Par Leila Benaissa, avocat. Fidal
Les objets connectés : quels défis juridiques à venir ?
Voitures, lunettes, pacemakers, bouteilles de whisky, les industriels ne manquent pas de créativité pour inventer chaque jour un nouvel objet connecté. Il faut s’attendre à vivre au milieu de 80 milliards d’objets connectés en 2020 (1) : alors que la réglementation européenne en matière de données personnelles s’apprête à être modifiée, quels sont les défis juridiques auxquels doivent faire face ces objets connectés ?
L’année 2014 fut celle du lancement des objets connectés, plusieurs constructeurs électroniques ayant rendu publics de nouveaux produits. Conçus comme des extensions de smartphones ou reliés à un réseau sans fil, les objets connectés offrent toutes sortes de services aux consommateurs en collectant et en transmettant via des capteurs des informations de toute nature. Si les objets connectés suscitent de nouvelles opportunités au profit des professionnels et des consommateurs, les risques sont nombreux : dès lors qu’un appareil est connecté à Internet, il est techniquement possible de le localiser et le détourner de sa fonction.
Le cadre juridique actuel n’est pas totalement adapté à la diversité des objets connectés
Le cadre juridique des objets connectés est hétérogène et emprunte à divers domaines juridiques du droit commun (droit des contrats, droit de la responsabilité, droit de l’informatique, droit des données à caractère personnel, droit de la propriété intellectuelle etc.). Ce cadre montre ses limites s’agissant du problème juridique principal : celui de la protection des données personnelles et de la vie privée. L’économie des objets connectés est en effet fondée sur l’exploitation d’un volume gigantesque de données personnelles s’inscrivant de plus en plus souvent dans des Big Data. L’utilisation de ces données est naturellement source d’interrogations notamment sur le plan de la sécurité. Les utilisateurs peuvent perdre le contrôle de leurs données dès lors qu’elles sont transmises à d’autres applications ou diffusées sur des réseaux sociaux. De même, les données récoltées peuvent permettre aux professionnels de dresser un profilage des habitudes de consommation des individus de nature à porter atteinte à la protection de la vie privée. Enfin, des experts informatiques ont démontré qu’il était possible de désactiver à distance les freins d’une voiture électrique ou encore prendre le contrôle d’un pacemaker via un simple ordinateur. Or, l’article?34 de la loi informatique et libertés impose au responsable du traitement de prendre toutes les mesures nécessaires pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. L’article 226-17 du Code pénal sanctionne de cinq ans d’emprisonnement et de 300 000?euros d’amende le non-respect de cette disposition. L’amende peut être multipliée par cinq et atteindre jusqu’à 1 500 000?euros lorsqu’il s’agit d’une personne morale. Les atteintes aux systèmes de traitement automatisé de données, en cas d’accès ou de maintien frauduleux, sont également sanctionnées par le Code pénal par une peine de deux ans d’emprisonnement et de 30 000?euros d’amende (2). Des objets connectés telles que des lunettes permettant de filmer des personnes à leur insu et diffuser les vidéos sur des réseaux sociaux posent également le problème du droit au respect à la vie privée voire de l’atteinte à l’image ou à la réputation de la personne filmée. Or, l’article?226-22 du Code pénal punit de cinq ans d’emprisonnement et de 300 000?euros d’amende le fait, pour une personne qui a recueilli des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir. Par ailleurs, plusieurs objets connectés destinés au «?bien-être?» (3) traitent en réalité de données de santé. Or, la collecte et le traitement des données de santé, en raison de leur caractère sensible sont en principe interdits. Elles ne peuvent en outre être hébergées que par des hébergeurs ayant obtenu un agrément conformément à l’article L1111-8 du Code de la santé publique. D’autres objets permettent la géolocalisation telles que des montres ou des voitures proposant des itinéraires. Or, la géolocalisation est encadrée par la loi du 28?mars 2004. Conformément à l’article 230-32 du Code de procédure pénale, la géolocalisation n’est possible que lorsqu’elle est exigée par les nécessités d’une enquête ou d’une instruction, et ne peut être mise en place que par un officier de police judiciaire. Toutefois, de nombreux écueils existent et il n’est pas certain que le cadre juridique actuel soit adapté à l’hétérogénéité des objets connectés, d’autant que de plus en plus de données sont hébergées dans des serveurs localisés aux États-Unis ou en Inde et échappent au niveau de protection imposé au sein de l’Union européenne. Or, les avancées technologiques se poursuivent et il est primordial que les différents acteurs (4) puissent développer leur activité dans le respect des règles en vigueur.
