilisation des données pour le profilage intrusif et l’analyse comportementale ;
  • restriction de l’anonymat ;
  • existence de risques de sécurité délaissés en faveur de l’efficacité de l’objet.
Face à ces différents problèmes, force est de constater qu’il existe bien de véritables réponses juridiques sur plusieurs plans.
Le premier réflexe pour pallier ses carences doit être de réglementer au bon niveau avec les outils juridiques existants et à sa disposition. Par exemple pour  le CIGREF, la gestion des objets connectés doit faire partie intégrante de la PSSI de l’entreprise[5]. En effet, l’employeur peut commencer par mettre en place des politiques claires d’utilisation au sein de l’entreprise des objets connectés  en le précisant dans les chartes informatiques, dans le contrat de travail ou encore dans le règlement intérieur.

Plus innovant est le développement de concepts  élaborés dès 1990 tels les principes de Privacy by design et d’accountability qui démontrent que les aspects juridiques ne sont pas inexistants face aux risques informatiques et qu’ils peuvent même être des avantages concurrentiels.
Ces deux principes valorisent la protection des données à caractère en amont et en aval de toute initiative relative aux données personnelles.
A priori, avec le principe Privacy by Design, la société s’assure de la conformité à la législation en la matière et ce, dès sa création, ou de tout service interne à celle-ci, ayant rapport avec le traitement des données en mettant en place une réelle politique de respect du droit à la vie privée.
A posteriori, le principe d’accountability conduit à assurer une véritable traçabilité et transparence vis-à-vis des autorités, ce qui induit la rédaction de tout document et dossier prouvant le respect de la protection des données à caractère personnel.

De plus, outre ces deux principes, il ne faut pas éluder le fait qu’il existe également un régime juridique spécifique protégeant les données de santé[6] ainsi qu’une directive européenne permettant également d’imposer que le traitement des données à caractère personnel se fasse sur les territoires des pays de l’Union européenne[7].

Enfin, au regard de l’actualité, il est intéressant de découvrir que les objets connectés pourront apporter une sécurité supplémentaire dans la justice.
En effet, les objets connectés,  notamment ceux du quantified self[8] peuvent devenir de véritables preuves dans le cadre d’un procès.
Pour la première fois, les données récoltées par un bracelet connecté ont  été exploitées dans une affaire judiciaire au Canada[9].
Une victime d’un accident de voiture qui a perdu lors de cet incident ses capacités physiques a réclamé des dommages-intérêts car elle ne peut plus pratiquer les activités sportives dont elle avait l'habitude. Pour étayer sa demande, ses avocats se sont fondés, outre une expertise médicale, sur les données récoltées par un bracelet connecté.
     Ainsi, vis-à-vis des assurances,  ces données issues des objets connectés permettent à la fois le suivi de l’hygiène de l’assuré, donc faire varier les tarifs en fonction, mais également en cas de litiges à fournir des preuves. 
Cela amène également à réfléchir sur les problématiques de biométrie. Les objets connectés seraient-ils la dernière étape avant de passer à l’utilisation directe de nos empreintes digitales, de notre rythme cardiaque et de notre sueur pour tous nos actes du quotidien ?



[1] http://www.blog.sampleo.com/2014/10/01/sortie-film-ingenieuse-panneaux-publicitaires-digitaux-controles-smartphone/
[2] «  L'internet des objets : un plan d'action pour l'Europe » Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions en date du 18 juin 2009 (COM/2009/0278 final)
[3] Le groupe de travail de l’article 29 regroupant les autorités de protection des données personnelles européennes
[4] Avis du 16 septembre 2014 relatif aux « Récents développements de l’internet des objets » : http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf
[5] Internet des objets – Cahier de l’innovation – Octobre 2014 : http://www.cigref.fr/wp/wp-content/uploads/2014/11/Internet-des-Objets-Cahier-Innovation-CIGREF.pdf
[6] Article L1111-7 du code de la santé publique

[7] Directive européenne n°95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[8] http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNIL_CAHIERS_IP2_WEB.pdf


[9] http://www.forbes.com/sites/parmyolson/2014/11/16/fitbit-data-court-room-personal-injury-claim/

Aucun commentaire:

Enregistrer un commentaire