L’omniprésence de l’objet connecté le rendrait presque invisible tant il fait partie intégrante de notre quotidien. Le caractère immatériel des connexions déclenchées du fait de l’utilisation d’un ou plusieurs objets connectés peut également renforcer cette impression. L’impact sur les vies privées des consommateurs est pourtant bien concret. Si le fait que des objets communiquent entre eux n’est pas nouveau, il nous semble toutefois que certaines évolutions récentes ne sont pas sans importance.
Ainsi, de nombreux objets destinés à être utilisés chaque jour intègrent à présent une connectivité Internet ainsi que des capteurs, ces derniers étant d’ailleurs de plus en plus précis. Par conséquent, les données collectées gagnent également en précision (géolocalisation, biométrie, etc.) ; données qui peuvent être stockées dans le cloud et partagées entre plusieurs acteurs. De plus, les objets connectés sont bien plus accessibles qu’auparavant aux particuliers et aux petites et moyennes entreprises ; ce qui augmente le volume de données traitées. Notons par ailleurs que les petits écrans nuisent à l’accès et à la visualisation des contenus Web, donc à l’information souvent opaque des personnes dont les données personnelles sont traitées, et ce sans compter l’attention sporadique des utilisateurs à leur égard. Enfin, à l’heure du Big
Data
[1]
, l’objectif n’est plus tant de vendre un produit que d’offrir des services associés afin de collecter des données personnelles.
En France, la loi relative à la protection des données personnelles a été promulguée le 21 juin
2018
[2]
. La loi Informatique et
Libertés
[3]
a donc été modifiée en vue de son adaptation au Règlement général sur la protection des données
(RGPD)
[4]
ainsi que de la transposition de la directive du 27 avril 2017 relative aux traitements de données à caractère personnel par les autorités dans le cadre des enquêtes et procédures
judiciaires
[5]
.
LES NOTIONS ESSENTIELLES DU RGPD A NE PAS OUBLIER POUR LES PROFESSIONNELS DE L’
IOT
[6]
La notion de « donnée à caractère personnel » est définie de manière large par le
RGPD
[7]
comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Dès lors, l’ensemble des données collectées du fait de l’utilisation de l’objet connecté, seules ou combinées entre elles, qui peuvent être liées à une personne physique (utilisateur habituel ou occasionnel, propriétaire, etc.) doivent être considérées comme des données personnelles. Ce sera notamment le cas des données « client » classiques telles que les nom, prénom, adresse électronique, des données biométriques et de géolocalisation ou même des données techniques liées à l’état de l’objet connecté et son numéro de série s’ils permettent d’identifier ou de rendre identifiable son acheteur. En revanche, le RGPD ne sera pas applicable dans l’hypothèse où les données traitées sont anonymes, c’est-à-dire lorsqu’elles ne pourront être associées directement ou indirectement à une personne physique. Il convient de bien distinguer l’anonymisation de la pseudonymisation, qui n’est pas une opération
irréversible
[8]
.
En cas de traitement de données personnelles, le RGPD impose un certain nombre d’obligations à la charge du responsable de traitement telles que le respect des droits des personnes, la mise en place de mesures de sécurité adaptées ou encore l’information des personnes relative aux traitements mis en place, voire le recueil du consentement. Plusieurs entreprises peuvent d’ailleurs être qualifiées de responsables conjoints de traitement et devront donc définir de manière transparente leurs obligations
respectives
[9]
. Ce sera probablement fréquent lorsqu’il s’agira d’un traitement de données lié à l’utilisation d’un objet connecté compte tenu du grand nombre d’acteurs impliqués (fabricants de capteurs, plateformes de gestion des dispositifs
M2M,
[10]
prestataires de services notamment les fournisseurs de cloud computing, éditeurs d’applications, etc.). Il conviendra toutefois de bien distinguer ces responsables conjoints d’éventuels
destinataires
[11]
tels que des partenaires commerciaux.
