Montre Apple, lunettes Google, téléviseur LG : l’internet des objets, ou Web 3.0, est un phénomène en plein essor. Selon une étude du cabinet Idate, on compte aujourd’hui plus de 15 milliards d’objets connectés, soit quatre fois plus qu’en 2010, et on en comptera 80 milliards d’ici 2020. C’est pourquoi de nombreux acteurs du numérique parient sur le développement de ce marché, notamment en matière de santé et de bien-être.
Cependant, le fonctionnement des objets de l’internet repose sur le traitement d’un nombre important de données, notamment de données personnelles, ce qui soulève des problématiques d’ordre juridique, et plus particulièrement de protection de celles-ci.
Dès lors, quels sont les dangers pour les utilisateurs face à ces objets dotés de la capacité de communiquer ? Sera-t-il possible de les « réduire au silence » ? Et comment assurer la protection de notre vie privée ?
Autant de questions qui invitent à s’intéresser aux risques que présentent les objets connectés (I) et aux dispositifs actuels et futurs de protection des utilisateurs (II).
Comme son nom l’indique, un objet connecté est un objet qui, pour fonctionner, nécessite d’être connecté à des réseaux de communication, tel qu’Internet.
Les objets connectés sont apparus pour la première fois dans la Silicon Valley en 2007. L’un des premiers objets connectés à avoir été développé pour le grand public est le Nabaztag, un lapin connecté en wi-fi qui permettait de communiquer avec un autre propriétaire de lapin connecté, d’envoyer des SMS et de lire de la musique sur clé USB ou lecteur mp3.
Aujourd’hui, on en compte de multiples déclinaisons : les « Wearable Device » (lunettes, chaussettes, montres, bracelets, ceintures, crèmes, vêtements), mais aussi l’ensembles des objets du quotidien tels que valises, pèse-personnes, aspirateurs, lits, véhicules, applications mobiles, plates-formes…
Si les exemples se multiplient de jour en jour, il est difficile d’en donner une définition précise car une seule et même définition ne permettrait pas de recouvrir l’ensemble des objets connectés existants ou à venir.
Ceux-ci peuvent cependant être regroupés en trois catégories : les « Machine-to-Person » (c’est l’exemple du réfrigérateur qui envoie un SMS lorsque sa porte est mal fermée), les « Machine-to-Machine » (il s’agit des objets qui, pour fonctionner, communiquent les uns avec les autres sans intervention humaine) et les « Person-to-Person » (c’est l’exemple de la personne qui envoie des données de localisation à une autre personne).
Dès lors que des données personnelles transitent sur un serveur et qu’un objet interagit sans intervention humaine, il existe des risques pour les utilisateurs.
L’un des principaux risques est l’interception et l’utilisation des données personnelles à des fins frauduleuses. Il peut aussi bien s’agir d’une utilisation visant à troubler la tranquillité de l’utilisateur qu’à pénétrer frauduleusement un lieu privé.
Des experts en sécurité informatique ont déjà réussi à désactiver les freins d’une voiture électrique ou à contrôler à distance un pacemaker. Ces problématiques sont également transposables aux objets connectés. Certaines applications de géolocalisation intégrées aux voitures, aux compteurs électriques ou encore aux brosses à dents permettent de savoir si une personne est à son domicile ou non : si ces informations venaient à être détournées, elles pourraient par exemple servir à des cambrioleurs. On peut également envisager l’hypothèse du lave-vaisselle piraté qui provoquerait l’inondation de l’habitation de l’utilisateur.
De plus, le risque de piratage du système de stockage des données personnelles par des cybercriminels est d’autant plus élevé que les objets connectés ne disposent pas nécessairement d’antivirus ou de logiciels de protection comparables à ceux dont sont équipés les ordinateurs ou les smartphones.
La problématique de la localisation des données se pose lorsque les serveurs où sont stockées les informations recueillies par les objets connectés que nous utilisons sont situés à l’étranger, en dehors du champ d’application du droit protecteur des données personnelles.
