OBJETS CONNECTES ET DONNEES PERSONNELLES
/ Octobre 2022 /
Le télécran, objet fictif inventé par George Orwell dans son roman 1984, qui permet à la fois de diffuser des messages de propagande du Parti mais également permettant à la Police de la Pensée d’entendre et de voir ce qui se fait dans chaque pièce où s’en trouve un individu, n’est plus si éloigné de la réalité.
Les objets qui nous entourent sont de plus en plus connectés et les entreprises collectent par ce biais de plus en plus de données quantifiées sur les utilisateurs. L’explosion de « l’Internet des objets » pose des questions sur l’utilisation et la protection des informations personnelles contenues dans ces objets connectés.
Pour reprendre l’exemple d’Isaac Asimov, celui-ci prédisait d’ailleurs en commentaire d’une exposition dans les tribunes du New York Times en 1964 que 50 ans plus tard les hommes continueraient à se retirer de la nature pour créer un environnement qui leur semblera meilleur, avec toutes sortes de « panneaux électro-lumineux », de lunettes de vue pouvant changer d’opacité, de maisons facilement contrôlables, de cuisines aux menus autopréparés, etc.
Besoin de l'aide d'un avocat pour un problème de vie privée ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
Aujourd’hui, l’ère du « tout-connecté » que décrivait Asimov n’est plus si hypothétique. Ces prédictions se révèlent aujourd’hui vraies, quasiment mot pour mot.
Mais d’autres cas éclairent également au sujet des objets connectés, et notamment concernant leurs liens de plus en plus étroits avec les données personnelles.
L’ère du « tout-connecté » n’est plus si hypothétique. Dans une affaire récente, un concepteur anglais de logiciels, DoctorBeet, a mis en évidence sur son blog le fait qu’un téléviseur LG espionnait les téléspectateurs.
La nouvelle a fait le tour du monde. DoctorBeet avait remarqué que des publicités s’affichaient sur son téléviseur et que ce dernier enregistrait son comportement à son insu. Après avoir désactivé l’option de collecte de données activée par défaut, il s’est aperçu que l’envoi des données se poursuivait tout de même permettant même la collecte des fichiers présents sur une clé USB qui avait été branchée sur le téléviseur !
Fin 2021, selon une étude réalisée par IoT Analytics, il y avait près de 12,3 milliards d’objets connectés dans le monde.
Et également de nombreux smart objets : TV, frigidaires, voitures, montres, chaussures, lunettes, valises, pèse-personnes, machines à laver, consoles de jeu, stylos, aspirateurs… Ainsi, en 2021, les foyers disposaient de près de 10 objets connectés en moyenne. Le géant Google a déjà créé de nombreux objets tels que les Google Glass, Google avait encore d’autres projets comme des lentilles de contact intelligentes pouvant permettre d’aider les diabétiques, cependant Google a mis un terme à ce projet fin 2018.
Aujourd’hui nombreux sont les foyers disposant d’assistant vocal personnel lié à des enceintes connectées, tels que les Google home, les HomePod d’appel ou encore le modèle d’Amazon. Ces derniers se retrouvaient déjà en 2019 dans 1 foyer sur 4 aux États-Unis. La CNIL a notamment publié un livre blanc sur les assistants vocaux en septembre 2020.
Et également de nombreux smart objets : TV, frigidaires, voitures, montres, chaussures, lunettes, valises, pèse-personnes, machines à laver, consoles de jeu, stylos, aspirateurs… Ainsi, en 2018, chaque personne possèdera huit objets connectés en moyenne. Le géant Google a déjà créé de nombreux objets tels que les Google Glass, la Google car ou encore les lentilles de contact permettant de mesurer le taux de diabète.
Mais ce dernier ne compte pas s’arrêter là et pourrait créer des lentilles de contact nous permettant d’enregistrer et de sauvegarder notre vie quotidienne. La connexion des objets apporte une « expérience client », une personnalisation de cette relation à l’extrême. Les objets connectés sont intelligents et peuvent se connecter entre eux, « communiquer » et s’échanger des données.
