Les objets connectés : de nombreux
enjeux à prendre en compte
Depuis ces dernières années, force est de constater que le marché des nouvelles technologies a été inondé par des objets connectés, ces objets intelligents, connectés en réseau – c'est-àdire jumelés à un smartphone ou reliés à des réseaux sans fil, télécom et Internet – produisant, collectant et échangeant des données et informations à caractère personnel de toute nature sur l’utilisateur au moyen de capteurs afin d’échanger et d’interagir en temps réel.
Ceux-ci, très variés, vont de la station météo à la montre permettant de calculer le nombre de pas journaliers, de calories perdues, voire le rythme cardiaque, en passant par les appareils électroménagers équipés de cette connexion en réseau. De même, les facultés et fonctionnalités de ces objets n’ont fait que se multiplier au cours des ans : interaction entre eux, analyse des habitudes de leurs propriétaires…
Alors qu’un objet non connecté n’aura d’utilité que pour son seul utilisateur, l’objet connecté peut aussi revêtir un intérêt pour les tiers. En effet, alors que l’utilisateur jouira de l’utilisation matérielle de son objet connecté, le tiers collectera des données sur le propriétaire-utilisateur.
Il est dès lors primordial qu’un cadre juridique soit mis en place afin de limiter des potentiels problèmes liés à la sécurité et à la protection des données à caractère personnel. Pourtant, à l’heure actuelle, il n’existe pas de régime juridique spécifique aux objets connectés ; le cadre normatif actuel emprunte des principes juridiques à divers domaines du droit commun sans parvenir à répondre aux enjeux de sécurité et de protection des données pourtant essentiels au regard des données personnelles collectées par de tels appareils.
La protection des données à caractère personnel : un enjeu de taille
Le fonctionnement des objets connectés implique la collecte, le traitement, la transformation et l’expédition de nombreuses données, notamment personnelles, vers l’objet connecté. Ces données sont collectées en continu et stockées le plus souvent dans des interfaces virtuelles comme le cloud qui permet l’externalisation de données sur des serveurs à distance. Autrement dit, la majorité des données est produite par l’utilisateur lui-même, mais, avant de lui être accessibles, ces informations transitent d’abord par les serveurs des acteurs économiques qui commercialisent ces services.
Dès janvier 2013, lors de sa consultation publique sur l’Internet des objets, la Commission européenne – après avoir fait le constat de l’absence de cryptage des données échangées avec le réseau, de l’absence de mots de passe suffisamment complexes et d’une interface Web non suffisamment sécurisée – a recommandé, entre autres, un effort sur l’anonymisation des données et a souligné que le consentement de l’utilisateur était primordial.
La Commission européenne a mis en avant la nécessité de conserver une certaine loyauté quant à la collecte de données – qui doit être proportionnée et pertinente par rapport à l’usage prévu – et a requis que les objets soient fabriqués de manière à respecter les exigences liées au droit de suppression, au droit à l’oubli, à la portabilité des données et à la protection de la vie privée des utilisateurs.
Chaque intervenant devrait avoir conscience des problématiques de sécurité et de confidentialité des données et être capable d’évaluer, en amont, les risques liés aux réseaux de communication sur lesquels les données vont circuler, à la sécurité (phishing (1), usurpation d’identité, spamming( 2), prise de contrôle à distance…) et à la confidentialité des données (échanges, partages, transferts, regroupement de données, connexions intempestives entre les objets…).
Face au développement rapide des objets connectés dans la vie quotidienne, le Groupe de travail Article 29 (le « G29 »), regroupant au niveau européen les autorités nationales de protection des données à caractère personnel, a proposé, à travers différents avis rendus en relation aux « récents développements de l’Internet des objets »(3), une série de recommandations pratiques, communes et spécifiques aux principaux acteurs du secteur afin de développer un écosystème durable de l’Internet des objets tout en respectant la législation en vigueur. Ainsi, par exemple, il est recommandé de mettre en place des études d’impact préalablement à tout lancement de nouvelles applications, ou encore la possibilité pour l’utilisateur de demeurer maître de ses données personnelles à tout moment (principe de selfdetermination).