LES NOUVEAUX PRINCIPES A RESPECTER DANS LE CADRE DES TRAITEMENTS DE DONNEES LIES AUX OBJETS CONNECTES
Au système déclaratif antérieur, le RGPD a substitué une démarche responsable (accountability) en vertu de laquelle le responsable de traitement et le sous-traitant doivent pouvoir démontrer à l’autorité de contrôle leur conformité. En pratique, cela nécessite l’adoption de mesures techniques et organisationnelles garantissant le respect de la réglementation (respect des droits des personnes, analyses d’impact le cas échéant, notification des violations de données, etc.). La généralisation de la tenue d’un registre des traitements participe également de la démarche de responsabilité des
organismes.
[12]
Les principes de protection des données dès la conception (privacy by design) et par défaut (privacy by default) consacrés par le
RGPD
[13]
doivent également être respectés par les responsables de traitement et sous-traitants. Par exemple, en application du principe de privacy by default, il sera pertinent de prévoir une désactivation par défaut de la collecte de données de géolocalisation au démarrage de l’objet. De même, en application du principe de privacy by design, il sera judicieux de prévoir notamment la possibilité pour l’utilisateur de supprimer aisément l’historique de ses données d’usage ou de désactiver à tout moment certaines fonctionnalités autres que celles nécessaires au fonctionnement de l’objet.
Par ailleurs, le RGPD pose le principe de « minimisation des
données »
[14]
selon lequel seules doivent être traitées les données pertinentes, adéquates et limitées à ce qui est nécessaire au regard de la finalité du traitement. À titre d’exemple, est-il utile de collecter les données de géolocalisation dans le cadre de l’utilisation d’un objet connecté servant à comptabiliser le nombre de pas dans une journée ?
LES OBLIGATIONS DE SECURITE RELATIVES AUX DONNEES PERSONNELLES COLLECTEES PAR LES OBJETS CONNECTES
Le responsable du traitement ainsi que le sous-traitant sont soumis à une obligation de sécurité. Dès lors, toutes mesures nécessaires pour garantir la confidentialité des données collectées et éviter leur divulgation à des tiers non autorisés devront être
prises
[15]
(mesures de chiffrement, mécanismes d’authentification, mises à jour régulières des applications, etc.). Quant à cette obligation de sécurité, la loi relative à la protection des données ne mentionne que le responsable de traitement, dans son article 34.
Il est précisé dans le RGPD que les risques pour les droits et libertés des personnes physiques, « dont le degré de probabilité et de gravité varie » doivent être pris en compte dans l’élaboration de ces mesures, notamment en cas de traitement de données de santé (capteurs de fréquence cardiaque, pilulier connecté, tensiomètre, etc.). En cette hypothèse, le responsable de traitement devra effectuer une étude d’impact afin d’analyser les risques encourus, identifier les mesures à appliquer et documenter sa conformité. L’une des nouvelles obligations issues du RGPD consiste en effet en la réalisation, avant la mise en œuvre de certains traitements, d’une analyse d’impact relative à la protection des données à caractère personnel (Data Protection Impact Assessment –
DPIA).
[16]
Pour rappel, les mesures de sécurité doivent avoir notamment pour objectif d’assurer la confidentialité, l’intégrité et la disponibilité du système de traitement des données ainsi que l’accès à celles-ci. Cela doit faire l’objet d’une politique de sécurité, conformément au principe d’accountability. En outre, l’exigence d’adaptation des mesures de sécurité impose d’évaluer régulièrement l’efficacité des mesures prises pour les réajuster le cas échéant.
Le RGPD généralise également l’obligation de notifier les violations de données à caractère personnel qui se matérialisent par la destruction, la perte, l’altération, la divulgation des données à caractère personnel traitées. La notification devra être effectuée auprès de la Commission nationale de l’informatique et des libertés (CNIL) dans un délai de 72 heures au plus tard après la prise de connaissance de la violation. À noter que le législateur français a oublié de modifier l’article 34 bis de la loi Informatique et Libertés puisque ce dernier dispose que cette obligation s’applique uniquement et seulement en cas de traitement réalisé « dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public ». En cas de sous-traitance du traitement des données, une collaboration avec les prestataires est organisée par le
RGPD
[17]
. Dans ce contexte, le responsable de traitement doit s’enquérir auprès de ses prestataires des délais dans lesquels ils sont en capacité de lui notifier toute violation de sécurité.