Les données personnelles sont envoyées aux entreprises qui peuvent ainsi mieux connaître leurs clients. Même notre corps va devenir connecté via l’utilisation de capteurs corporels connectés – bracelets, podomètres, balances, tensiomètres –, et d’applications mobiles . Véritable révolution pour certains, pratique marginale pour d’autres, le sujet est complexe à aborder en raison de l’hétérogénéité des pratiques de « quantified self », de la diversité des outils et applications concernés, de leurs caractéristiques et de leurs fonctionnalités.
Ainsi se pose la question : peut-on continuer à protéger nos données personnelles avec l’invasion des objets connectés ?
Il convient en effet de prendre réellement conscience des risques liés à l’utilisation de ces objets connectés (I), pour pouvoir appréhender efficacement leur gestion et l’encadrer de manière pertinente (II).
I- Les risques juridiques relatifs à l’utilisation de ces objets connectés
Les risques pouvant apparaître quant à l’utilisation de ces objets connectés concernent d’une part la surveillance clandestine (A) et d’autre part le traitement des données personnelles (B).
A) Une surveillance clandestine
L’affaire du téléviseur LG révèle une certaine surveillance clandestine. Le pouvoir potentiel de ces objets dits intelligents sur notre vie quotidienne inquiète, car il s’apparente à une forme d’espionnage domestique. En effet, si un tel appareil est connecté à Internet, il est possible de le trouver et de le surveiller grâce à des moteurs de recherches.
Il devient alors assez simple pour des pirates de les détourner de leur fonction première. De plus, s’ils ont la faculté d’apprendre à se gérer de manière autonome et en fonction de notre comportement, ils pourront bientôt développer des fonctionnalités différentes de celles initialement prévues.
Le marché des objets connectés a vocation à devenir un immense terrain de jeu pour des cybercriminels ou des agences gouvernementales mal intentionnées : ils pourraient contrôler à distance tous les appareils connectés de notre domicile. En 2013, des experts informatiques ont démontré qu’il était possible de désactiver à distance les freins d’une voiture électrique.
La dangerosité de l’utilisation de ces appareils tient principalement dans la quantité et la variété des informations personnelles qu’ils permettent de recueillir, ainsi que la géolocalisation des personnes et des objets mêmes.
L’ensemble de ces données permet de connaître environ tout de notre vie. La surveillance est alors totale. Or, une grande partie des consommateurs ne perçoivent pas toujours les difficultés de ces évolutions technologiques. Selon un sondage publié par Havas Media France en janvier 2014, près de 60% des internautes voient la généralisation des objets connectés d’ici 5 ans, car ils sont source de progrès (75%) et facilitent la vie (71%).
D’après une étude réalisée par société de cyber sécurité Kapersky, entre le premier semestre de 2018 et le premier semestre 2019, les attaques par les hackers contre les objets connectés ont été multipliées par 9. Elles seraient donc passées de 12 millions à près de 105 millions.
Également, selon HP, 70 % des objets contiennent des failles de sécurité pouvant amener facilement à une exploitation par des pirates informatiques.
Une étude publiée par Strategy Analytics estime que d’ici 2025, il y aura environ 38 milliards d’objets connectés dans le monde, il convient donc d’encadrer l’utilisation de ces dispositifs intelligents.
B) Un traitement des données personnelles
Le traitement des données personnelles est d’autant plus important qu’il peut concerner des données sensibles de santé. L’ampleur des « quantified self », ces petits objets qui mesurent la température de notre corps ou notre rythme cardiaque, repose selon la CNIL sur la collecte et le traitement de données dites « sensibles » qui, à cet égard, doivent faire l’objet d’une protection renforcée.
Le caractère sensible de ces données tient à leur communication à des tiers, tels que les assureurs par exemple. De plus, d’autres données qui ne sont pas classées « sensibles » doivent faire l’objet d’une vive attention. Il s’agit notamment des données de géolocalisation des individus.
En effet, de nombreuses applications permettent de savoir où se situe exactement un individu. Si ces données viennent à être détournées, elles pourraient être très utiles aux cybercriminels ou autres personnes malveillantes. La géolocalisation fait l’objet de toutes les craintes, craintes alimentées par la loi relative à la géolocalisation du 28 mars 2014.
