Entre curiosité, appétence et crainte, les objets connectés suscitent de nombreuses interrogations s’agissant de leur impact sur la vie privée. Pourquoi ? Parce que les technologies connectées ont vocation à collecter, traiter, stocker, partager, utiliser… massivement les données des utilisateurs.
Et ce d’autant qu’il ne s’agit plus aujourd’hui de gadgets technologiques utilisés par seulement quelques « geeks ». Les objets connectés font désormais partie du quotidien de chacun : la maison et la voiture connectées sont une réalité, les « wearables » connectés sont démocratisés (par exemple : montres, lunettes, vêtements) et ils en disent long sur leurs utilisateurs.
C’est pourquoi la protection des données personnelles et de la vie privée est un enjeu majeur pour le succès d’un projet « objet connecté », et ce d’autant que cette thématique est particulièrement d’actualité à l’heure où les entreprises commencent à intégrer dans leurs réflexions et dans leurs process les dispositions du règlement européen sur la protection des données personnelles (RGPD) qui entrera en application le 25 mai 2018.
Voici cinq réflexes à adopter en la matière…
Réflexe 1 – Informer et recueillir le consentement
Un traitement de données personnelles ne peut être mis en œuvre que s’il repose sur une collecte loyale, licite et transparente des données. Ce principe se traduit par une obligation d’information détaillée de la personne concernée sur le traitement de ses données (finalité, destinataires, durée de conservation, etc.), et par le droit de cette dernière à s’y opposer, sorte de « droit à la déconnexion ».
Mais une telle information n’est pas toujours suffisante : pour les traitements particulièrement intrusifs pour la vie privée, c’est-à-dire dans une majorité des cas s’agissant de l’utilisation d’objets connectés, c’est le consentement de l’utilisateur qui doit être recueilli. C’est également le cas par principe si le traitement mis en œuvre est destiné à la prise de décisions produisant des effets juridiques sur l’utilisateur et fondée exclusivement sur le traitement automatisé de ses données.
Plan d’actions
- Intégration de mentions d’informations et du recueil du consentement (case à cocher, bouton…) au sein des interfaces utilisateurs et dans les documents contractuels
- Process de gestion des consentements, oppositions et autres demandes (droit d’accès, réclamation…)
Réflexe 2 – Veiller à la proportionnalité du traitement
Le principe de proportionnalité sous-tend les dispositions applicables en matière de protection des données personnelles. Or, compte tenu de la multitude et de la diversité des données pouvant être collectées via les technologies connectées, il existe un risque d’atteinte à ce principe.
Une analyse minutieuse doit donc être effectuée en amont du déploiement d’un projet « objet connecté » afin de s’assurer que :
- Les données collectées sont nécessaires à la finalité poursuivie (attention aux données dites « sensibles » (ex : santé) qui répondent à un régime spécifique) ;
- Les données ne sont conservées que pour une durée proportionnée à ladite finalité ;
- Les données ne sont communiquées ou accessibles qu’à des destinataires limités et portés à la connaissance des utilisateurs.
Plan d’actions
- Audit de conformité & process de validation interne des projets en amont
- Politique de conservation, d’archivage et de purge des données
- Politique d’habilitations
Réflexe 3 – Se méfier du détournement de finalité
Le risque d’un détournement de finalité est un risque majeur pouvant être rencontré dans le cadre d’un projet « objet connecté ». En effet, la tentation peut être grande d’utiliser les informations recueillies pour des finalités qui n’auraient pas été envisagées initialement.
Or, l’utilisateur est informé et / ou consent au traitement de ses données au regard d’une finalité portée à sa connaissance. Aussi, une réutilisation des données pour une autre finalité non compatible avec la finalité initiale est interdite, sauf à prendre certaines précautions.
Plan d’actions : audit de conformité & process de validation interne en cas de nouvelle finalité envisagée.
Réflexe 4 – Sécuriser les données
La sécurité des données personnelles est primordiale s’agissant des objets connectés : il s’agit d’une obligation essentielle à l’égard de l’utilisateur. Cette obligation doit notamment passer par la sécurisation logique et physique des différentes composantes du système d’information de l’entité à l’origine du projet, mais également par la sécurisation des réseaux et canaux de communication utilisés.
Plan d’actions
- Politique de sécurité des objets connectés et des données
- Renforcement de la sécurité dans les contrats avec les acteurs intervenant dans le projet
- Procédure de gestion des failles de sécurité
Réflexe 5 – Déployer une organisation adaptée
En tout état de cause, c’est toute une gouvernance du traitement de la donnée qui doit être mise en place. Le RGPD y fait référence sous le terme « accountability », qui vise l’obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles propres à permettre la protection des données à caractère personnel dès l’origine (cf. privacy by design) et pendant tout le cycle d’un projet, et d’être en mesure d’en démontrer l’effectivité et l’efficacité.
Plan d’actions
- Analyses de risque & d’impact
- Sensibilisation, politiques internes, chartes
- Process organisationnels de gestion de projets intégrant la privacy
- Registre des traitements et formalités Cnil
- Audits et mises à jour
- Désignation d’un CIL / DPO
Ce n’est qu’au prix d’une telle organisation qu’un projet « objet connecté » pourra être déployé dans le respect des dispositions applicables et offrir aux utilisateurs le gage de confiance qu’ils recherchent.
Auteure : Laure Landes-Gronowski, Avistem Avocats, Avocate Associée, Pôle IT & Data privacy
***
Lire notre dossier Objets connectés, IoT et marketing
(c) ill. Depositphotos