Le déploiement de l’Internet des objets soulève aujourd’hui de nombreuses questions techniques (initiatives 5G en Europe et aux Etats-Unis, coûts de gestion des réseaux, mise en place de chaînes de valeurs complexes) et suscite aussi de nombreux défis juridiques (protection de la vie privée, confidentialité, cyber-sécurité, traitement des données personnelles). L’Union européenne doit-elle intervenir et légiférer ?

Maison intelligente, voiture connectée, smart city, e-santé… les domaines d’application de l’Internet des objets (IoT) ne cessent de croître et constituent selon certains une troisième révolution de l’Internet [1] en partie liée à l’accroissement du volume de données mises en ligne. A l’horizon 2020, le nombre d’objets connectés est estimé entre 20 et 50 milliards, avec un impact sur l’économie mondiale compris entre 2.000 et 5.000 milliards d’euros par an.

Le déploiement de l’Internet des objets soulève aujourd’hui de nombreuses questions techniques (initiatives 5G en Europe et aux États-Unis, coûts de gestion des réseaux, mise en place de chaînes de valeurs complexes). Il suscite aussi de nombreux défis en terme de protection de la vie privée, de confidentialité, de cyber-sécurité ou encore d’encadrement des données personnelles générées et collectées.

Alors que ces technologies ne connaissent pas de frontière et sont conçues le plus souvent avec une ambition globale, leur déploiement ne peut ignorer les exigences de l’Union européenne au regard du droit à la protection des données personnelles, droit consacré par l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) et par la charte des droits fondamentaux.

Si l’IoT ne connaît pas encore de dispositif législatif spécifique à l’échelle de l’Europe, une réflexion s’est engagée en son sein depuis plusieurs années quant aux fondamentaux et aux principes qui pourraient être dégagés. Et l’adoption du paquet « protection des données » pourrait donner un nouvel élan à ces débats.

En effet, l’avenir de l’Internet des objets et la croissance exponentielle de la masse des données générées, collectées, stockées et éventuellement traitées ou transférées constitue un sujet que l’Union européenne ne peut laisser de côté.

D’abord pour garantir le développement de ce secteur (en termes de sécurité ou de fiabilité) mais aussi pour lui apporter des garanties fortes.

Faut-il pour autant un cadre spécifique ou les règles existantes sont-elles suffisantes ?

S’il n’y a pas de consensus quant à la plus-value qu’apporterait une législation européenne spécifique, la réflexion est néanmoins engagée quant au cadre ou aux principes qui devraient tout de même encadrer l’IoT.

Ainsi, une première contribution [2] a été apportée par le groupe article 29 (institué par la directive 95/46 et dit G29). Ce dernier a adopté en septembre 2014 un avis sur l’Internet des objets, pour contribuer à une application uniforme du cadre européen existant, assorti de recommandations pratiques ciblées selon les différents acteurs.

Le G29 a d’emblée pointé que des développements incontrôlés de l’Internet des objets pourraient conduire à des formes de surveillance illégales contraires au droit de l’Union européenne. Il a identifié 6 types de risques posés par ces objets :
  le manque de contrôle comme le caractère asymétrique des flux d’informations ;
  la qualité du consentement par l’usager ;
  les usages potentiels des données « brutes » transmises et leur utilisation à des fins sans lien avec leur collecte originelle ;
  les risques de profilage et de surveillance de la vie privée avec la multiplication des capteurs ;
  les limitations à la possibilité de demeurer anonyme lors de l’utilisation de certains services ;
  la sécurité, avec la nécessité de veiller à toutes les étapes du développement de ces outils à des critères de confidentialité, d’intégrité et de sécurité maximales.

Le G29 a souligné aussi les obligations pesant sur les parties prenantes de l’Internet des objets, dans les cadres prévus par la directive 95/46 et la directive 2002/58 (« e-privacy ») lorsqu’elles trouvent à s’appliquer, à savoir : conditions du consentement, base légale du traitement de données, collecte loyale et proportionnée des données, traitement spécifique des données sensibles, exigences en terme de transparence et sécurité des traitements. A titre d’exemple, le G29 rappelait l’exigence d’un consentement explicite pour les données sensibles et plus particulièrement les données de santé.

