Les ob­jets connec­tés... à notre vie pri­vée

Mal­gré un vaste ar­se­nal ju­ri­dique li­mi­tant les im­pacts né­ga­tifs des ob­jets connec­tés, les risques d’in­tru­sions de­meurent pour les uti­li­sa­teurs de ces ap­pa­reils – du comp­teur élec­trique à la montre connec­tée, en pas­sant par la « me­sure de soi » . Re­cueilli

Edition Multimédi@ - - La Une -

Se­lon une étude me­née par Gart­ner, 20 mil­liards d’ob­jets connec­tés se­raient en cir­cu­la­tion en 2020 ( 1). Qu’il s’agisse du do­maine de la san­té, du bien- être, du sport, de la do­mo­tique ou en­core du loi­sir, l’at­trait des uti­li­sa­teurs pour les ob­jets connec­tés est ca­rac­té­ri­sé. Pa­ra­doxa­le­ment, bien qu’aver­tis, ces der­niers ne me­surent pas tou­jours les risques qui pèsent sur leur vie pri­vée et leurs don­nées per­son­nelles. Ces deux no­tions – vie pri­vée et don­nées per­son­nelles – ne sont pas sy­no­nymes, bien qu’in­trin­sè­que­ment liées ( 2).

Les exemples de Lin­ky et de Gaz­par

La don­née per­son­nelle se dé­fi­nit comme « toute in­for­ma­tion se rap­por­tant à une per­sonne phy­sique iden­ti­fiée ou iden­ti­fiable » ( 3). A l’in­verse, la vie pri­vée ne trouve pas de dé­fi­ni­tion lé­gale bien que le Code ci­vil consacre un droit au res­pect de la vie pri­vée ( 4). Les ap­ports de la ju­ris­pru­dence per­mettent au­jourd’hui de dé­fi­nir la no­tion de vie pri­vée comme « le droit pour une per­sonne d’être libre de me­ner sa propre exis­tence avec le mi­ni­mum d’in­gé­rences ex­té­rieures » ( 5). Ain­si, si un ob­jet connec­té peut por­ter at­teinte aux don­nées per­son­nelles d’un uti­li­sa­teur ( col­lecte illi­cite des don­nées per­son­nelles, failles de sé­cu­ri­té per­met­tant aux tiers d’ac­cé­der aux don­nées, etc.), il peut éga­le­ment dans une plus large me­sure por­ter at­teinte à sa vie pri­vée ( cap­ta­tion d’images ou de voix, in­tru­sion dans l’in­ti­mi­té, etc.). L’ubi­qui­té et l’om­ni­pré­sence des ob­jets connec­tés dans la vie des uti­li­sa­teurs conduisent à une col­lecte per­ma­nente et ins­tan­ta­née des don­nées. Par ce biais, de nom­breuses in­for­ma­tions re­la­tives à la vie pri­vée des uti­li­sa­teurs de­viennent iden­ti­fiables. D’ailleurs, la di­vul­ga­tion mas­sive de don­nées re­la­tives à la vie pri­vée lors de l’uti­li­sa­tion d’un ob­jet connec­té est sou­vent une condi­tion sine qua non à l’exis­tence du ser­vice pro­po­sé par le fa­bri­cant. A titre d’exemple, la nou­velle gé­né­ra­tion de comp­teurs d’élec­tri­ci­té et de gaz, tels que res­pec­ti­ve­ment Lin­ky et Gaz­par qui ont fait l’ob­jet d’une com­mu­ni­ca­tion ( 6) de la Cnil en no­vembre 2017, peut col­lec­ter des don­nées de consom­ma­tion éner­gé­tique jour­na­lières d’un foyer. Si l’uti­li­sa­teur y consent, des don­nées de consom­ma­tion plus fines peuvent être col­lec­tées par tranche ho­raire et/ ou à la de­mi- heure. Ce­la per­met d’avoir des in­for­ma­tions très pré­cises sur la consom­ma­tion éner­gé­tique de l’usa­ger. Dans l’hy­po­thèse d’un trai­te­ment in­suf­fi­sam­ment sé­cu­ri­sé, une per­sonne mal­veillante pour­rait alors avoir ac­cès à des in­for­ma­tions telles que les plages ho­raires du­rant les­quelles l’usa­ger est ab­sent de son lo­ge­ment, celles pen­dant les­quelles il dort ou en­core les types d’ap­pa­reils uti­li­sés. Les ha­bi­tudes d’une per­sonne peuvent ain­si être dé­ter­mi­nées ai­sé­ment, ce qui consti­tue une at­teinte à la vie pri­vée. La dé­ci­sion de la Cnil, da­tée du 20 no­vembre 2017 et met­tant de­meure la so­cié­té Ge­ne­sis In­dus­tries Li­mi­ted ( 7), est une autre illus­tra­tion des risques en­cou­rus par l’uti­li­sa­tion des ob­jets connec­tés no­tam­ment au re­gard de la vie pri­vée. Cette so­cié­té com­mer­cia­li­sait des jouets connec­tés qui pou­vaient in­ter­agir avec les en­fants. Suite à un contrôle ef­fec­tué par la Cnil, il a été consta­té une ab­sence de sé­cu­ri­sa­tion des jouets ( 8) qui per­met­tait à toute per­sonne pos­sé­dant un dis­po­si­tif équi­pé d’un sys­tème de com­mu­ni­ca­tion Blue­tooth de s’y connec­ter à l’in­su des per­sonnes et d’avoir ac­cès aux dis­cus­sions échan­gées dans un cercle fa­mi­lial ou ami­cal ( 9). L’in­tru­sion dans la vie pri­vée à tra­vers les ob­jets connec­tés peut ain­si être im­por­tante et par­ti­cu­liè­re­ment dan­ge­reuse lors­qu’il s’agit d’un uti­li­sa­teur vul­né­rable tel qu’un en­fant mi­neur. Pour au­tant, une ré­gle­men­ta­tion est dif­fi­ci­le­ment ap­pli­cable aux ob­jets connec­tés. Tout d’abord, une in­com­pa­ti­bi­li­té d’ori­gine des ob­jets connec­tés avec cer­tains prin­cipes re­la­tifs au trai­te­ment des don­nées per­son­nelles doit être sou­li­gnée.

