Droit des données: le paradoxe des objets connectés

Inquiet, mais pas naïf: le consommateur a un rapport compliqué avec l'exploitation de ses données personnelles. Une étude commanditée par Intel Security montre que 81% des Français craignent que les données collectées par leurs objets connectés soient utilisées à des fins marketing et 90% se préoccupent du piratage. Dans le même temps, ils sont plus de 6 sur 10 à être prêts à vendre ou échanger lesdites données...

Coup de chance: les législateurs sont au moins aussi préoccupés que les consommateurs par la question et le cadre juridique permettant de protéger les données personnelles est bien en place, nous explique Olivia Luzi, avocat associé de l'un des cabinets en pointe sur les problématiques du droit des nouvelles technologies, Feral-Schuhl / Sainte-Marie.

Avec l'essor des objets connectés, les citoyens vont être confrontés à une collecte et une exploitation de leurs données personnelles sans précédent. Sont-ils correctement protégés?

La loi informatique et libertés, complétée récemment par le règlement européen adopté en avril et dont la mise en oeuvre effective a été reportée à 2018 forment un cadre juridique qui appréhende l'essentiel des problématiques liées aux données personnelles: il n'y a pas de "vide" juridique en la matière. Parmi les principales garanties apportées par ce régime juridique figure la loyauté de la collecte de données par les objets connectés: elle doit être proportionnée et pertinente par rapport à l'usage prévu.

En d'autres termes, les concepteurs d'applications, qui récoltent des données personnelles et les traitent, ne peuvent plus avoir un raisonnement du type "j'ouvre mon service, je collecte de multiples informations sur les utilisateurs, et l'on verra bien ensuite tout ce que l'on pourra en faire avec".

C'est d'autant plus vrai que le caractère proportionné et pertinent des données collectées par rapport à l'usage prévu (la finalité du traitement de données personnelles) est renforcé par le règlement européen sur la protection des données qui introduit deux notions fondamentales à prendre en compte: celles du "privacy by design" et du "privacy by default".

Que signifient ces deux notions?

La notion de "privacy by design" suppose que les questions de respect de la confidentialité et de protection des données soient intégrées dès la conception d'un objet ou d'un service connecté. Et la notion de "privacy by default" signifie que, par défaut, ledit service doit être "réglé" sur le niveau le plus protecteur pour le consommateur. En d'autres termes, que ce dernier soit obligé de partager le minimum d'informations nécessaires.

Quels moyens ont les autorités pour garantir que ces obligations seront véritablement respectées?

Les traitements de données personnelles doivent normalement faire l'objet de formalités déclaratives ou, pour certains traitements plus sensibles, de demande d'autorisation auprès de l'autorité de contrôle (comme la CNIL en France).

Le règlement européen s'appuie lui sur une logique de responsabilisation des entreprises qui seront dispensées désormais de ces déclarations aux autorités de contrôles quand le règlement sera d'application effective en 2018. Pour accompagner cette dispense de déclarations, les missions et les pouvoirs des autorités de contrôle seront renforcés.

Aujourd'hui, les autorités de contrôle peuvent déjà mener des audits réguliers et elles le font régulièrement chaque année. La Cnil (Commission nationale informatique et liberté) est d'ailleurs particulièrement attentive aux traitements mis en oeuvre par les objets connectés puisque dans le cadre de l'Internet Sweep day, elle a prévu de lancer un vaste contrôle sur différents sites et objets connectés.

L'organisme va notamment pouvoir vérifier trois éléments essentiels. Premièrement: l'information délivrée aux utilisateurs est-elle suffisamment claire et précise? Deuxièmement, le niveau de sécurité des flux de données est-il satisfaisant? Enfin, quel degré de contrôle l'utilisateur garde-t-il sur ses données: il doit donner explicitement son consentement, pouvoir paramétrer l'accès à ses données, et ses dernières doivent être "purgées" au bout d'une durée raisonnable.

Que se passe-t-il si un contrôle conclut à une faute de l'éditeur d'un de ces services?

Jusqu'à présent, il faut reconnaître que les sanctions n'étaient guère dissuasives. Les sanctions pénales (jusqu'à 5 ans d'emprisonnement et 1,5 million d'euros d'amende pour les personnes morales) sont rarement appliquées, et les sanctions administratives pouvant atteindre 150 000 euros restaient souvent peu élevées.

Sur ce point, le règlement européen apporte un vrai changement: les amendes pourront atteindre 20 millions d'euros, ou 4% du chiffre d'affaires mondial de l'entreprise fautive, étant précisé que l'autorité de contrôle pourra retenir la somme la plus élevée des deux. De plus, ce n'est plus uniquement le concepteur de l'application, du service, ou de l'objet connecté qui peut être mis en cause: ses sous-traitants sont aussi ciblés.

Quels risques pèsent encore sur les données des consommateurs aujourd'hui?

Le principal, est celui de la sécurité et du piratage des données. Dans une étude réalisée en 2014, Fortify, la division d'HP dédiée à la cybersécurité, a constaté que sur 10 objets connectés audités, 70 % ne cryptaient pas les données échangées avec le réseau, 80 % ne nécessitaient pas de mot de passe suffisamment complexe et 60% n'offraient pas une interface Web suffisamment sécurisée.

A plus long terme, l'un des principaux dangers que j'identifie concerne l'utilisation d'objets connectés et d'applications ayant trait à la santé et l'usage que pourraient faire les compagnies d'assurance des données ainsi récoltées.

Aujourd'hui, ces applis sont plutôt ludiques, et appréciées des consommateurs. Si à l'avenir l'usage de ces dispositifs se généralise, les personnes qui en refusent l'usage pour justifier de leur bonne santé ou de leur hygiène de vie ne risquent-elles pas d'être tout bonnement exclues par leur assurance, ou se voir appliquer des surprimes?

A votre sens, que manque-t-il encore pour que l'arsenal de protection du consommateur soit complet?

Probablement le développement de normes, sur le modèle de celles mises en place par l'ISO, qui permettraient d'identifier les services qui sont exemplaires du point de vue de la protection des données personnelles et du respect de la législation en vigueur. La conformité à ces normes donnerait confiance au consommateur, de plus en plus préoccupé par ces questions. Il est probable que ces normes se développent dans les prochaines années.