L’essor
de l’internet des objets, ou encore des objets connectés, est impressionnant. A
tel point que les gadgets des films futuristes des années 1990-2000 tels ceux
du célèbre film « le Cinquième Élément » ont désormais
leur place dans notre quotidien. Des voitures connectées aux panneaux d’affichage
personnalisés[1] , la
liste s’agrandit chaque jour un peu plus laissant présager un large champ des
possibles dans les mois et les années à venir.
Selon
la Commission européenne, l’internet des objets se compose d’une « série
de nouveaux systèmes indépendants fonctionnant avec leurs propres
infrastructures qui reposent en partie sur les infrastructures existantes de
l’internet »[2] .
Il est évident que ces objets connectés apportent de
nombreux avantages fonctionnels mais avec eux également tout un cortège de
risques informatiques notamment en terme de protection des données à caractère
personnel tels la divulgation et perte des données ainsi que la perte de
contrôle de ces dernières. Le législateur français pouvait-il imaginer en 1978 lorsque la loi Informatique et Libertés fut adoptée que, 36 ans plus tard la
protection des données à caractère personnel prendrait une telle ampleur et
serait au cœur du droit du numérique ?
Le
G29[3]
a mis en exergue et a synthétisé les problèmes juridiques sur la
protection des données à caractère personnel des objets connectés[4].
Le constat concernant ces données est le suivant :
- absence de contrôle de l’utilisateur sur la diffusion de ses données notamment si la collecte et le traitement de la donnée ne sont pas transparents ;
- consentement éclairé de l’utilisateur oublié ;
- détournement de la finalité d’origine du traitement de données ;
- utilisation des données pour le profilage intrusif et l’analyse comportementale ;
- restriction de l’anonymat ;
- existence de risques de sécurité délaissés en faveur de l’efficacité de l’objet.
Face
à ces différents problèmes, force est de constater qu’il existe bien de véritables
réponses juridiques sur plusieurs plans.
Le
premier réflexe pour pallier ses carences doit être de réglementer au bon
niveau avec les outils juridiques existants et à sa
disposition. Par exemple pour le CIGREF,
la gestion des objets connectés doit faire partie intégrante de la PSSI de
l’entreprise[5]. En
effet, l’employeur peut commencer par mettre en place des politiques claires
d’utilisation au sein de l’entreprise des objets connectés en le précisant dans les chartes informatiques,
dans le contrat de travail ou encore dans le règlement intérieur.
Plus
innovant est le développement de concepts élaborés dès 1990 tels les
principes de Privacy by design et d’accountability qui démontrent que les
aspects juridiques ne sont pas inexistants face aux risques informatiques et qu’ils
peuvent même être des avantages concurrentiels.
Ces
deux principes valorisent la protection des données à caractère en amont et en
aval de toute initiative relative aux données personnelles.
A priori, avec le principe Privacy by Design, la société s’assure de
la conformité à la législation en la matière et ce, dès sa création, ou de tout
service interne à celle-ci, ayant rapport avec le traitement des données en
mettant en place une réelle politique de respect du droit à la vie privée.
A posteriori, le principe d’accountability conduit
à assurer une véritable traçabilité et transparence vis-à-vis des autorités, ce
qui induit la rédaction de tout document et dossier prouvant le respect de la protection des données
à caractère personnel.
De plus,
outre ces deux principes, il ne faut pas éluder le fait qu’il existe également un
régime juridique spécifique protégeant les données de santé[6] ainsi qu’une directive
européenne permettant également d’imposer que le traitement des données à caractère personnel
se fasse sur les territoires des pays de l’Union européenne[7].
Enfin,
au regard de l’actualité, il est intéressant de découvrir que les objets connectés
pourront apporter une sécurité supplémentaire dans la justice.
En effet, les objets connectés, notamment ceux du quantified self[8] peuvent devenir de véritables preuves dans le cadre d’un procès.
Pour la première fois, les
données récoltées par un bracelet connecté ont été exploitées dans une affaire judiciaire au
Canada[9].
Une victime d’un accident de voiture qui a perdu lors
de cet incident ses capacités physiques a réclamé des dommages-intérêts
car elle ne peut plus pratiquer les activités sportives dont elle avait l'habitude. Pour étayer sa demande, ses avocats se sont fondés, outre une expertise médicale, sur les données récoltées par un
bracelet connecté.
Ainsi,
vis-à-vis des assurances, ces données
issues des objets connectés permettent à la fois le suivi de l’hygiène de
l’assuré, donc faire varier les tarifs en fonction, mais également
en cas de litiges à fournir des preuves.
Cela amène également à réfléchir sur les
problématiques de biométrie. Les objets connectés seraient-ils la dernière
étape avant de passer à l’utilisation directe de nos empreintes digitales, de
notre rythme cardiaque et de notre sueur pour tous nos actes du
quotidien ?
[1] http://www.blog.sampleo.com/2014/10/01/sortie-film-ingenieuse-panneaux-publicitaires-digitaux-controles-smartphone/
[2] « L'internet
des objets : un plan d'action pour l'Europe » Communication de la
Commission au Parlement européen, au Conseil, au Comité économique et social
européen et au Comité des régions en date du 18 juin 2009 (COM/2009/0278 final)
[3] Le groupe de travail de
l’article 29 regroupant les autorités de protection des données personnelles
européennes
[4] Avis du
16 septembre 2014 relatif aux « Récents développements de l’internet des
objets » : http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf
[5] Internet des objets – Cahier de
l’innovation – Octobre 2014 : http://www.cigref.fr/wp/wp-content/uploads/2014/11/Internet-des-Objets-Cahier-Innovation-CIGREF.pdf
[6] Article L1111-7 du code de la
santé publique
Aucun commentaire:
Enregistrer un commentaire