Cette loi prévoit que dans le cadre d’une enquête et sous l’autorité d’un juge, les enquêteurs peuvent avoir recours à « tout moyen technique destiné à la localisation en temps réel » d’une personne, « d’un véhicule ou de tout autre objet ».
Les objets connectés ont d’ailleurs permis aux enquêteurs de résoudre plusieurs crimes, à titre d’exemple, en 2019, les données de géolocalisation d’une montre connectée ont permis de retrouver le coupable d’un meurtre dans le comté britannique de Merseyside.
Pour garantir le développement du marché des objets connectés, il devient nécessaire d’assurer aux individus le respect de leurs droits et ainsi de rassurer le consommateur.
Les industriels ne doivent donc pas faire l’impasse sur la sécurité du produit dès la conception. De plus, conformément à l’article 226-17 du Code pénal, le non-respect de l’obligation de sécurité imposée à tout traitement de données à caractère personnel est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Lorsque c’est une personne morale qui est en cause, l’amende peut être multipliée par 5 et atteindre jusqu’à 1 500 000 €.
II- La protection juridique relative à l’utilisation de ces objets connectés
La CNIL, autorité indépendante compétence en la matière exerce un contrôle (A) mais expose également des recommandations (B).
A) Le contrôle de la CNIL
Dès 2009, la CNIL a publié une communication sur l’internet des objets. Elle y exposait les perspectives et les enjeux du développement de ce secteur extraordinaire, tout en soulignant que cette avancée ne devait pas se réaliser au détriment de la vie privée et de la protection des données personnelles.
Un avis du groupe des CNIL européennes dit G29 est maintenant attendu sur le sujet. En Europe comme en France, les données personnelles sont protégées par la loi. Leur utilisation est soumise à la loi informatique et Liberté ainsi qu’au règlement général de la protection des données européen.
Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Les données sensibles telles les données de santé sont encore plus protégées. Cependant, la loi Informatique et Libertés offre une protection réduite si la personne a consenti, car le consentement est au cœur du dispositif légal. Par principe, un traitement de données à caractère personnel est licite s’il a reçu le consentement de la personne concernée. Ce système est le système de l’opt in.
Or, le consentement ne sera plus obligatoire lorsque le traitement est nécessaire à l’exécution d’un contrat. Le législateur présume que la personne a implicitement consenti au traitement des données la concernant dès qu’elle contracte. A titre d’exemple, lorsqu’une personne s’inscrit sur un réseau social tel que Facebook ou Twitter, elle fournit des données personnelles lors de son inscription. Si la personne souhaite s’inscrire sur le réseau, elle n’a pas le choix. Si elle ne veut pas voir ses données collectées, la seule solution est de renoncer au bénéfice de l’utilisation que lui procure le service ou le produit.
Toute utilisation d’un assistant vocal dans le domaine professionnel doit respecter les grands principes du RGPD comme le rappel la CNIL dans un guide pratique publié en novembre 2020.
Cependant, le responsable du traitement devra respecter de son côté les principes imposés par la loi (proportionnalité, pertinence, durée et finalité) ainsi que l’obligation déclarative à la CNIL ou la demande d’autorisation pour les traitements les plus graves. Le système va certainement devoir évoluer afin de repenser les nouveaux enjeux qu’implique cette hyperconnectivité.
Des difficultés apparaissent notamment concernant le droit effectif d’opposition lorsque le constructeur n’est pas européen, mais chinois ou coréen, et concernant le droit de regard des puces par les utilisateurs. Laure Marino, Professeur à l’Université de Strasbourg, propose de lancer une réflexion sur une éventuelle procédure alternative de règlements des litiges à l’image de celles créées pour les conflits entre les titulaires de marques et les titulaires de noms de domaine . En effet, cette procédure permet de régler les litiges plus rapidement, plus efficacement et à moindre coût.