LES OBLIGATIONS D’INFORMATION ET LES NOUVEAUX DROITS DES PERSONNES DANS LE CADRE DES OBJETS CONNECTES
Le RGPD renforce l’obligation d’information des personnes dont les données à caractère personnel sont collectées et
traitées
[18]
. Ainsi, de nouveaux éléments font leur apparition dans la liste déjà longue des informations que tout responsable de traitement doit communiquer aux personnes concernées. Étant précisé que ce grand nombre de renseignements doit être fourni « en des termes clairs, simples et aisément accessibles »… À titre d’exemple, l’utilisateur d’un objet connecté devra être informé de la prise de décision automatisée, y compris du profilage produisant des effets juridiques ou l’affectant de manière
significative.
[19]
D’après la CNIL, « la mise à disposition de l’ensemble des informations en un seul bloc permet difficilement d’atteindre l’objectif de lisibilité et il convient donc de favoriser une approche en plusieurs
niveaux »
[20]
. Dans un premier temps, les informations essentielles peuvent être portées à la connaissance de l’utilisateur sur l’écran de l’objet connecté avant sa première utilisation. Puis, le reste des informations peut être inséré dans les conditions générales de vente de l’objet connecté ainsi que les conditions générales d’utilisation des applications associées. Ces renseignements pourront également se trouver dans le manuel d’utilisation de l’objet connecté.
De nouveaux droits ont également été créés tels que le droit à la limitation du traitement ou le droit à la portabilité qui a fait couler beaucoup d’encre. En effet, le droit à la
portabilité
[21]
permet à une personne de demander à recevoir les données personnelles la concernant, dans un format structuré, couramment utilisé et lisible par machine ou bien, lorsque cela est techniquement possible, demander que les données personnelles soient transmises par le responsable de traitement directement au nouveau responsable de traitement. À noter que ce droit doit pouvoir être exercé à titre
gratuit
[22]
et ne concerne que les données personnelles traitées sur la base du consentement de la personne concernée ou en exécution d’un contrat qu’elle a conclu (notamment les données issues de la fourniture d’un service de géolocalisation sur demande de l’utilisateur). Ainsi, les données personnelles traitées en vertu de l’intérêt légitime du responsable de traitement ne peuvent faire l’objet d’une demande de portabilité. Il s’agira par exemple des données techniques collectées exclusivement par les fabricants pour l’optimisation des objets connectés.
AU-DELA DU RGPD ET DE LA LOI RELATIVE A LA PROTECTION DES DONNEES
Ainsi, le respect du cadre juridique relatif à la protection des données à caractère personnel est un enjeu de taille. Toutefois, l’environnement juridique à prendre en compte ne se limite pas au RGPD et à la loi relative à la protection des données puisque le droit des obligations, le droit de la consommation ou encore le droit de la propriété intellectuelle trouveront à s’appliquer à la conception, la distribution ou encore à l’utilisation des objets connectés. De même que le droit des assurances, le droit à l’image ou le droit pénal… En dernier lieu, il convient de porter attention aux initiatives et aux réflexions européennes relatives à la réglementation en cette matière, notamment quant aux véhicules connectés ou aux drones.
1
Le G29, groupe de travail institué par l’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci rassemblant les représentants des autorités indépendantes de protection des données de chaque État membre, avait défini le Big Data comme étant « Un ensemble de technologies et de méthodes consistant à analyser, à des fins générales prédictives, le flot de données produites par les entreprises, les organisations et les individus, mais aussi les objets s’ils sont connectés, dans des volumes et à une vitesse sans précédent » (Opinion 03/2013 on purpose limitation, 2 avr. 2013, p. 36.). Le G29 a laissé la place au Comité européen de protection des données, en application de l’article 68 du règlement général sur la protection des données.
