IoT : quelle confiance accorder aux objets connectés ?

Les 20,6 milliards d’objets connectés en circulation à l’horizon 2018 vont contribuer à une « mise en données » grandissante du monde. L’un des enjeux majeurs de cette évolution est d’assurer la transparence de la gestion de données auprès des utilisateurs, qu’il s’agisse de leur propriété, de leur confidentialité, de leur traçabilité ou de l’utilisation commerciale pouvant en être faite.

Selon une étude Opinion Way réalisée en 2017, 91 % des Français sondés affirment ne pas très bien savoir ce qui est fait des données collectées par les objets connectés. 42 % expriment même une méfiance à l’égard des entreprises et de leur gestion des données personnelles. Cette méfiance concerne surtout les échanges avec d’autres entreprises : la personnalisation des services, qui a ses avantages, doit être encadrée pour éviter les dérives.

Usage des données : quel cadre juridique ?

La première question qui se pose est : comment est gérée la protection des données collectées? Les approches varient selon les pays : en Amérique du Nord, l’accent est particulièrement mis sur le contrôle de la sécurité des objets qui est laissé aux constructeurs. En Europe, la priorité est de donner aux garanties à apporter à tout moment  aux individus sur la façon dont sont collectées et utilisées  leurs données.

En France, la loi « Informatique et Libertés » de 1978, renforcée par la loi pour une République numérique de 2016, définissent ces garanties, y compris celles émanant des objets connectés. Concrètement, l’entreprise doit  entre autres, informer clairement son client de l'utilisation qui sera faite de ses données : nom, adresse IP, numéro de téléphone, e-mail, adresse postale mais aussi données de santé, rythme de travail, etc et surtout garantir une durée de vie limitée aux données et pendant ce temps leur accessibilité au client et leur sécurité.

Au niveau européen, le Règlement sur la protection des données (RGPD), qui entrera en vigueur en mai 2018, impose aux entreprises de rendre plus transparentes  ces règles d’usage et renforcer les procédures internes qui en permettent le respect. Des nouveaux droits seront à mettre en œuvre  comme  le droit à l’oubli (généralisation du droit de retrait des résultats des moteurs de recherche), et le droit à la portabilité des données (dans un format « lisible par machine »).

Vers plus de transparence en Europe

Aujourd’hui, les autorités de protection comme la Commission nationale de l’informatique et des libertés (CNIL) mènent régulièrement des audits au sein des entreprises pour vérifier l’utilisation qui est faite des données des clients comme celles des employés.

Demain, avec le RGPD, le respect de la vie privée sera pris en compte en amont dès la conception de toute nouvelle application. Les constructeurs d’objets connectés devront en effet respecter des normes techniques et de sécurité comme la « pseudonymisation » ou le chiffrement des données : c’est le « privacy by design » associé étroitement à de la « security by design ».

Dans une logique de traçabilité, ils devront aussi clarifier leurs processus lors de la collecte, l’intégration, ou la publication des données. La quantité et le type de données comme la durée de conservation et l’accessibilité devront pouvoir être justifiés par l’entreprise. Les constructeurs devront également pouvoir fournir à tout moment aux autorités nationale et européenne de protection des données  mais aussi à leurs partenaires  la preuve d’une évaluation des risques inhérents à l’objet connecté et d’une configuration « acceptable » pour sa commercialisation. Les objets connectés seront mis sur le marché en mode « privacy by default », c’est-à-dire paramétrés au niveau le plus protecteur pour le consommateur.

Enfin, selon les cas, le consentement pourra être la seule option possible pour collecter et se servir des données pour des usages (toujours expliqués aux utilisateurs). Il ne pourra pas y avoir un consentement tacite par exemple par le seul fait de lire des conditions d’utilisation. La collecte  devra toujours être proportionnée. Ainsi si la donnée de localisation n’est pas nécessaire pour toutes les fonctions de l’objet connecté, alors elle ne doit pas être collectée par principe. Cette loyauté et transparence sont indispensables au succès des objets connectés dans le cadre d’ un pacte de confiance entre l’entreprise et ses clients.