B) Les recommandations de la CNIL
L’émergence des objets connectés questionne le cadre juridique actuel notamment sur la définition de la donnée de santé ou de la responsabilité dans le cadre du partage automatisé des données.
En consacrant le numéro 2 des Cahiers Innovation et Prospective au sujet du « quantified self » et des objets connectés, la CNIL adopte une démarche pragmatique pour proposer une analyse profonde de l’impact potentiel de ces nouvelles pratiques sur la vie privée et les libertés individuelles.
La CNIL donne ainsi les recommandations suivantes :
- utiliser, si possible, un pseudonyme pour partager les données ;
- ne pas automatiser le partage des données vers d’autres services (notamment vers les réseaux sociaux) ;
- ne publier les données qu’en direction de cercles de confiance ;
- effacer ou récupérer les données lorsqu’un service n’est plus utilisé.
Elle met en garde les utilisateurs sur la prolifération de leurs données via les réseaux sociaux et rappelle que la frontière peut être floue entre le médical et le simple suivi de son bien-être. Une donnée qui peut sembler a priori anodine pour un utilisateur au moment où il la partage peut en fait recéler beaucoup d’informations pour un spécialiste qui pourrait y avoir accès par la suite et l’utiliser à des fins de ciblage ou de profilage.
La CNIL a donc proposé différentes recommandations dans un guide publié en décembre 2017.
Elle recommande donc :
- A l’utilisateur de vérifier qui peut se connecter à l’appareil et qu’il n’y ai pas de connexion extérieure ;
- De ne pas garder des MDP ou code PIN par défaut ;
- De toujours vérifier que l’accès au smartphone ou aux tablettes dispose d’un MDP, également le réseau WIFI ;
- De faire d’autant plus attention si le dispositif récolte des données sensibles telles que les données de santé ;
- De désactiver le partage automatique des données si vos objets connectés sont liés à vos réseaux sociaux ;
- De toujours vérifier que l’on a accès à nos données et que l’on peut les supprimer ;
- Et enfin, d’éteindre l’objet lorsque l’on ne s’en sert pas.
Également, la CNIL fournit des recommandations pour les objets connectés nécessitant l’ouverture d’un compte en ligne :
- Dans la limite du possible, utiliser des pseudonymes et non vos véritables noms et prénoms ;
- Utiliser une adresse mail différente pour chaque objet connecté ;
- Sécuriser les accès à ces comptes par des MDP fiables et différents selon l’objet connecté.
Pour lire une version plis adaptée aux mobiles de cet article sur les objets connectés, cliquez
ARTICLES QUI POURRAIENT VOUS INTERESSER :
- Le droit des robots
- Le vol de données en droit européen
- Utilisation des données personnelles
- Anonymat sur internet
- Vaccin et covid
- Doxxing
Sources :
- http://www.village-justice.com/articles/Objets-connectes-challenge-des,17186.html
- http://www.lesnumeriques.com/objets-connectes-securite-donnees-a1790.html
- http://www.lemonde.fr/economie/article/2014/02/17/objets-connectes-attention-au-precipice_4367698_3234.html
- http://www.net-iris.fr/veille-juridique/actualite/33144/nouveaux-objets-connectes-et-protection-des-donnees-personnelles.php
- http://www.latribune.fr/opinions/tribunes/20140618trib000835759/objets-connectes-attention-a-l-espionnage-domestique.html
- http://www.globalsecuritymag.fr/Les-objets-connectes-une,20140410,44243.html
- Laure Marino, « To be or not to be connected : ces objets connectés qui nous espionnent. A propos des téléviseurs LG » Recueil Dalloz Sirey, 09/01/2014
- http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNIL_CAHIERS_IP2_WEB.pdf
- https://www.cnil.fr/fr/objets-connectes-noubliez-pas-de-les-securiser
- https://www.01net.com/actualites/comment-les-objets-connectes-permettent-d-elucider-des-crimes-2048823.html
- https://www.cnil.fr/sites/default/files/atoms/files/cnil_livre-blanc-assistants-vocaux.pdf
- https://www.cnil.fr/fr/assistants-vocaux-les-bons-reflexes-pour-les-professionnels