Législation des objets connectés

Sommaire

  • Objets connectés : quelles problématiques juridiques ?
  • Le cadre juridique des objets connectés
  • Recommandations pour vous protéger et rester connecté

Les objets connectés envahissent notre quotidien : montres, podomètres, téléphones, bracelets, ceintures, lunettes, systèmes de surveillance… Ils permettent des échanges de données via des applications web ou mobile.

Chacun de ces objets pose des enjeux fondamentaux car ils ont besoin d'être alimentés par des données concernant leurs utilisateurs. Mais à qui envoyez-vous vos données ? Est-ce qu'elles peuvent être stockées et utilisées à votre insu ? Si les risques sont réels, ils sont néanmoins de mieux en mieux contrôlés par la réglementation française et européenne.

Objets connectés : quelles problématiques juridiques ?

Le concepteur d'un objet connecté, comme tout concepteur, est confronté aux questions de protection de la propriété intellectuelle des initiateurs du projet (droits d'auteur), et aux questions de droit des contrats informatiques.

C'est surtout la protection des données des utilisateurs qui est sensible. Ces données sont en effet collectées, analysées, stockées et restituées. Les risques sont de trois ordres : le piratage des données personnelles, l'atteinte à la vie privée des utilisateurs et les dérives prévisibles du « tout connecté ».

Risque de piratage : la question de la sécurité des systèmes informatiques

Le risque de cyberattaque de tout objet connecté est réel. Un piratage peut être à l'origine d'un détournement des données au profit d'un tiers non autorisé, d’utilisations malveillantes, ou même d'une prise de contrôle de l'objet connecté.

Le concepteur d'un objet connecté doit donc proposer un système de protection fiable. En matière de santé notamment (objets connectés permettant de prendre sa température, sa tension, son poids, etc.), les exigences de sécurité sont renforcées.

Utilisation des données personnelles : la question de la protection de la vie privée

La loi Informatique et libertés du 6 janvier 1978 définit les données personnelles comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ».

La collecte et l'exploitation des données personnelles doivent être particulièrement encadrées et maîtrisées, pour éviter toute atteinte à la vie privée de l'utilisateur. Ce dernier doit être parfaitement informé de l'utilisation qui sera faite de ces données, qui peuvent être variées :

  • nom, prénom, pseudo ;
  • numéro d'identification ;
  • adresse IP ;
  • adresse e-mail et téléphone ;
  • adresse postale et géolocalisation (risque de profilage) ;
  • habitudes de vie ;
  • données de santé ;
  • heure des repas ;
  • personnes rencontrées ;
  • heures de travail ou de loisir.

Le risque de dérives du « tout connecté »

Les compagnies d'assurances ont très vite compris l'intérêt des objets connectés. Une assurance santé aura intérêt à connaître le rythme cardiaque et le poids de l'assuré en temps réel. Une assurance automobile trouvera bon de connaître les habitudes au volant du conducteur (excès de vitesse, etc.), tout comme une assurance habitation aura intérêt à privilégier un système de vidéo surveillance connecté…

De là, il n'y a qu'un pas vers l'obligation d'utiliser tel ou tel objet connecté, au risque de subir une surprime ou une exclusion d'assurance. C'est ici la liberté du consommateur, non pas de communiquer ses données personnelles mais d'utiliser ou non un objet connecté, qui devra être protégée.

Le cadre juridique des objets connectés

Initialement, c'est la loi Informatique et libertés du 6 janvier 1978 qui a donné un cadre juridique à la protection des données personnelles en France. 

Au niveau européen, le règlement général sur la protection des données (RGPD) est entré en vigueur pour tous les États membres le 25 mai 2018 (règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016). La loi Informatique et libertés a donc été modifiée en conséquence, par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Les principes de protection des données personnelles

La loi pose un principe de loyauté dans la collecte des données via des objets connectés : cette collecte doit être proportionnée et pertinente par rapport à l'objectif poursuivi. Seules les données nécessaires à l'usage requis peuvent être exigées. Cela signifie notamment qu'il est interdit de collecter des données à l'insu du consommateur, et de les utiliser à d'autres fins que celles annoncées. Une fois l'objectif de la collecte réalisé, les données personnelles doivent être supprimées.