Dans ses conclusions provisoires, le G29 a demandé :
  le recours systématique à des études d’impact ;
  la suppression des données non utilisées et collectées ;
  la possibilité pour les « utilisateurs » de contrôler leurs données et l’usage qui en est fait (au-delà de l’information qui doit leur être apportée) ;
  la limitation des possibilités de localiser ou d’identifier en continu une personne.

En second lieu, un document de travail du Parlement européen de septembre 2015 consacré au Big Data et intervenu pendant la négociation du paquet « protection des données » a fait état d’une position plus offensive, en rappelant d’abord que la réglementation de l’IoT devait respecter le droit fondamental à la protection des données personnelles garanti par la Charte des droits fondamentaux [3].

Cette étude a repris les exigences formulées par le G29 afin de renforcer le contrôle effectif des usagers sur leurs données personnelles, d’améliorer la qualité du consentement lors du recueil des données et de garantir un niveau élevé de protection de ces données lors de transferts à des tiers ou hors de l’Union européenne, sujet récurrent de préoccupation pour le Parlement européen.

Enfin, le règlement « protection des données » adopté le 14 avril 2016 a formalisé un nouveau cadre général pour l’internet des objets.

Alors même qu’il ne comprend pas de dispositions spécifiques à ce domaine, le règlement reprend certaines préconisations du G29, notamment en consacrant les principes de privacy-by-design (protection de la vie privée dès la conception de l’objet) et privacy-by-default (protection de la vie privée par défaut), en apportant une boite à outils en matière de conformité ou en renforçant le niveau des sanctions (par exemple dans le cas des failles de sécurité). Les nouvelles dispositions renforçant la vie privée (droit à l’oubli ou à la portabilité des données) vont également dans le sens d’une plus grande information des usagers vis-à-vis des acteurs du numérique.

Ce règlement qui sera applicable en avril 2018 constituera l’une des bases de la réglementation de l’Internet des objets et fournira des pistes de toute réflexion future sur des dispositions plus spécifiques.

Le chantier de la révision de la directive vie privée intéressera aussi les acteurs de l’IoT.

La Commission européenne a ouvert une consultation publique sur ce texte jusqu’au 5 juillet prochain, avec trois objectifs :
  assurer la cohérence entre cette directive et le paquet protection des données (par exemple sur la notification des failles de sécurité) ;
  modifier le cas échéant les règles de la directive au vu des innovations technologiques et des nouveaux acteurs émergeant dans le domaine des communications électroniques ;
  renforcer la sécurité et la confidentialité des communications à travers l’Union européenne.

Même si la Commission n’a pas encore communiqué sur les dispositions du texte qu’elle souhaite réviser, cette consultation est importante et l’enjeu est de taille pour les opérateurs et les acteurs du secteur des télécommunications puisque le futur texte constituera avec le règlement « protection des données » un socle réglementaire révisé pour l’internet des objets.

Lorsque ces chantiers législatifs seront terminés, quels pourront être les arguments de la Commission européenne pour proposer une –éventuelle- législation spécifique ?

Cette dernière a déjà évoqué quelques préoccupations [4] et signalé des difficultés comme la fragmentation entre les politiques industrielles nationales, le risque de moindre inter-opérabilité des standards ou encore l’insécurité juridique des transferts hors Union européenne des données personnelles collectées dans le cadre de l’IoT.

La Commission sait qu’il sera difficile de militer en faveur d’une législation spécifique à l’internet des objets. C’est en effet la position d’une majorité d’acteurs du secteur et notamment de l’AIOTI (Alliance for Internet of Things Innovation) [5] qui redoutent une règlementation qui ne serait pas « technologiquement neutre » et qui figerait l’évolution extrêmement rapide de ce secteur. Cet argument est largement recevable et il avait d’ailleurs été souvent repris lors de la négociation du « paquet protection des données ».

Le message de la Commission européenne est néanmoins clair, selon nous : aujourd’hui c’est aux opérateurs de renforcer la sécurité de l’IoT. En l’absence d’initiatives concrètes et effectives, notamment dans le domaine de la protection des données personnelles, elle interviendra pour fixer les règles du jeu, au besoin en s’appuyant sur le Parlement européen.

Jérôme DEROULEZ Avocat au Barreau de Paris