En effet, dans le cadre de l’Union européenne, la directive 95/46/CE relative au traitement de données à caractère personnel1 a vocation à s’appliquer. Cependant, en cas de localisation du serveur dans un pays tiers à l’Union européenne, les données des utilisateurs pourraient ne pas être suffisamment protégées par les droits des pays concernés.
Par conséquent, le transfert à l’étranger de données n’est possible que sous certaines conditions2 :
Enfin, rappelons que la loi du contrat de transfert de données régira les relations entre l’utilisateur de l’objet connecté et le prestataire de services. Cependant, les règles d’ordre public ou lois de police de chaque état où est situé le serveur pourront s’appliquer malgré la loi choisie par les parties.
Lorsqu’il est prévu et possible, le réglage des paramètres de confidentialité n’est pas suffisamment souple. En général, les données sont diffusées et accessibles sur des plates-formes, voire cédées à des tiers ou partenaires. Dès lors, les utilisateurs acceptent les conditions et modalités d’utilisation imposées par l’éditeur de solutions connectées au risque d’exposer leur vie privée.
Par ailleurs, l’utilisateur ne bénéficie, en l’état actuel, ni du droit à un parfait anonymat ni d’un réel droit de configurer lui-même les paramétrages de confidentialité.
En général, les données collectées et enregistrées par l’objet connecté sont conservées au-delà de l’objectif poursuivi par l’utilisateur. Or, à l’heure actuelle, aucun délai raisonnable n’a été fixé pour la suppression ou l’anonymisation à des fins scientifiques ou statistiques de ces données issues d’objets connectés.
Par ailleurs, l’utilisateur qui souhaiterait définitivement cesser d’utiliser l’objet connecté ou en changer n’a aujourd’hui aucune garantie quant à la possibilité de récupérer les données précédemment captées et conservées.
Ici encore, l’exemple des objets connectés destinés au secteur de la santé est symbolique des risques auxquels les utilisateurs pourraient être exposés.
Si au premier abord les données relatives au poids, à la taille, voire à l’activité sportive de l’utilisateur ne semblent pas avoir d’intérêt économique, les nouvelles techniques de recoupement des données permettraient de dresser un profil précis de l’utilisateur.
Si des banques ou des compagnies d’assurance accèdent à ces profils, qui peut garantir que ceux-ci proposeront leurs produits sans prendre en considération la qualité de la santé ou du mode de vie de la personne concernée ?
A ce jour, il n’existe pas de règlementation prenant en compte les risques spécifiquement liés à l’utilisation des objets connectés. Cependant, parler de vide juridique serait inexact. En effet, pour fonctionner, les objets connectés doivent collecter et/ou traiter des données personnelles. Quels sont aujourd’hui les moyens mis en œuvre pour protéger de telles données ?
L’utilisateur peut tout d’abord agir contre l’éditeur sur le fondement de la loi « Informatique et libertés » n°78-17 du 6 janvier 1978 qui a vocation à s’appliquer en cas de traitement ou de collecte de données personnelles. Rappelons que son article 2 définit ce qu’est un traitement de données à caractère personnel : il s’agit de « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
A ce titre, la loi Informatique et Libertés impose aux responsables du traitement des données « de prendre toutes précautions utiles (…) pour préserver la sécurité des données, et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès »3.
De plus, les articles 6 et 7 de cette même loi imposent respectivement au responsable du traitement des données de ne pas conserver celles-ci pour une durée excessive et d’avoir recueilli le consentement de l’utilisateur.
Le non-respect des dispositions garantissant la protection des données est d’ailleurs sanctionné d’une peine maximale de cinq ans d’emprisonnement4 ainsi que d’une amende de la Commission Nationale de l’Informatique et des Libertés (CNIL) pouvant aller jusqu’à 300.000 euros.