2
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles publiée au JORF du 21 juin 2018 - Décision n° 2018-765 DC du 12 juin 2018 Le Conseil constitutionnel a jugé que le législateur ne pouvait se borner à reproduire à l’identique les termes « sous le contrôle de l’autorité publique » figurant à l’article 10 du RGPD, sans préciser les catégories de personnes susceptibles de mettre en oeuvre, sous un tel contrôle, des traitements de données personnelles en matière pénale, et sans préciser les finalités d’un tel traitement. Par un tour de passe-passe, la Haute juridiction rejette notamment le grief relatif à l’inintelligibilité de la loi déférée en s’appuyant sur son article 32, lequel habilite le Gouvernement à prendre par voie d’ordonnance les mesures nécessaires à la réécriture de l’ensemble du texte. Dans ce contexte, la loi relative à la protection des données personnelles a été promulguée le 20 juin 2018 et publiée au journal officiel du 21 juin 2018. Nombre de ses dispositions devront cependant être réécrites voire supprimées, par voie d’ordonnance.
3
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – À noter que Le 16 mai 2018, plus de soixante sénateurs ont saisi le Conseil constitutionnel. Les griefs formulés portaient notamment sur le manque de précisions du texte ainsi que ses nombreuses contradictions avec le RGPD.
4
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
5
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/ JAI du Conseil.
6
« Internet of Things » ou, en français, « Internet des objets » désigne une « infrastructure dans laquelle des milliards de capteurs intégrés dans des dispositifs courants, quotidiens – des “objets” en tant que tels ou des choses liées à d’autres objets ou personnes – sont conçus pour enregistrer, traiter, conserver et transférer des données et, comme ils sont associés à des identifiants uniques, interagir avec d’autres dispositifs ou systèmes par un réseau. » selon l’avis du G29 « Les récentes évolutions relatives à l’internet des objets » en date du 1er septembre 2014.
7
Article 4.1 du RGPD.
8
Avis n° 05/2014 du 10 avril 2014 sur les techniques d’anonymisation du G29.
9
La répartition des obligations entre responsables conjoints de traitement est encadrée par l’article 26 du règlement général sur la protection des données, qui prévoit également que les « grandes lignes » de l’accord doivent être mises à la disposition de la personne concernée par le traitement. En revanche, ni le RGPD ni la loi relative à la protection des données personnelles ne précisent les modalités de cette mise à disposition.
10
En français, « communication de machine à machine » ou « communication entre machines » et qui désigne l’association des technologies de l’information et de la communication, avec des objets dits intelligents et communicants et cela dans le but de fournir à ces derniers les moyens d’interagir sans intervention humaine avec le système d’information.
11
Article 4.9 du RGPD.
12
Rappelons que les entreprises de moins de 250 salariés ne sont pas soumises à cette obligation. Cette exception sera toutefois écartée si le traitement mis en oeuvre est générateur de risque pour les droits et libertés des personnes, s’il est récurrent ou s’il porte sur des données à caractère personnel sensibles ou relatives à des condamnations et infractions pénales. Cela sera notamment le cas en cas de quantified self qui désigne, selon la CNIL, la « pratique de la “mesure de soi” et fait référence à un mouvement né en Californie qui consiste à mieux se connaître en mesurant des données relatives à son corps et à ses activités ».
13
Article 25 du RGPD.
14
Article 5.1 c) du RGPD.
15
Article 32 du RGPD.
16
Considérant 84 et article 35 du RGPD.
17
Article 33 du RGPD.
18
Articles 12, 13 et 14 du RGPD.
19
Article 13.2 du RGPD.
20
Conformité RGPD : comment informer les personnes et assurer la transparence ?, 14 mai 2018, site de la CNIL consulté le 23 août 2018.
21
Article 20 du RGPD.
22
Article 12-5 du RGPD.
