Des milliards d’objets connectés peuplent dorénavant le monde, dans des domaines les plus variés comme la santé, les loisirs et la domotique. Si les autorités publiques ont à cœur de protéger les utilisateurs contre les risques d’atteinte à la sécurité et à la confidentialité de leurs données personnelles traitées dans le cadre de ces objets connectés, les utilisateurs de ces dispositifs sont, eux, souvent assez désinvoltes ou inconscients à l’égard des risques encourus.

Qui dit objet connecté dit objet (capteurs), réseau (connectivité), applications d’exploitation et données (entrantes puis sortantes). Les données des utilisateurs sont collectées, analysées, restituées, archivées et conservées, dont leurs données personnelles. Dans le domaine de la santé par exemple, les objets connectés peuvent être notamment des tensiomètres ou des thermomètres, donc des dispositifs permettent de mesurer des constantes physiologiques (tension, température…) et constituer des aides au diagnostic et à la prévention.

Mais toute faille de sécurité de ces mêmes objets connectés peut aussi mener à un défaut d’intégrité des données et à des erreurs de diagnostic ou de traitement, à une divulgation non autorisée de ces données, à une usurpation d’identité des utilisateurs ou encore à un défaut de continuité du service. La responsabilité des éditeurs, fabricants, distributeurs, agents de santé est alors susceptible d’être engagée en cas de préjudice subi par les utilisateurs.

C’est pourquoi le Règlement Général sur la Protection des Données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et la Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et à la liberté, ont pour objectif de protéger la sécurité et la confidentialité des données à caractère personnel.

L’objectif de la réglementation est, comme le rappelle l’autorité française de protection des données, la Commission Nationale Informatique et Liberté (CNIL), de permettre aux utilisateurs de « garder la maîtrise de leurs données personnelles et de garantir une utilisation raisonnée et fiable de ces données » collectées par le biais des milliards d’objets connectés qui peuplent le monde.

La CNIL met à disposition des responsables de traitements de données personnelles, comme le sont les fabricants d’objets connectés, divers outils de gestion des données personnelles très pratiques, et en particulier des livres blancs, des recommandations et un logiciel open source d’analyse d’impact (PIA ou Privacy Impact Assessment). Cet outil, disponible depuis le mois de juin 2020, en 20 langues, est téléchargeable en ligne sur son site [1] et est destiné à faciliter la conduite et la formalisation d’analyses d’impact relatives à la protection des données personnelles.

L’analyse d’impact, prévue à l’article 35 du RGPD, fait partie de l’arsenal prévu par le RGPD qui oblige tous les responsables de traitements à démontrer leur conformité à la réglementation. C’est un processus qui identifie, évalue et minimise les risques potentiels pour les droits et libertés des individus en cas de traitement de données personnelles susceptibles de générer des risques élevés pour les droits et libertés des personnes concernées. L’analyse d’impact s’inscrit ainsi dans le cadre des concepts de « Privacy by design » et de « Privacy by default » en vertu desquels la protection des données personnelles doit être intégrée tout au long du cycle de vie des technologies, depuis la phase de conception du produit jusqu’à l’effacement des données et les traitements de données personnelles effectués a minima.

Au titre des autres mesures de conformité prévues par le RGPD se trouvent aussi notamment la tenue de registres des traitements, le respect du droit des personnes à l’information et au consentement, le droit d’opposition, d’accès, de rectification, d’effacement, le droit à la portabilité, l’obligation de prendre des mesures de sécurité des traitements et les règles relatives au transfert des données personnelles.

S’ajoutent aux dispositions du RGPD, notamment les dispositions du Règlement (UE) 2019/881 du 17 avril 2019 relatif à l’Agence de l’Union européenne pour la cybersécurité qui définit également un cadre européen de certification de cybersécurité afin « d’atteindre un niveau élevé de cybersécurité, de cyber-résilience et de confiance au sein de l’Union » ainsi que la réglementation sur l’agrément des hébergeurs de données de santé [2].

Ceci étant dit, cet arsenal juridique s’inscrit dans un contexte où les usagers des objets connectés minimisent souvent eux-mêmes les risques qu’ils encourent du fait de l’utilisation de ces objets pouvant être utilisés via une simple application mobile hébergée sur leur smartphone. Les utilisateurs oublient souvent que leurs données peuvent être partagées avec des tiers par les fabricants, croisées entre elles et permettre la constitution de profils, à l’aide notamment d’algorithmes.

Toujours dans le domaine de la santé, les objets connectés peuvent aussi être des objets dits de "quantified self" qui servent à la mesure et au suivi de données dans le cadre d’une activité sportive ou de bien être (montres, capteurs destinés à mesurer le nombre de calories ou de pas effectués quotidiennement…). Or, une donnée de poids combinée à la taille et au nombre de pas journaliers peut permettre d’estimer un risque cardio-vasculaire par exemple et donner lieu à des ciblages d’annonceurs ou à une communication aux assurances concernées voire à leurs employeurs. De même, la géolocalisation peut porter atteinte à la liberté d’aller et venir si elle est utilisée comme un outil de contrôle social, par exemple en cas d’obligation de confinement lié à un risque de transmission de la Covid 19.

Guidés « par un sentiment de confiance et de proximité grâce à des interfaces au design séduisant » et motivés par leur nouvelle capacité de connaître et donc de maitriser leurs données physiologiques (« empowerment »), les utilisateurs font fi eux-mêmes des considérations de protection de leur vie privée. Ils « s’engagent, tête baissée, dans un perfectionnisme sanitaire individuel », sorte d’obsession d’atteinte de normes et de performances. Ce phénomène est expliqué dans une analyse très intéressante des risques et enjeux relatifs aux objets connectés dans le domaine de la santé corédigé par Madame Antoinette Rouvroy, chercheur en philosophie du droit, dans le numéro 2 du Cahier Innovation et Prospective de la CNIL [3]. La protection de l’intimité devient secondaire. En outre, la notion de vie privée est de plus en plus galvaudée du fait d’une publication volontaire sur les réseaux sociaux de tous types de données personnelles par les personnes physiques elles-mêmes.

C’est dans ce contexte particulier que la CNIL a publié plusieurs recommandations à l’attention des utilisateurs [4] et que la réglementation et les tribunaux s’appliquent à protéger autant que possible les utilisateurs contre les risques d’atteintes à leurs données personnelles.

Lutter contre les cyberattaques et les utilisations détournées des données personnelles est un challenge de taille pour les fournisseurs d’objets connectés. Cela constitue un élément important de leur responsabilité sociétale, et ce, même si les utilisateurs oublient parfois les risques qu’ils prennent eux-mêmes concernant leurs données.

Caroline Sandler-Rosental Avocat au Barreau de Paris Droit de l'Informatique & des Achats Médiateur agréé CMAP Mail : [->caroline.sandler@rscavocat.com] Site Internet : http://www.rscavocat.com