Pro­por­tion­na­li­té, me­sure de soi et Big Da­ta

A titre d’exemple, le prin­cipe de pro­por­tion­na­li­té ( 10), qui re­quiert que les don­nées soient adé­quates, per­ti­nentes et non ex­ces­sives au re­gard des fi­na­li­tés pour les­quelles elles sont col­lec­tées, ne peut être sa­tis­fait dans le cadre de l’uti­li­sa­tion d’un ob­jet connec­té dit quan­ti­fied- self – c’es­tà- dire un ap­pa­reil connec­té pour la « me­sure de soi » . En ef­fet, le nombre de don­nées col­lec­tées se­ra né­ces­sai­re­ment im­por­tant pour qu’un ser­vice adap­té à l’uti­li­sa­teur puisse être four­ni. De même le prin­cipe de conser­va­tion li­mi­té des don­nées col­lec­tées ( 11) peut dif­fi­ci­le­ment être mis en ap­pli­ca­tion dans le cadre d’un ser­vice four­ni par un ob­jet connec­té. En ef­fet, la conser­va­tion des don­nées pour une du­rée in­dé­ter­mi­née re­pré­sente sou­vent une op­por­tu­ni­té pour les fa­bri­cants dans le cadre du Big Da­ta.

Au­jourd’hui, en ver­tu de la loi « In­for­ma­tique et Li­ber­tés » , une obli­ga­tion d’in­for­ma­tion pèse sur les res­pon­sables de trai­te­ment ( 12). De même, en ver­tu du Code de la consom­ma­tion, une obli­ga­tion pré­con­trac­tuelle d’in­for­ma­tion pèse sur le pro­fes­sion­nel qui pro­pose un bien ou un ser­vice ( 13). L’uti­li­sa­teur d’un ob­jet connec­té doit ain­si pou­voir avoir des in­for­ma­tions claires et pré­cises sur le trai­te­ment de ses don­nées, mais éga­le­ment sur les ca­rac­té­ris­tiques de l’ob­jet connec­té.