Les professionnels doivent observer certaines règles et un ensemble de bonnes pratiques
En attendant un cadre légal plus spécifique, les règles issues de la loi Informatique et libertés du 6?janvier 1978 et de la Directive 95/46/CE du 24?octobre 1995 sont applicables. Il en va de même de la loi du 5?janvier 1988 relative à la fraude informatique. Les objets connectés sont également concernés par une récente loi du 9?février?2015 (5) concernant les sources d’émission des appareils radioélectriques dont les objets connectés comportant des puces RFID (6). Il est recommandé aux parties prenantes de se référer à un avis du G29 (7) du 16?septembre 2014 dans lequel le G29 recommande notamment la mise en place d’études d’impact préalablement à tout lancement de nouvelles applications, l’agrégation des données, l’application des principes de protection des données dès la conception (8) et par défaut (9) ou encore la possibilité pour l’utilisateur de demeurer maître de ses données personnelles à tout moment (10). Il conviendra également de se reporter au rapport publié le 16?janvier 2013 (11) dans lequel la Commission européenne recommande notamment le fait que les objets connectés soient dès le départ conçus pour répondre aux exigences liées au droit de suppression, au droit à l’oubli, à la portabilité des données, à la protection de la vie privée et aux principes de protection des données. Dans une étude conduite par le laboratoire d’innovation de la Cnil intitulée «?Le corps, nouvel objet connecté?», la Cnil émet les recommandations suivantes à l’adresse des utilisateurs : l’utilisation d’un pseudonyme pour partager les données, ne pas automatiser le partage des données vers d’autres services, identifier des cercles de confiance avant de publier des données, ou encore effacer ou récupérer les données lorsqu’un service n’est plus utilisé.
(1) Chiffres de l’Institut de l’audiovisuel et des télécommunications (Idate)
(2) Article 323-1 du Code pénal
(3) Solutions quantified-self
(4) Fabricants d’objets connectés, développeurs d’applications, réseaux sociaux, différents réutilisateurs des données, etc.
(5) Loi n° 2015-136 du 9 février 2015 relative à la sobriété, à la transparence, à l’information et à la concertation en matière d’exposition aux ondes électromagnétiques
(6) Les puces à radio-identification (RFID) sont des appareils de conservation et transfert de données
(7) Organe consultatif européen sur la protection des données et de la vie privée dont les missions sont définies par les articles 29 et 30 de la directive 95/46/CE et par l’article 14 de la directive 97/66/CE
(8) Privacy by design
(9) Privacy by default
(10) Principe de self-determination
(11) “Report on the public consultation on IoT Governance”
L’année 2014 fut celle du lancement des objets connectés, plusieurs constructeurs électroniques ayant rendu publics de nouveaux produits. Conçus comme des extensions de smartphones ou reliés à un réseau sans fil, les objets connectés offrent toutes sortes de services aux consommateurs en collectant et en transmettant via des capteurs des informations de toute nature. Si les objets connectés suscitent de nouvelles opportunités au profit des professionnels et des consommateurs, les risques sont nombreux : dès lors qu’un appareil est connecté à Internet, il est techniquement possible de le localiser et le détourner de sa fonction.
