
RGPD (GDPR) et projet de Règlement E-Privacy : nouvelles règles pour les objets connectés (IOT) ou Internet des objets
Pourquoi l’IoT, l’Internet des objets, est concerné par la vie privée?
Les nouvelles règles de protection de la vie privée en Europe concernent les développeurs et vendeurs d’objets connectés
Les chiffres sont énormes quelle que soient les projections annoncées.
Selon une étude de Business Insider [1] , nous serons entourés dès 2020 par environ 34 milliards (milliards…) d’objets connectés.
Ils seront autour de nous dans notre vie quotidienne mais aussi DANS NOUS (pompe à insuline, pacemaker…), ils nous contrôleront complètement quand ils nous transporteront (voiture, bateau, train sans chauffeur, pilote…)
Même si nous ne désirons pas acheter un de ces objets, nous y sommes exposés constamment.
Nous sommes filmés par des caméras de surveillance dans les lieux publics et privés (commerces, centres commerciaux, entreprises…), les lampes autour de nous ont des ampoules connectées, notre smartphone adoré est l’objet le plus connecté que nous portons constamment.
N’importe quel objet peut devenir connecté (renommé « smart », intelligent), il suffit d’y ajouter un capteur électronique et un moyen de transmission.
- Tout ce système d’objets connectés qui recueillent nos données et les transmettent à des tiers en continu, se transforme en un réseau digital de plus en plus dense auquel les personnes et les entreprises ne peuvent échapper.
Qui refusera l’implantation d’une pompe à insuline dernier cri permettant aux médecins de suivre en continu l’état du patient ?
Quel business, quelle entreprise refusera d’acheter des objets connectés (ci-après IoT) afin d’améliorer le rendement de sa production, son utilisation des matières premières, la maintenance de ses outils de production ?
- Il est clair que l’IoT est une révolution technologique dont personne ne pourra faire l’économie dans sa sphère privée comme dans le travail.
- Par contre, l’IoT tel qu’il se présente de nos jours en est encore aux balbutiements en ce qui concerne la protection de la vie privée, sans parler de la sécurité de ces objets.
- Les moyens de transmission qu’ils utilisent pour envoyer des données souvent sensibles, personnelles pour les individus ou données stratégiques pour des entreprises (par exemple des capteurs dans une chaîne de production révélant des températures, des composants chimiques, des secrets de fabrication)
- Les différents consortia d’industries ne discutent que de normes techniques de transmission et ne sont pour l’instant pas arrivés à un consensus.
- Les normes éthiques et légales de protection de la vie privée des personnes et des données des entreprises ne sont pas uniformément appliquées ou pas appliquées du tout
- L‘IoT est conçu et fabriqué par des entreprises soumises à des normes légales très variées voire inexistantes quant à la protection des données enregistrées pas l’IoT
- Les scandales de cyber-attaques impliquant l’utilisation d’IoT se multiplient avec des atteintes aux données personnelles d’individus et aux données d’entreprises de plus en plus graves. [2]
- Les pouvoirs publics au niveau étatique ou international (Union Européenne) commencent à réaliser à des degrés différents que la protection des données est un enjeu économique important et que l’industrie ne peut être seule responsable de leur protection.
L’enjeu des données et de leur protection
En Europe, les données personnelles sont un élément de la vie privée qui est un droit fondamental protégé à tous les niveaux du système légal [3]
Pour comprendre le Règlement RGPD ou GDPR [4] et le Règlement E-Privacy [5] qui le complète, il faut se souvenir que les règles sont un équilibre entre :
- le respect du droit fondamental de tout individu résidant sur le territoire de l’Union Européenne à la protection de sa vie et à la confidentialité de ses communications
- et la libre circulation des données qui participe au bon fonctionnement de l’économie européenne.
- En tant que société, entrepreneur dans le domaine de l’IoT, vous devriez toujours garder à l’esprit que l’individu ou l’entreprise dont vous recueillez, stockez ou traitez les données ont des droits sur leurs données personnelles ou sensibles.