Loi fran­çaise et rè­gle­ment eu­ro­péen

Or, la ré­cente as­si­gna­tion de deux pla­te­formes ma­jeures dans le monde nu­mé­rique – no­tam­ment sur le fon­de­ment de pra­tiques com­mer­ciales trom­peuses au mo­tif d’un non­res­pect de l’obli­ga­tion pré­con­trac­tuelle d’in­for­ma­tion dans le cadre de la vente d’ob­jets connec­tés ( 14) – sou­ligne les dif­fi­cul­tés re­la­tives à l’in­for­ma­tion des uti­li­sa­teurs. L’avis de 2014 du G29, le groupe qui réunit les « Cnil » eu­ro­péennes, sur les ob­jets connec­tés illustre éga­le­ment le manque d’in­for­ma­tions des uti­li­sa­teurs sur le trai­te­ment de leurs don­nées ( 15). Ain­si, bien qu’une ré­gle­men­ta­tion pro­tec­trice des uti­li­sa­teurs d’ob­jets connec­tés soit ap­pli­cable, celle- ci est dif­fi­ci­le­ment mise en oeuvre. De cet obs­tacle dé­coule la ques­tion de la va­li­di­té du consen­te­ment de l’uti­li­sa­teur. Si le droit à l’au­to­dé­ter­mi­na­tion in­for­ma­tion­nelle – droit pour toute per­sonne de dé­ci­der et de contrô­ler les usages qui sont faits des don­nées à ca­rac­tère per­son­nel la concer­nant, dans les condi­tions fixées par la loi « In­for­ma­tique et li­ber­tés » – a été ré­cem­ment af­fir­mé en France, son ef­fec­ti­vi­té au re­gard des ob­jets connec­tés semble moindre. En ef­fet, même si au mo­ment de l’ac­ti­va­tion de l’ap­pa­reil le consen­te­ment à la col­lecte de cer­taines don­nées est re­cueilli au­près de l’uti­li­sa­teur, il convient de sou­li­gner que par la suite des don­nées sont dé­li­vrées de ma­nière in­vo­lon­taire. Par exemple, dans le cadre d’une montre connec­tée, l’uti­li­sa­teur consent à la col­lecte de don­nées re­la­tives au nombre de pas qu’il ef­fec­tue au cours de la jour­née. Mais lors de cette col­lecte, le res­pon­sable de trai­te­ment peut éga­le­ment avoir ac­cès à d’autres don­nées telles que celles re­la­tives à la géo­lo­ca­li­sa­tion de l’uti­li­sa­teur. En ce sens, le consen­te­ment re­cueilli n’est pas tou­jours éclai­ré et le droit à l’au­to­dé­ter­mi­na­tion in­for­ma­tion­nelle n’en se­ra qu’af­fai­bli. Ain­si, la pro­tec­tion de l’uti­li­sa­teur d’un ob­jet connec­té semble moindre. L’ap­pli­ca­bi­li­té du rè­gle­ment eu­ro­péen sur la pro­tec­tion des don­nées per­son­nelles le 25 mai pro­chain – rè­gle­ment dit RGPD pour « rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées » ( 16) – per­met d’en­vi­sa­ger une amé­lio­ra­tion de la pro­tec­tion des uti­li­sa­teurs d’ob­jets connec­tés sur plu­sieurs points. Tout d’abord, par l’exi­gence de la mise en place de me­sures per­met­tant d’as­su­rer une pro­tec­tion de la vie pri­vée par dé­faut et dès la concep­tion de l’ob­jet connec­té, le fa­bri­cant se­ra ame­né à prendre en compte les ques­tions re­la­tives à la vie pri­vée de l’uti­li­sa­teur en amont d’un pro­jet ( 17). De même, les nou­velles me­sures de sé­cu­ri­té de­vant être prises, tant par les res­pon­sables de trai­te­ment que les sous- trai­tants ( par exemple, la pseu­do­ny­mi­sa­tion, les tests d’in­tru­sion ré­gu­liers, ou en­core le re­cours à la cer­ti­fi­ca­tion), ten­dront à ga­ran­tir une meilleure pro­tec­tion des don­nées per­son­nelles des uti­li­sa­teurs ( 18). En­suite, la mise en place de nou­veaux droits pour l’uti­li­sa­teur tels que le droit d’op­po­si­tion à une me­sure de pro­fi­lage ( 19), le droit d’ef­fa­ce­ment des don­nées pour des mo­tifs li­mi­ta­ti­ve­ment énu­mé­rés ( 20) ou en­core le droit à la por­ta­bi­li­té des don­nées ( dis­po­si­tion dé­jà in­tro­duite par la loi « Ré­pu­blique nu­mé­rique » du 7 oc­tobre 2016 dans le Code de la consom­ma­tion aux ar­ticles L. 224- 42- 1 et sui­vants) conso­li­de­ront les moyens confé­rés aux uti­li­sa­teurs d’ob­jets connec­tés pour pro­té­ger leur vie pri­vée. Il convient de sou­li­gner que cette amé­lio­ra­tion dé­pend tout de même d’une in­for­ma­tion ef­fec­tive de l’uti­li­sa­teur. En ef­fet, si le fa­bri­cant ou le dis­tri­bu­teur de l’ob­jet n’in­forme pas l’uti­li­sa­teur des dif­fé­rents droits dont il dis­pose, il semble peu pro­bable que les uti­li­sa­teurs les moins aver­tis agissent. En­fin, si la ques­tion de l’ap­pli­ca­bi­li­té de la ré­gle­men­ta­tion eu­ro­péenne pour les ac­teurs si­tués en de­hors de l’union eu­ro­péenne ( UE) pou­vait se po­ser no­tam­ment lors­qu’ils col­lec­taient des don­nées d’uti­li­sa­teurs eu­ro­péens, celle- ci n’au­ra plus lieu d’être à comp­ter du 25 mai 2018. En ef­fet, tout res­pon­sable de trai­te­ment ou sous- trai­tant qui n’est pas éta­bli dans L’UE dès lors qu’il col­lec­te­ra des don­nées per­son­nelles de per­sonnes se trou­vant sur le ter­ri­toire de L’UE se­ra contraint de res­pec­ter la ré­gle­men­ta­tion eu­ro­péenne re­la­tive aux don­nées per­son­nelles. Ce point est im­por­tant puisque dans le cadre des ob­jets connec­tés, sou­vent, les flux de don­nées ne connaissent pas de fron­tières.

