Rappelez-vous de cette fabuleuse maison connectée que la famille Simpson (1) s’était offerte et qui concoctait de bons petits plats en fonction des goûts et préférences de chacun des membres de la famille grâce à l’analyse de leurs déchets alimentaires. Ingénieux, n’est-ce pas ? Le rêve de cette famille avait viré au cauchemar lorsque la smart house, dotée d’intelligence artificielle et s’exprimant avec la voix de Pierce Brosnan, avait tenté d’éliminer Homer Simpson après s’être épris de Marge.
Cet épisode diffusé au début des années 2000 annonçait déjà les enjeux et les risques mis en avant dans le débat actuel sur la domotique et les objets connectés. Ces appareils qu’on introduit dans nos foyers peuvent se révéler très intrusifs dans notre vie privée. La protection et la sécurité des données personnelles des utilisateurs se trouvent parfois compromises.
La nécessité d’encadrer la collecte et le traitement des données personnelles des utilisateurs
Nombreux sont les cas rapportés dans lesquels les consommateurs ignorent que leurs données personnelles sont collectées (2). On peut citer l’usage des enceintes connectées. Les requêtes énoncées à ces objets demeurent enregistrées. Cet été la société iRobot qui commercialise l’aspirateur intelligent Roomba a reconnu qu’elle pourrait envisager de revendre les données liées à la cartographie du domicile de ses utilisateurs à des entreprises dans la domotique (3). Toutefois, iRobot a rassuré ses clients en affirmant qu’elle ne le ferait qu’en ayant préalablement recueilli leur consentement.
En effet, c’est la condition à laquelle la collecte et le traitement de données à caractère personnel seront jugés licites en vertu de l’article 6 de la loi Informatique et Libertés du 6 janvier 1978 et de l’article 6 du Règlement Général sur la Protection des données (RGPD). Le responsable de traitement a pour obligation d’informer préalablement les utilisateurs qu’ils sont soumis à une collecte de leurs données et quelles sont les finalités de ce traitement. Par la même occasion, ces derniers doivent pouvoir exercer les droits relatifs à leurs données.
Sécuriser les objets connectés pour réduire les risques de violation des données personnelles
Les objets connectés sont assujettis à de multiples menaces tels que les malwares. Un tiers peut également s’introduire dans le compte de l’utilisateur via l’application à laquelle l’objet est connecté si le mot de passe est faible. Par exemple, les montres connectées pour enfants ont été interdites en Allemagne puisqu’elles peuvent être détournées et piratées par des tiers. Il serait alors possible d’écouter les conversations. Par ailleurs, la CNIL a mis en demeure le fabricant des poupées « Mon amie Cayla » en décembre 2017 pour défaut de conformité aux exigences de sécurité.
L’AESRI (Agence Européenne chargée de la Sécurité des Réseaux et de l’Information) a défini des standards de sécurité pour les objets connectés en accord avec le RGPD(4). Les fabricants ont pour obligation d’intégrer une politique de sécurité depuis le développement jusqu’à la commercialisation de l’appareil. En outre, ils doivent mettre en place « des mesures techniques et organisationnelles appropriées »(5) pour sécuriser les appareils tels que la pseudonymisation et le chiffrement des données pour préserver la confidentialité des informations des utilisateurs.
Par conséquent, le fabricant doit tester, analyser et évaluer en amont si les mesures de sécurité qu’il met en place sont effectives. Il est notamment recommandé d’effectuer des tests d’intrusion.
En somme, les constructeurs doivent intégrer dans le processus de fabrication une démarche privacy and security by design (6), respectueuse de la confidentialité et de l’intégrité des données personnelles de leurs clients. Cela s’applique également à leurs sous-traitants puisqu’il se peut que la faille de sécurité provienne de ce maillon de la chaîne. Il est primordial d’anticiper les incidents à venir. Minimiser les collectes de données permettra de réduire le nombre de fichiers de données perdus ou volés en cas de violation.
> Les recommandations de la CNIL pour sécuriser les objets connectés : https://www.cnil.fr/fr/objets-connectes-noubliez-pas-de-les-securiser
(1) « Simpson Horror Show XII, Le robot tueur », The Simpson, Saison 13
(2) MARINO Laure, “To be or not to be connected : ces objets connectés qui nous espionnent”, Recueil Dalloz, 2014, p. 29
(3) « Roomba : l’adorable aspirateur-espion de votre intérieur douillet » ZDNet, 25 juillet 2017 https://www.zdnet.fr/actualites/roomba-l-adorable-aspirateur-espion-de-votre-interieur-douillet39855400.htm/
(4) ENISA, « Baseline Security Recommendations for IoT », Novembre 2017
(5) RGPD, Article 32
(6) ZOLYNSKI Célia, « La Privacy by Design appliquée aux Objets Connectés : vers une régulation efficiente du risque informationnel ? », Dalloz IP/IT, 2016, p.204