L’internet des objets

L’internet des objets

L’Internet des Objets est un sujet au centre des préoccupations liées au secteur de la protection des données à caractère personnel.  A ce titre, le sujet a été débattu par le G 29 qui s’est positionné sur le sujet.

Le G29 a publié sa position quant aux objets connectés. Les thèmes abordés:

  • Les objets connectés que l’on peut porter sur soi, par exemple les lunettes ou encore les montres connectées.
  • Le Quantified Self via les applications que chacun peut se « connecter » afin de mesurer son activité physique, le nombre de calories brûlée dans la journée ou au cours d’une activité physique, son rythme de sommeil. Les domaines sont divers et variés mais les informations enregistrées permettent d’analyse les habitudes de vie et de consommation des individus. Le secteur le plus sensible est celui des informations liées à la santé qui sont collectées.
  • La domotique qui permet d’être à son domicile sans y être, ou encore de rendre « intelligent » les alarmes, les détecteurs de fumée, les stations météo ou les machines à laver que l’n peut contrôler depuis Internet.

Les problématiques se posent plus au niveau de l’analyse a posteriori qui peut être faite des données collectées, que de la collecte elle-même. Les éditeurs de ces applications doivent être encadrés quant à l’usage qu’ils font des informations qu’ils ont en leur possession.

Le G29 a identifié les principales problématiques liées à l’Internet des Objets :

  • Le manque de contrôle et asymétrie d’information : les personnes perdent le contrôle sur leurs données puisqu’elles sont disséminées au gré des applications et l’échange d’information qui est opéré n’est pas proportionné. La valeur de l’information n’est pas la même d’une part et d’autre des acteurs.
  • La qualité du recueil du consentement des utilisateurs est discutable. Il n’est pas rare que les objets ou applications connectées ne comprennent pas de notice, ce qui rend l’information et le recueil d’un consentement valable compliqué.
  • La divergence entre la finalité de collecte et les traitements ultérieurs de l’information. L’analyse de l’information à l’échelle des mégabases de données, sur la base d’algorithmes puissants permets de croiser et de rendre significative des masses d’informations.
  • La création de modèles intrusifs quant aux habitations et le profilage des individus sont un point d’intrusion et d’attention pouvant se révéler gênant quant à la protection de la vie privée.
  • La possibilité limitée de pouvoir bénéficier des services de manière anonyme.
  • Les risques liés à la sécurité. Se heurtent deux principes : la sécurité et l’efficacité des applications. Il semble que la première soit délaissée, au profit de la seconde. Par conséquent, les objets connectés peuvent devenir la cible d’attaques et de vol.

Les acteurs sur cette problématique sont variés, allant des autorités de contrôle nationales, en passant par les fournisseurs d’objet, les éditeurs d’application, les réseaux sociaux qui favorisent leur diffusion, les développeurs…

L’un des défis majeur, est celui de l’interopérabilité des objets connectés. La mise en place de standard est au cœur des préoccupations, s’il est souhaité un échange des informations et une possibilité de réutilisation par les utilisateurs eux-mêmes.

L’évolution de la technologie, fait ou, doit faire, évoluer le cadre législation, l’être humain, la personne physique, devient le sujet-même de l’information. Bien que les individus mettent en œuvre des applications dans le cadre privé, ce qui les exclus en principe de l’applicabilité de la loi, il est nécessaire que le législateur encadre ces pratiques, au moins du point de vue des fournisseurs, créateurs, éditeurs de ces  objets connectés, afin d’élaborer un cadre, une éthique sur ce terrain risqué pour la protection des données.

Les principes classiques du cadre législatif de la protection des données sont applicables aux objets connectées, notamment, le recueil du consentement des personnes, leur information, la sécurité des objets et le respect des droits d’accès, de rectification et d’opposition des personnes.

Les recommandations suivantes ont été faites par le G 29 :

Aux parties prenantes :

  • Réalisation d’une analyse d’impacts et de risque quant à chaque objet
  • Utilisation de données agrées et non pas nominatives
  • Respect des principes du Privacy By Design et du Privacy By Default
  • Respect des droits des personnes
  • Recueil et retrait du consentement des utilisateurs
  • Respect de l’obligation d’information des personnes

Aux fabricants :

  • Information des personnes quant aux données collectées, ce qui en sera fait et comment elles seront combinées
  • Respect effectif du droit d’opposition des utilisateurs et du consentement
  • Prévoir des strates de collecte d’information pour éviter que le support soit sollicité en permanence.
  • Eviter la géolocalisation permanente des utilisateurs
  • Enregistrement des données à un format interopérable
  • Garantir le droit d’accès aisé des utilisateurs à leurs données
  • Information des utilisateurs sur les failles de sécurité identifiées
  • Crypter les informations
  • Réaliser des données agrégées dans un format standard
  • Création de profil d’authentification par utilisateur
  • Standardisation des outils de stockage
  • Mise à disposition de l’image des données collectées à chaque utilisateur

Aux développeurs :

  • Mise à disposition de notices et d’avertissement expliquant la collecte de données personnelles
  • Application doit faciliter l’exercice des droits des personnes
  • Mise à disposition des données à un format standard
  • Vigilance quant au type de données collectées
  • Respect des principes du Privacy By Design

Aux plateformes sociales :

  • Le paramétrage par défaut doit permettre aux utilisateurs de protéger leurs données
  • Les informations issues des objets connectés ne doivent pas être publiées par défaut sur les réseaux sociaux

Aux utilisateurs :

  • Consentir de manière informée à l’utilisation de leurs données personnelles
  • Possibilité de paramétrer l’objet
  • Possibilité d’exercer ses droits d’accès et d’opposition

Organismes de normalisation et plateformes de données :

  • Mise en place de standard
  • Principe d’agrégation des données
  • Principe d’anonymisation des données
  • Garantie de la confidentialité, l’intégrité, la disponibilité, l’authentification et du contrôle d’accès aux données
 

Comments are closed.