Cette dernière a par ailleurs créé un groupe de travail, appelé « Smart Grids », qui publie des recommandations sur les conditions de collecte et traitement des données.
L’utilisateur peut également agir à l’encontre de l’éditeur sur le fondement du Code des postes et communications électroniques qui a vocation à s’appliquer en cas de traitement de données personnelles numériques. Celui-ci impose notamment à l’opérateur de communication électronique de recueillir le consentement de l’utilisateur pour conserver les données le concernant5.
Ces dispositions générales au traitement des données personnelles sont complétées par celles spécifiques à certains secteurs concernés par l’essor des objets connectés et les risques engendrés par l’utilisation de ceux-ci. Par exemple, le Code de la santé publique6 prévoit expressément la possibilité pour les professionnels ou établissements de santé de déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données, quel qu’en soit le support, et le traitement y afférent ne peuvent avoir lieu qu’avec le consentement exprès de la personne concernée et ce dans le respect des dispositions de la loi Informatique et Libertés.
En effet, à défaut d’information claire et accessible sur ces points à laquelle l’utilisateur consent de manière expresse, le dispositif pourrait être considéré, d’une part, comme une atteinte à la vie privée des personnes concernées, et d’autre part, comme une violation du secret professionnel attaché à leurs données de santé et par conséquent une atteinte à la protection de leurs données à caractère personnel. Dans la première hypothèse, l’éditeur de l’objet connecté pourrait se voir condamné sur le fondement de l’article 9 du Code civil. Dans la seconde hypothèse, l’atteinte est lourdement sanctionnée par la CNIL, les « données de santé » étant considérées comme sensibles au sens de l’article 8 de la loi Informatique et Libertés.
En tout état de cause, l’utilisateur dispose des voies de recours ordinaires en matière de responsabilité. Il pourrait en effet se retourner contre le fabricant au titre de l’article 1386-1 du Code civil si toutefois l’objet connecté s’avérait défectueux.
Enfin, il est nécessaire de rappeler que l’utilisateur peut lui aussi faire l’objet de recours de la part des tiers, notamment sur le fondement de la responsabilité du fait des choses. Il reste en effet responsable de l’objet connecté dont il a la garde à conditions de reconnaitre qu’il en avait l’usage, la direction et le contrôle7.
Il existe un groupe européen spécialement dédié à la protection des données personnelles – Groupe dit de l’article 29 (G29). Celui-ci a notamment contribué à la définition de la notion de « données de santé », laquelle est essentielle à la protection des utilisateurs d’objets connectés en lien avec le secteur de la santé et du bien-être.
De plus, des initiatives d’autorégulation voient le jour notamment au Royaume Uni et en Allemagne où se développent des applications de santé disponibles pour le grand public au vu d’un code de conduite.
D’autres pays prennent également conscience du foisonnement de ces objets récents, comme aux Etats Unis où des projets d’adaptation de la législation sont envisagés pour faire face aux risques engendrés par l’utilisation des objets connectés. On peut notamment relever l’existence d’une loi de 1996 relative au traitement des données de santé dans le secteur médical.
Enfin, les juges européens se sont penchés sur la question de la conservation des données : la Cour de justice de l’Union européenne8 a invalidé la directive qui autorise les opérateurs, fournisseurs d’accès à internet à conserver les données pour une durée de 6 mois à 2 ans aux fins de recherche, détection et poursuites d’infractions graves. Cette solution aura donc vocation à s’appliquer aux traitements des données personnelles en matière d’objets connectés : les États membres de l’Union européenne en contradiction avec cette décision devront par conséquent réformer leur législation nationale.
C’est parce que les enjeux juridiques de l’internet des objets sont encore nouveaux qu’il est primordial que l’outil juridique évolue avec eux afin de perfectionner l’arsenal existant.
Les experts en sécurité informatique préconisent un certain nombre de mesures pour améliorer les règles en matière de protection des données personnelles liées à l’utilisation d’objets connectés.
