Bulletins de l'Ilec

Les moyens de la maîtrise - Numéro 458

01/06/2016

Parce qu’ils produisent une profusion de données, les objets connectés doivent être conçus pour respecter leurs utilisateurs et le cadre limité de leur emploi. Avec leur généralisation, leur vertu devient un avantage concurrentiel. Entretien avec Olivier Desbiey, Innovation et Prospective, Commission nationale de l’informatique et des libertés (Cnil)

À quels risques les objets connectés exposent-ils les ménages ? Olivier Desbiey : Au-delà des risques traditionnels de vulnérabilité (piratage, accès frauduleux…) auxquels sont par nature exposés ces dispositifs susceptibles d’être connectés au réseau, la nouveauté, avec les dernières générations d’objets connectés, réside dans la sensibilité des données qu’ils génèrent. Parce qu’ils pénètrent des espaces de plus en plus intimes de la vie des personnes, en commençant par leur corps lorsqu’il s’agit d’un bracelet ou d’une montre, de leur logement avec des thermostats « intelligents » ou des caméras de surveillance, ou encore de leur véhicule que l’on promet bientôt autonome : les données qu’ils captent sont révélatrices des modes de vie de leurs utilisateurs. Si certains objets semblent des gadgets, les données qu’ils produisent ne sont pas anodines. Pour cette raison, leur impact potentiel sur la vie privée et les libertés individuelles constitue un enjeu majeur du développement de l’écosystème des objets connectés.

Comment éviter que la protection des données personnelles soit conditionnée à des conditions générales d’utilisation (CGU) illisibles pour chaque objet ?

O. D. : Avec la loi Informatique et Libertés, les données personnelles sont protégées à la fois au travers des obligations d’information et de recueil du consentement qui pèsent sur les entreprises produisant des objets connectés, mais aussi par les droits qu’elle accorde aux particuliers, en matière d’accès aux données qui les concernent, et de suppression. Elles seront aussi protégées demain par le droit à la portabilité tel que prévu dans le règlement européen sur les données personnelles, qui entrera en application au premier semestre 2018. En tout état de cause, un renvoi à des CGU très peu consultées par les utilisateurs – seuls 11 % disent les lire en intégralité (Médiamétrie pour la Cnil, 2015) – ne constitue pas une bonne pratique. Les informations concernant la trajectoire des données des utilisateurs, leur utilisation et leur revente éventuelle doivent être claires, et dans un certain nombre de cas nécessitent leur consentement préalable. Nous militons pour que les fabricants, constructeurs d’objets ou d’applications pour services connectés, innovent, y compris dans la conception d’utilisation de leurs interfaces, pour qu’elles soient le plus protectrices possible de la vie privée. Nous avons établi une cartographie de veille sur ce sujet, accessible sur le site du Laboratoire d’innovation numérique de la Cnil1.

Avec des objets capables de mesurer l’émotion des consommateurs, y a-t-il empiétement excessif sur la vie privée ?

O. D. : Les capteurs présents dans les nouvelles générations d’objets connectés sont de plus en plus complexes et susceptibles de recueillir des données sur les comportements. Pour la Cnil, il est essentiel que les données que permettent de remonter ces capteurs soient utilisées dans le cadre de l’objectif qui a été défini initialement (finalité) et communiqué à l’utilisateur. S’il s’agit de données en lien avec ses émotions supposées, elles ne doivent en aucun cas être recueillies à son insu et communiquées à des tiers sans son consentement.

La multiplication des terminaux exposés à certains risques spécifiques peut-il avoir un grand impact sur le budget des assurances domestiques ?

O. D. : Les acteurs du secteur de l’assurance sont en effet très actifs et curieux des possibilités ouvertes par les objets connectés, pour accompagner leurs utilisateurs en matière de prévention, mais aussi pour innover dans les modalités de tarification des contrats. À cet égard, les évolutions dans l’assurance automobile font question, quant à leurs éventuelles extensions au logement ou à la santé : en quelques années, nous sommes passés de contrats où la tarification était fonction du nombre de kilomètres roulés à des contrats variant selon la conduite (type de freinage, d’accélération, comportement dans les courbes…), appréciées au moyen de capteurs branchés sur le véhicule et d’autres sources associées au téléphone, et concourant à une note de conduite. Au-delà des réglementations se posera la question de l’acceptabilité sociale, qui sera intimement liée à la confiance que les utilisateurs auront en ces objets, et dans les acteurs qui les déploieront.

Hors les objets connectés qu’on choisit d’acquérir, d’autres peuvent-ils nous être imposés ?

O. D. : À l’avenir une part grandissante de notre environnement et de nos objets du quotidien sera connectée ou connectables. La ville « intelligente » aura des capteurs susceptibles de recueillir des données sur le déplacement des gens, comme le véhicule connecté ou d’autres objets dans le logement. L’essentiel est que chacun dispose d’une réelle capacité de contrôle sur les données qui le concernent. C’est tout le sens de l’avis2 rendu par la Cnil en novembre 2015 sur Linky, qui demande que le paramétrage par défaut du compteur respecte la vie privée, que l’abonné puisse autoriser ou non la remontée de ses données vers le gestionnaire d’infrastructure ou des tiers, et qu’il soit à tout moment en capacité d’effacer les données stockées localement.

Si je jette une barquette de salade dont j’ai laissé passer la date de péremption, sa puce me dénoncera-t-elle aux autorités chargées de veiller à la lutte contre le gaspillage ?

O. D. : La Cnil a été créée précisément pour protéger les citoyens contre l’usage abusif qui pourrait être fait de leurs données, et leur en garantir la maîtrise. Si un tel projet venait à lui être présenté, il est probable que, pour des raisons liées à la finalité et à la proportionnalité des données utilisées, il ne serait pas accepté. Un avis sur l’Internet des objets a été adopté par les autorités européennes de protection des données en 2014.

Est-il suivi d’effet ?

O. D. : Cet avis rendu par l’ensemble des Cnil européennes (« G29 ») a vocation à recenser les bonnes pratiques et à inciter les acteurs à penser respect de la vie privée dès la conception, à intégrer la problématique de la conformité des données le plus en amont possible dans leurs méthodes de production et d’innovation. D’autres actions sont menées auprès des utilisateurs, pour les sensibiliser aux enjeux, et de manière plus classique pour s’assurer de la conformité des traitements de données. De plus en plus d’acteurs font preuve de transparence sur leur manière de collecter et d’utiliser les données, et mettent en avant leurs outils de paramétrage aupès des utilisateurs. La protection de la vie privée devient petit à petit un levier de différenciation pour les entreprises, susceptible de créer un avantage concurrentiel. •

1. https://is.gd/xscPgc. 2. https://is.gd/Ke2VqO : « La CNIL considère [qu’est] acceptable et suffisamment protectrice une conservation limitée de la courbe de charge à l’intérieur du compteur, sans remontée vers le gestionnaire. »

Propos recueillis par J. W.-A.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à l'utiliser, nous considérerons que vous acceptez l'utilisation des cookies.