Ga­gner la confiance du pu­blic

L’équa­tion ob­jets connec­tés, vie pri­vée et don­nées per­son­nelles est par dé­fi­ni­tion dif­fi­cile. La ré­vé­la­tion mas­sive et constante de don­nées re­la­tives à une per­sonne im­plique né­ces­sai­re­ment une in­tru­sion im­por­tante et par­fois non vou­lue dans la vie des uti­li­sa­teurs. Ce­pen­dant, l’exis­tence d’un ar­se­nal ju­ri­dique tant en droit fran­çais qu’en droit eu­ro­péen per­met de li­mi­ter les im­pacts né­ga­tifs gé­né­rés par les ob­jets connec­tés. D’ailleurs il convient de no­ter que, dans le ré­cent cadre de la ré­écri­ture de la loi « In­for­ma­tique et Li­ber­tés » , la com­mis­sion des lois a adop­té un amen­de­ment per­met­tant à une per­sonne concer­née d’ob­te­nir ré­pa­ra­tion au moyen d’une ac­tion de groupe du dom­mage cau­sé par un man­que­ment du res­pon­sable de trai­te­ment ou sous­trai­tant aux dis­po­si­tions de cette loi. Fi­na­le­ment, dans un mar­ché hau­te­ment concur­ren­tiel, les ob­jets connec­tés qui sur­vi­vront se­ront ceux qui au­ront su ga­gner la confiance du pu­blic et pré­sen­te­ront le plus de ga­ran­ties en ma­tière de res­pect à la vie pri­vée et de sé­cu­ri­té. @ * An­cien bâ­ton­nier du Bar­reau de Pa­ris, et au­teure de « Cy­ber­droit » , dont la 7e édi­tion ( 2018- 2019) pa­raî­tra en no­vembre 2017 aux édi­tions Dal­loz.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.