L’un des concepts créé en réponse à ces nouvelles préoccupations est le principe du « Privacy by design » : il s’agit pour les industriels de se pencher sur la question de la sécurité des données dès la conception du produit afin d’assurer la protection de la vie privée des utilisateurs et de se prémunir contre d’éventuelles actions en responsabilité de ces derniers.
D’autres mesures sont également envisagées, parmi lesquelles :
L’une des principales propositions consiste en l’élaboration d’un droit à la désactivation (ou droit au silence) de la puce de l’objet connecté, reflet du droit à l’oubli spécifiquement adapté aux objets connectés.
À ce titre, la Commission européenne envisage la possibilité de désactiver la connexion de l’appareil et du partage des données9. En effet, la majorité des objets connectés fonctionnent grâce à une puce RFID (« Radio Frequency Identification ») qui aurait donc vocation à être désactivée. Cela permettrait à l’utilisateur d’avoir un certain contrôle sur l’objet connecté ainsi que sur la protection de ses données personnelles. A l’heure actuelle, seules les puces permettant l’identification directe ou indirecte d’une personne sont régies par la loi Informatique et Libertés.
Egalement au niveau de l’Union européenne, une proposition de règlement10 envisage de redéfinir le cadre établi par la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données afin de prendre en compte la problématique des objets connectés.
Ce même projet envisage un régime juridique particulier pour la protection des données de santé pouvant être menacées par l’utilisation des objets connectés, tels que les montres podomètres et autres objets mesurant les données corporelles relatives au bien-être. Ainsi, ces informations pourraient être protégées car elles répondent à la définition de données de santé telle que prévue par le projet de la commission européenne : il s’agit de « toute information relative à la santé physique ou mentale d’une personne ou à la prestation de services de santé à cette personne ».
À cet effet, il s’agit principalement de faire peser sur le responsable du traitement des données une obligation d’« Accountability », qui consiste à obliger ceux-ci à adopter des procédures particulières afin de garantir et justifier du respect des dispositions légales en matière de protection des données personnelles. Concrètement, cela mettra à la charge du responsable du traitement une obligation d’effectuer des analyses d’impact de certains traitements à risques, ou encore de désigner un délégué à la protection des données dans les entreprises de plus de 250 salariés qui devra s’assurer du respect par le responsable de traitement de l’ensemble de ses obligations et de la conformité à la loi Informatique et Libertés.
La création d’un véritable cadre éthique est encouragée, dont l’évolution sera par nature liée à la sensibilité des utilisateurs d’objets connectés. Le marketing et la publicité des objets connectés devront respecter ces valeurs éthiques afin d’instaurer une certaine confiance auprès des consommateurs dans l’utilisation des technologies commercialisées.
La législation relative aux objets connectés sera amenée à évoluer mais sera-t-elle aussi rapide que l’essor de ces objets ? Nul ne peut douter que leur succès dépendra en grande partie de l’adaptation de l’arsenal juridique et de la faculté des fabricants à garantir le respect de la vie privée des utilisateurs, notamment dans le domaine de la santé. En effet, une étude récente a conclu que 78 % des consommateurs interrogés craignent un risque accru pour leur vie privée…
1 Transposée en droit français dans notre loi informatique et libertés.
2 Transférer des données hors de l'UE
3 Article 34 Loi Informatique et Libertés n°78-17 du 6 janvier 1978
4 Article 226-17 du Code pénal
5 Article L34-1 du Code des postes et communications électroniques
6 Article L.1111-8 du Code de la santé publique
7 Cass. Ch. Réunies, 2 déc. 1941
8 CJUE, 8 avril 2014, aff. C-293/12 et C-594/12, Digital Rights Ireland et Seitlinger e.a
9 Commission européenne, recommandation du 12 mai 2009, JOUE n°L122, 16 mai 2009.
10 Proposition de règlement du 25 janvier 2012 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
