CNIL : Protection des données personnelles et objets connectés

Pinterest LinkedIn Tumblr +

Les objets qui nous entourent sont de plus en plus connectés et les entreprises collectent par ce biais de plus en plus de données quantifiées sur les utilisateurs.
De nos jours, plus un seul équipement n’échappe à la tendance forte de 2014 : la connectivité. Vous trouverez de l’intelligence au sein des télévisions, des réfrigérateurs, des voitures connectés, chaussures, montres connectées, balances, lunettes connectées, machines-à-laver, etc… Selon les estimations des analystes, chacun d’entre nous possèdera environ 8 objets connectés en moyenne dès 2018. Les objets connectés sont désormais suffisamment intelligents pour se connecter entre eux grâce au M2M, le Machine-to-Machine. Cela n’a pas que du bon. Les données personnelles collectées par ces objets connectés sont envoyées aux entreprises qui les fabriquent afin de servir des services de personnalisation et de prédiction en temps réel… Ces données leurs peremttent aussi de beaucoup mieux connaitre leurs clients. La santé connectée va elle aussi y passer et les multiples capteurs corporels connectés (bracelets, podomètres, balances, tensiomètres) vont y participer en grande partie.
securite-données-personnelles
Véritable révolution pour certains, le sujet de la santé est encore difficile à aborder en raison de l’hétérogénéité des pratiques liées à l’auto-mesure, de la diversité des outils utilisés (pas toujours d’une précision scientifique) et aux applications utilisées qui offrent des niveaux de précision variables.

Le cas du téléviseur LG :

Récemment, un ingénieur a mis en évidence que son téléviseur LG espionnait son comportement à son insu en remarquant que des publicités ciblées s’affichaient sur son téléviseur. Même en ayant désactivé l’option de collecte de données (activée par défaut par LG), il s’est aperçu que l’envoi des données se poursuivait allant même jusqu’à transmettre la nature des fichiers lus sur le téléviseur à partir d’une clé USB qu’il avait branchée sur sa TV connectée.
Sous la pression médiatique, l’entreprise LG s’est finalement excusée et a promis de mettre à jours le logiciel interne de ses téléviseurs pour cesser ces pratiques. Selon l’Idate 2020, plus de 80 milliards de produits seront ainsi connectés à Internet : ordinateurs connectés ainsi que toutes les variantes de ces derniers, Smartphones, tablettes…

Les TV mais aussi tout l'électroménager domestique se connecte au web...

Les TV mais aussi tout l’électroménager domestique se connecte au web…

La peur d’une surveillance clandestine :

L’affaire du téléviseur LG révèle le pouvoir potentiel de ces objets intelligents sur notre vie quotidienne. Les utilisateurs peuvent légitimement s’inquiéter cela s’apparente à de l’espionnage domestique. En effet, des moteurs de recherche tels que Shodan, qui permet d’identifier et de se connecter à des millions d’objets connectés dans le monde.
En 2013, des experts informatiques ont démontré qu’il était possible de désactiver à distance les freins d’une voiture électrique. La dangerosité de l’utilisation de ces appareils tient principalement dans la quantité et la variété des informations personnelles qu’ils permettent de recueillir ainsi que la géolocalisation des personnes via les objets connectés qu’ils portent.
Une grande partie des consommateurs ne perçoit toujours pas les difficultés de ces évolutions technologiques. Selon un sondage publié par Havas Media France en janvier 2014 : près de 60 % des internautes voient la généralisation des objets connectés d’ici 5 ans, car ils sont source de progrès (75 %) et facilitent la vie (71 %).

Shodan aide les hackers à identifier des cibles mal protégées

Shodan aide les hackers à identifier des cibles mal protégées

Traitement des données personnelles :

Le traitement des données personnelles est d’autant plus important qu’il peut concerner des données sensibles de santé. L’ampleur du phénomène du quantified self , encouragé par les trackers d’activité qui mesurent notre température ou notre rythme cardiaque en continue constitue un traitement de données dites « sensibles » selon la CNIL et à cet égard, il doit faire l’objet d’une protection renforcée. Le caractère sensible de ces données tient avant tout à leur communication à des tiers, tels que les assureurs comme dans l’exemple mené conjointement par Withings et Axa auprès de 1000 utilisateurs volontaires. D’autres données doivent aussi faire l’objet de vigilance, notamment celles relatives à la géolocalisation des individus, à leurs habitudes de consommation ou à leur mode de vie. La géolocalisation fait l’objet de craintes plus spécifiques, alimentées par la loi relative à la géolocalisation du 28 mars 2014. Cette loi prévoit que dans le cadre d’une enquête et sous l’autorité d’un juge, les enquêteurs peuvent avoir recours à « tout moyen technique destiné à la localisation en temps réel » d’une personne, « d’un véhicule ou de tout autre objet ».
Pour garantir le développement du marché des objets connectés, il devient alors nécessaire pour les industriels de rassurer les utilisateurs sur la sécurité des produits distribués. Conformément à l’article 226-17 du Code pénal, le non-respect de l’obligation de sécurité imposée à tout traitement de données à caractère personnel est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende pour une personne physique et l’amende peut même être multipliée par 5 pour une personne morale.
Cnil-objets-connectés

Le contrôle de la CNIL :

La protection juridique relative à l’utilisation de ces objets connectés est assurée en France par la CNIL. La CNIL pratique un contrôle et une surveillance stricte quant à la manière dont les données personnelles relatives au mode de vie et à la santé des utilisateurs sont collectées et exploitées. Dès 2009, la CNIL a publié une communication sur l’internet des objets qui exposait les perspectives et les enjeux du développement de ce secteur extraordinaire.
En Europe, les données personnes sont protégées par la loi mais sa protection est réduite si la personne a consenti  à cet usage par l’achat d’un matériel. Par principe, un traitement de données à caractère personnel est licite s’il a reçu le consentement de la personne concernée (opt in). Mais des difficultés apparaissent déjà concernant le droit effectif d’opposition lorsque le constructeur n’est pas européen et concernant le droit de regard par les utilisateurs. Certains proposent de lancer une réflexion sur une éventuelle procédure alternative de règlements des litiges à l’image de celles créées pour les conflits entre les titulaires de marques et les titulaires de noms de domaine.

Ce que dit la CNIL sur les objets connectés

L’émergence des objets connectés questionne le cadre juridique actuel notamment sur la définition de la donnée de santé ou de la responsabilité dans le cadre du partage automatisé des données. En consacrant le numéro 2 de ses Cahiers Innovation et Prospective aux données des objets connectés, la CNIL adopte une démarche de surveillance vis à vis des potentielles dérives liée à ces nouvelles pratiques et aux menaces qu’elles font planer sur la vie privée et les libertés individuelles. Dans le cadre de ces cahiers, la CNIL donne ainsi les recommandations suivantes :

  • utiliser un pseudonyme pour partager les données,
  • ne pas automatiser le partage des données vers d’autres services,
  • ne publier les données qu’en direction de cercles de confiance;
  • effacer ou récupérer les données lorsqu’un service n’est plus utilisé. Elle met en garde les utilisateurs sur la prolifération de leurs données via les réseaux sociaux et rappelle que la frontière peut être floue entre le médical et le simple suivi de son bien-être. Une donnée qui peut sembler à priori anodine pour un utilisateur au moment où il la partage peut en fait recéler beaucoup d’informations pour un spécialiste qui pourrait y avoir accès par la suite et l’utiliser à des fins de ciblage ou de profilage.

source : journaldunet.com / village-justice.com / lesnumeriques.com

credit photo : Shutterstock

Partager
A propos de l'auteur