Objets connectés : Garance Mathias, avocat à la Cour, revient sur la collecte, le traitement et la conservation des informations personnelles qui y sont associés.
Les objets connectés existent depuis quelque temps déjà, seule leur médiatisation est nouvelle. En revanche, il n’existe toujours pas de définition officielle. Plusieurs appellations se rapportent à ce phénomène : objets communicants, objets intelligents ou bien encore internet des objets (littéralement traduit de l’anglais « Internet of Things » ou IoT).
Chacun d’entre nous constate l’intérêt croissant du public (ou des publicitaires) pour les objets connectés. Il suffit pour cela de prendre le métro ou de se rendre dans les grandes surfaces. On entend et on lit que ces objets ont vocation à faire partie intégrante de nos vies et qu’il s’en crée un nouveau pratiquement tous les jours. Pour les promouvoir, les distributeurs s’adressent à l’individu (vie privé), au travailleur (environnement professionnel) et au citoyen (espace public).
Or pour toute entreprise qui souhaite se lancer dans l’aventure des objets connectés, il est vivement conseillé d’anticiper l’application du droit existant et à venir. Le respect des règles en vigueur permet en effet une crédibilité auprès des consommateurs et auprès des éventuels investisseurs.
L’une des premières interrogations en ce qui concerne la collecte des données à caractère personnel est bien entendu la question de la manière dont la collecte elle-même est opérée mais aussi le traitement suivi. En premier lieu, le consentement est fondamental en matière de collecte de données. Cette condition est souvent rappelée dans les différentes législations ayant trait aux données à caractère personnel. Elle prend un relief particulier en présence d’un objet connecté dès lors qu’il se traduit par l’acceptation des conditions générales d’utilisation. Le consentement sera-t-il considéré comme éclairé lors que l’on sait que ces conditions générales sont peu lues ?
Limiter la collecte et la conservation
Les entreprises et administrations doivent par ailleurs limiter la collecte et la conservation des données de leurs consommateurs aux volumes et catégories nécessaires à l’exercice de leurs activités. En effet, la mise en œuvre de ce principe de minimisation est intéressante à deux titres. D’une part, un grand volume de données représente une cible bien plus attractive pour les cyberdélinquants et/ou cybercriminels. D’autre part, si une entreprise collecte et conserve d’importants volumes de données, le risque est que ces données soient un jour utilisées pour une finalité différente de celle pour laquelle elles ont été recueillies.
Ces données font parfois l’objet de transferts, transferts interdits en dehors de l’EEE (Union européenne, Lichtenstein, Islande et Norvège) lorsque le niveau de protection n’est pas adéquat. Certains pays sont reconnus comme ayant un niveau adéquat de protection des données personnelles des citoyens européens. Les Etats-Unis, avec le Safe Harbor, étaient considérés comme tels.
Pour rappel, le responsable du traitement doit également prendre toutes les mesures « pour préserver la sécurité des données », en vertu de l’article 34 de la loi du 6 janvier 1978 modifiée. (voir notre encadré).
Il est ainsi conseillé aux entreprises qui fabriquent des objets connectés de mettre en œuvre des éléments de sécurité raisonnable dans leurs produits et ce, de manière anticipée (« privacy by design »). Bien entendu, pour déterminer ce niveau de sécurité raisonnable, plusieurs critères seront pris en compte, parmi lesquels le volume et le caractère sensible des données collectées ainsi que les coûts prévisionnels des indemnités à verser en cas de failles de sécurité. Plus largement, les entreprises devront s’assurer de la conformité de leurs procédures, de leurs règlements et de leurs contrats avec la législation en vigueur (notamment leurs conditions générales d’utilisation).
Les enjeux juridiques des objets connectés vont bien au-delà de la problématique des données à caractère personnel (garantie, propriété intellectuelle, assurances, etc.). Ces objets susciteront beaucoup d’attention en cette fin d’année et pas seulement au pied des sapins.
Sécurité des données, que dit la loi ?
Le responsable du traitement doit également prendre toutes les mesures « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » en vertu de l’article 34 de la loi du 6 janvier 1978 modifiée. En cas de manquement, le responsable de traitement risque notamment une sanction financière pouvant aller jusqu’à 150 000 e. Si ces sanctions sont parfois jugées peu dissuasives, une publication de la sanction porterait toutefois atteinte à l’image de l’entreprise ou de l’administration.