Le RGPD protège les données personnelles des individus et n’autorise le recueil de données personnelles que sous 6 raisons licites. [6]
- Le consentement des personnes est strictement encadré [7] et beaucoup d’entreprises vendeuses d’objets connectés destinés aux personnes devront revoir leur police de protection de la vie privée de leurs clients.
- Principe de 1 consentement pour une finalité de traitement des données personnelles.
- Les données personnelles doivent être protégées à tous les stades dès la collecte jusqu’à leur effacement.
- L’IoT est expressément inclus dans le futur Règlement E-Privacy qui devrait entrer en vigueur en même temps que le GDPR, le 25 mai 2018. [8]
IoT utilisé par les entreprises, IoT industriel (IIoT)
Les données des entreprises sont aussi protégées par le Règlement E-privacy (le RGPD ne concerne que les données personnelles des personnes physiques).
- L’IoT industriel doit se conformer à des règles de protection dès la conception (« Privacy by design ») ce qui n’est peut-être pas encore le cas pour la plupart des objets connectés.
» Les données de communications électroniques peuvent aussi révéler des informations concernant les personnes morales, telles que des secrets d’affaires ou d’autres informations sensibles ayant une valeur économique. Aussi les dispositions du présent règlement devraient-elles s’appliquer à la fois aux personnes physiques et aux personnes morales. » [9]
- Cette évolution entraîne une contrainte supplémentaire sur les développeurs ou constructeurs d’IoT qui devront inclure un processus de protection des données dès la conception des objets.
Un nouveau processus de conception de l’IoT devra tenir compte du champ d’action de l’objet
- Certaines données d’entreprise sont évidemment plus importantes que d’autres.
- Le contrôle des données ne doit pas avoir pour conséquence la paralysie ou le ralentissement des processus de fabrication dans l’entreprise.
- La difficulté pour les développeurs d’IoT et l’industrie IoT en général, sera de proposer des processus gradués pour évaluer les conséquences de la transmission de données par de nombreux objets dans l’entreprise
- Génère-t-il des données stratégiques ?
Des données permettent la révélation de secrets d’entreprises si elles étaient recoupées, analysées par des machines puissantes (machine learning) ?
Les développeurs devront :
- inclure l’objet connecté dans le processus général de flux de données de l’entreprise utilisatrice et
- étudier l’impact, le risque, de la transmission des données de l’objet sur la protection générale des secrets à valeur économique de l’entreprise
Risques légaux pour le concepteur, le vendeur d’IoT, si la protection des données n’est pas respectée.
- Amendes administratives de 10 millions € ou de 2% du chiffre d’affaires annuel mondial (le plus grand chiffre est choisi) jusqu’à 20 millions € et 4% du chiffre d’affaires annuel [10]
- Recours en justice [11]
- Droit à réparation [12] pour dommage matériel ou moral.
NOTES
[1] http://www.businessinsider.fr/us/there-will-be-34-billion-iot-devices-installed-on-earth-by-2020-2016-5/
[2] Voir ma présentation vidéo sur YouTube « IoT and blockchain as a possible improvement in cyber-security « à 5mn60, écran No 5
[3] Art 8, Convention Européenne des Droits de l’Homme, 04 novembre 1950, amendée, http://www.echr.coe.int/Documents/Convention_FRA.pdf
et La Charte Des Droits Fondamentaux de L’Union Européenne du 18 décembre 2000, (art 7)
[4] Règlement (UE) 2016/679 Du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données) http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
[5] Proposition de Règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la Directive 2002/58/CE (règlement «vie privée et communications électroniques») 10 janvier 2017, E-Privacy http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=42683
[6] Voir infographie « Les 6 bases légales du traitement des données personnelles » https://mementosafe.com/rgpd-collecte-donnees/
[7] Voir mon article « RGPD Comment enregistrer le consentement des personnes ? » https://mementosafe.com/consentement-rgpd/
[8] Récital 12 , E-Privacy , note 5
[9] Récital 3 du projet, note 5
[10] Art 23, E-Privacy, supra. note 5
[11] Art 21 ibid.
[12] Art 22 ibid.
[ninja_form id=2]