Nos publications
  • Objets connectés -fr 
Nos publications

Objets connectés

Par : le
Catégories : Conférences, données personnelles, Fichiers / CNIL, vie privée

Je suis intervenue hier au Biometrics Initiative Alliance Summit, qui avait lieu à Euratechnologies, sur le sujet des objets connectés.

Voici une synthèse des thèmes abordés :

Selon les projections courantes, le monde devrait compter, d’ici 2020, plus de 26 milliards d’objets connectés, qui constituent, ensemble, l’internet des objets. Il s’agira probablement de la troisième vague de croissance d’internet.

Le terme « internet des objets » renvoie en effet à la notion générale d’objets (électroniques ou d’usage courant) lisibles, reconnaissables, adressables, localisables ou contrôlables à distance via internet (résolution du parlement européen du 15 juin 2010).

L’internet des objets, c’est la perspective de mettre en réseau des milliards de machines capables de dialoguer et d’interagir par le biais de technologies sans fil.

De nombreuses applications existent déjà :

  • les bracelets connectés, de type fitbit, qui permettent de suivre son activité physique et ses paramètres de santé (rythme cardiaque, rythme du sommeil, calories ingérées etc.)

  • la station Mother, qui repose sur l’utilisation de différents capteurs, appelés cookies mesurant 5 cm et pèsant 6g et se fixant sur tout objet afin de le transformer en objet connecté et suivre ainsi leurs déplacements -la finalité est, par exemple, de s’assurer que les enfants ont bien, en l’absence des parents, pris leurs médicaments, de savoir si le réfrigérateur a été ouvert …),

  • la e-cigarette smokio, permettant au fumeur de mesurer sa consommation de nicotine, l’impact sur sa santé par rapport à la consommation d’une cigarette classique et les économies réalisées,

  • les masques utilisés pour traiter les apnées du sommeil.

Ces objets connectés traitent des données personnelles, parfois sensibles. Et encore n’en sommes nous qu’au premier stade de développement des objets connectés. L’inventivité des créateurs nous réserve probablement de nombreuses surprises.

Les enjeux économiques, éthiques, sociaux et juridiques attachés à ces perspectives sont colossaux.

D’un point de vue juridique, les principaux enjeux peuvent être présentés de la manière suivante :

Le premier enjeu est lié à la question de l’utilisation qui est faite des données ainsi massivement collectées et du rapprochement des données en provenance de différents terminaux. On peut ainsi aisément imaginer qu’un bracelet connecté comprenant un accéléromètre soit ensuite utilisé pour déterminer les habitudes de conduite du porteur du bracelet. Le même bracelet décomptant le nombre de marches gravies, couplé au rythme cardiaque, pourrait également permettre à un employeur, ou à un assureur, d’avoir des informations sur l’état de santé de la personne concernée.

Les différentes données issues des objets connectés utilisés (par exemple le poids tiré d’une balance connectée, le rythme tiré d’un bracelet de coaching et l’heure à laquelle les volets de la maison connectées sont abaissés) et regroupés sur des plates-formes, donnent des indications précieuses sur les habitudes de vie des personnes et accentuent le risque d’atteinte à la vie privée.

Le deuxième enjeu correspond à un enjeu sécuritaire. Dans le domaine des objets connectés, la sécurité ne doit pas se limiter aux terminaux eux-mêmes mais doit s’étendre aux moyens de communication et aux infrastructures de stockage. En effet, à l’heure actuelle, la priorité est donnée, pour les objets connectés, à la maîtrise des coûts et à l’autonomie physique de l’appareil. Aussi, il est rare que les capteurs puissent établir une connexion cryptée, ce qui les rend particulièrement vulnérables aux attaques et pose un réel problème en terme d’atteinte à la vie privée.

Cette question fait écho aux craintes, à l’origine de la mise en place, il y a quelques années, d’un cadre juridique spécifique propre à l’hébergement de données de santé. S’agissant des objets connectés on l’a vu, ils collectent d’ores et déjà et ont vocation probablement à collecter de plus en plus de données de santé. Leur hébergement doit donc être confié à un hébergeur agrée, même si un débat peut naître sur la notion de donnée de santé.

La notion de donnée de santé n’est pas définie dans la LIL. Pour l’appréhender, il est possible, tout d’abord, de se référer à un arrêt de la CJUE (arrêt Landqvit) « il convient de donner à l’expression « données relatives à la santé une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne. »

Le projet de règlement européen définit, quant à lui, les « données concernant la santé » comme « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne ».

Cette notion ne se confond pas avec celle de biométrie, qui regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques ont la particularité d’être uniques et permanentes.

Il semble en réalité que la meilleure façon de définir la notion de donnée de santé repose sur une approche par la finalité, qui est celle retenue par l’AFCDP. C’est à dire qu’une donnée est rarement une donnée de santé en tant que telle. Elle le devient en fonction de sa finalité, médicale ou sanitaire.

Un autre enjeu important est lié à la question de la responsabilité. Différents acteurs interviennent en effet : le fabricant de l’objet connecté, les réseaux sociaux sur lesquels les détenteurs d’objets connectés partagent aisément leurs performances, sportives par exemple, l’éditeur qui propose la plate-forme agrégeant les données, les développeurs d’applications tierces (tels que par exemple un assureur, qui offrirait une prime d’assurance allégée à la personne qui s’engagerait à courir trois fois par semaine et à justifier de ses performances via son bracelet connecté), les courtiers qui traitent les données etc.

Le G29 a rendu, en septembre 2014, un avis intéressant sur les objets connectés, dans lequel il préconise, notamment :

  • que soit réalisée, préalablement à tout lancement d’une nouvelle application dans l’internet des objets, une étude d’impact sur la vie privée ou « Privacy Impact Assessments (PIA) »,

  • que soit laissée aux personnes la possibilité d’utiliser les objets connectés de manière anonyme (par l’usage par exemple d’un pseudonyme),

  • que la confidentialité par défaut soit appliquée à tout objet connecté ainsi que le Privacy by Design).

Il s’agit ensuite, ni plus ni moins que d’appliquer les principes régissant le droit des données personnelles à savoir :

  • informer les personnes concernées des différentes finalités du traitement de données effectuées. Cette information peut être, selon le G29, délivrée par exemple au moyen d’un flashcode apposé sur l’objet lui-même.

  • indiquer auxdites personnes à qui seront, de façon exhaustive, communiquées les données,

  • recueillir leur consentement préalable en cas de collecte de données sensibles,

  • mettre en place les formalités préalables adaptées auprès de la CNIL (demande d’autorisation ou autre),

  • permettre aux personnes concernées d’exercer leur droit d’accès et de suppression des données qui les concernent,

  • prendre les mesures propres à assurer la sécurité et la confidentialité des données traitées.

Viviane Gelles, Avocat

Cabinet JURISEXPERT

Billets associés