Ce principe de loyauté entraîne une obligation d'information de l'utilisateur sur l'identité du collecteur, la finalité de la collecte de données, son caractère obligatoire ou facultatif, les conséquences d'un défaut de communication, les destinataires de ces données, le droit d'opposition, d'accès, de modification et de suppression.

Le règlement européen développe 2 autres principes :

  • Le « Privacy by design » : la question de la protection et de la confidentialité des données doit être abordée dès la conception de l'objet. Une réflexion doit être menée en amont sur la nécessité des données et leur durée de conservation.
  • Le « Privacy by default » : par défaut, le service proposé doit demander le minimum d'informations nécessaires, pour offrir le niveau de sécurité le plus protecteur pour le consommateur.

Par ailleurs, le règlement renforce le droit à l'oubli numérique en permettant à l'utilisateur de demander l'effacement de ses données personnelles, notamment lorsque les données ne sont plus nécessaires, lorsque le délai de conservation autorisé a expiré ou encore lorsque la personne concernée a retiré son consentement. Ce principe subit cependant des exceptions, par exemple pour la recherche scientifique ou la révélation de crimes et délits.

Le règlement met fin, en outre, au vide juridique concernant la majorité numérique. En effet, depuis le 25 mai 2018, toute collecte de données personnelles d'un enfant de moins de 16 ans nécessite l'autorisation préalable des parents. Les États membres de l'Union européenne ont la possibilité d'abaisser cet âge sans que celui-ci ne puisse être inférieur à 13 ans. La France a fait le choix de fixer cette majorité numérique à 15 ans (loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles).

Contrôles et sanctions

La loi Informatique et liberté pose un principe de déclaration auprès de la CNIL de tout système de traitement de données personnelles. Cette déclaration se transforme en autorisation lorsqu'il s'agit de données sensibles, ou en cas de transfert des données vers un pays tiers n'offrant pas la même protection.

L'article 34 de la loi dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Le règlement européen, quant à lui, ne prévoit pas de système de déclaration, mais renforce le contrôle des entreprises, notamment au moyen d'audits réguliers contrôlant les points suivants : clarté et précision de l'information de l'utilisateur, niveau de sécurité, degré de contrôle de l'utilisateur (consentement, accès à ses données, rectifications et suppression).

L'article 226-17 du Code pénal sanctionne le manquement à ces obligations d'une peine maximale de 5 ans d'emprisonnement et 300 000 € d'amende (1 500 000 € d'amende pour une personne morale). La CNIL peut également prononcer des sanctions administratives pouvant aller jusqu'à 300 000 € ou 5 % du chiffre d’affaires en cas de réitération dans les 5 ans.

Le règlement européen augmente significativement ces sanctions en prévoyant une amende 20 millions d'euros ou 4 % du chiffre d’affaires mondial de la société, et en prévoyant que la responsabilité ne concernera pas seulement le concepteur mais également ses sous-traitants.

Recommandations pour vous protéger et rester connecté

En premier lieu, l'utilisateur doit lire avec sérieux les conditions d'utilisation de l'objet connecté : les données collectées, les finalités de cette collecte, les destinataires des données, les interconnexions, et le service auprès duquel l'utilisateur peut accéder, modifier ou supprimer ses données.

Il doit également veiller à effectuer régulièrement les mises à jour de sécurité, à changer régulièrement de mot de passe, et à utiliser un réseau personnel sécurisé.

Domotique : votre guide gratuit à télécharger

Vous trouverez au sein de ce guide rédigé par des auteurs spécialisés :

  • Une vision complète pour comprendre le sujet
  • Les infos essentielles pour faire les bons choix
  • Des conseils sur les différents appareils et l'installation
Télécharger mon guide
Domotique

Aussi dans la rubrique :

Installation

Sommaire