Le nouveau règlement européen sur la protection des données du 27 avril 2016 (4) (le « règlement ») – qui entrera en vigueur le 25 mai 2018 – reprend les deux notions fondamentales avancées par le G29, à savoir :
- celle du privacy by design : les questions de respect, de confidentialité et de protection des données doivent être intégrées dès la conception d’un objet ou d’un service connecté ; et
- celle du privacy by default : un service doit être réglé sur le niveau le plus protecteur pour le consommateur/l’utilisateur et se doit de partager le minimum d’informations nécessaire.
Il est également intéressant de noter que, dans le cadre du règlement, tant le concepteur de l’application, du service ou de l’objet connecté que son sous-traitant pourront voir leur responsabilité être engagée.
Puisque de nombreux intervenants(5) dans la chaîne de conception des objets connectés peuvent avoir accès aux données des utilisateurs, des procédures devront être mises en place entre ces intervenants afin de faire remonter les demandes des utilisateurs quant à leurs données à caractère personnel(6) afin de garantir leurs droits. Il est dès lors primordial de définir et de délimiter précisément les rôles et obligations de chaque intervenant.
La propriété intellectuelle : un outil indispensable pour protéger les objets connectés
Les objets connectés sont le fruit d’investissements humains et financiers souvent conséquents, et la mise en place, dès leur conception, d’une stratégie de protection par le biais de la propriété intellectuelle sera primordiale.
Un même objet connecté peut être protégé, cumulativement, via différents droits de propriété intellectuelle, par exemple :
- par un brevet, en cas d’effet technique ou pour ses éventuelles inventions intégrées dans les outils digitaux si l’invention est nouvelle ;
- par le droit d’auteur, pour son expression ;
- par des dessins et modèles en ce qui concerne les outils et l’apparence esthétique d’un objet connecté, à la condition que leurs formes visibles soient nouvelles et présentent un caractère propre ;
- par une marque, pour son signe verbal ou figuratif distinctif, licite et disponible.
Dans la mesure où la création d’un objet connecté requiert, le plus souvent, l’intervention d’une pluralité de créateurs(7), chacun étant susceptible de revendiquer des droits sur cet objet, il existe un risque alors quant à la titularité des droits de propriété intellectuelle de chacun de ces créateurs.
Pour tenter de parer au mieux à ce risque, il ne peut qu’être recommandé de contractualiser, le plus en amont possible, différents points tels que la gestion de la confidentialité, la question de la titularité des droits à venir et les modalités d’exploitation de ces droits par la mise en oeuvre d’accord de confidentialité, de partenariats, de cessions de droit, de licences, éventuellement croisées, notamment.
Le défi des objets connectés consiste dès lors à trouver une balance équitable entre progrès et innovation d’un côté et respect des droits des utilisateurs et propriétaires d’objets connectés de l’autre. En attendant de nouvelles réglementations spécifiques, des procédures de certification ou de labellisation afin de faire valoir une logique unique alliant éthique, protection et sécurité des données pourraient tenter de permettre un équilibre entre les droits et intérêts de chacun. Par ailleurs, la sensibilisation des utilisateurs et propriétaires de tels objets connectés est un volet important afin de permettre à ceuxci de contrôler au mieux leurs données à caractère personnel.
Brice Bertolotti, Junior Associate
Wildgen S.A.
(1) Technique utilisée par des fraudeurs pour obtenir des informations personnelles dans le but d’usurper l’identité d’un individu en lui faisant croire qu’il s’adresse à un tiers de confiance et demandant de lui fournir des renseignements personnels.
(2) Technique consistant en l’usage abusif d’un système de messagerie électronique afin d’exposer délibérément et généralement de manière répétée tout ou partie de ses utilisateurs à des messages ou à des contenus non pertinents et non sollicités.
(3) Par exemple, l’avis 8/2014 sur les récentes évolutions relatives à l’Internet des objets.
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/49/CE (règlement général sur la protection des données), JO L 119, 4.5.2016, pages 1-88.
(5) Responsable du traitement, sous-traitant, destinataire des données, etc.
(6) Droit à l’information, d’accès, de rectification, d’opposition, de retrait.
(7) Scientifiques, donneurs d’ordre, éditeurs de logiciels, agence de communication et de design.