Le cadre juridique actuel n’est pas totalement adapté à la diversité des objets connectés
Le cadre juridique des objets connectés est hétérogène et emprunte à divers domaines juridiques du droit commun (droit des contrats, droit de la responsabilité, droit de l’informatique, droit des données à caractère personnel, droit de la propriété intellectuelle etc.). Ce cadre montre ses limites s’agissant du problème juridique principal : celui de la protection des données personnelles et de la vie privée. L’économie des objets connectés est en effet fondée sur l’exploitation d’un volume gigantesque de données personnelles s’inscrivant de plus en plus souvent dans des Big Data. L’utilisation de ces données est naturellement source d’interrogations notamment sur le plan de la sécurité. Les utilisateurs peuvent perdre le contrôle de leurs données dès lors qu’elles sont transmises à d’autres applications ou diffusées sur des réseaux sociaux. De même, les données récoltées peuvent permettre aux professionnels de dresser un profilage des habitudes de consommation des individus de nature à porter atteinte à la protection de la vie privée. Enfin, des experts informatiques ont démontré qu’il était possible de désactiver à distance les freins d’une voiture électrique ou encore prendre le contrôle d’un pacemaker via un simple ordinateur. Or, l’article?34 de la loi informatique et libertés impose au responsable du traitement de prendre toutes les mesures nécessaires pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. L’article 226-17 du Code pénal sanctionne de cinq ans d’emprisonnement et de 300 000?euros d’amende le non-respect de cette disposition. L’amende peut être multipliée par cinq et atteindre jusqu’à 1 500 000?euros lorsqu’il s’agit d’une personne morale. Les atteintes aux systèmes de traitement automatisé de données, en cas d’accès ou de maintien frauduleux, sont également sanctionnées par le Code pénal par une peine de deux ans d’emprisonnement et de 30 000?euros d’amende (2). Des objets connectés telles que des lunettes permettant de filmer des personnes à leur insu et diffuser les vidéos sur des réseaux sociaux posent également le problème du droit au respect à la vie privée voire de l’atteinte à l’image ou à la réputation de la personne filmée. Or, l’article?226-22 du Code pénal punit de cinq ans d’emprisonnement et de 300 000?euros d’amende le fait, pour une personne qui a recueilli des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir. Par ailleurs, plusieurs objets connectés destinés au «?bien-être?» (3) traitent en réalité de données de santé. Or, la collecte et le traitement des données de santé, en raison de leur caractère sensible sont en principe interdits. Elles ne peuvent en outre être hébergées que par des hébergeurs ayant obtenu un agrément conformément à l’article L1111-8 du Code de la santé publique. D’autres objets permettent la géolocalisation telles que des montres ou des voitures proposant des itinéraires. Or, la géolocalisation est encadrée par la loi du 28?mars 2004. Conformément à l’article 230-32 du Code de procédure pénale, la géolocalisation n’est possible que lorsqu’elle est exigée par les nécessités d’une enquête ou d’une instruction, et ne peut être mise en place que par un officier de police judiciaire. Toutefois, de nombreux écueils existent et il n’est pas certain que le cadre juridique actuel soit adapté à l’hétérogénéité des objets connectés, d’autant que de plus en plus de données sont hébergées dans des serveurs localisés aux États-Unis ou en Inde et échappent au niveau de protection imposé au sein de l’Union européenne. Or, les avancées technologiques se poursuivent et il est primordial que les différents acteurs (4) puissent développer leur activité dans le respect des règles en vigueur.
Les professionnels doivent observer certaines règles et un ensemble de bonnes pratiques
En attendant un cadre légal plus spécifique, les règles issues de la loi Informatique et libertés du 6?janvier 1978 et de la Directive 95/46/CE du 24?octobre 1995 sont applicables. Il en va de même de la loi du 5?janvier 1988 relative à la fraude informatique. Les objets connectés sont également concernés par une récente loi du 9?février?2015 (5) concernant les sources d’émission des appareils radioélectriques dont les objets connectés comportant des puces RFID (6). Il est recommandé aux parties prenantes de se référer à un avis du G29 (7) du 16?septembre 2014 dans lequel le G29 recommande notamment la mise en place d’études d’impact préalablement à tout lancement de nouvelles applications, l’agrégation des données, l’application des principes de protection des données dès la conception (8) et par défaut (9) ou encore la possibilité pour l’utilisateur de demeurer maître de ses données personnelles à tout moment (10). Il conviendra également de se reporter au rapport publié le 16?janvier 2013 (11) dans lequel la Commission européenne recommande notamment le fait que les objets connectés soient dès le départ conçus pour répondre aux exigences liées au droit de suppression, au droit à l’oubli, à la portabilité des données, à la protection de la vie privée et aux principes de protection des données. Dans une étude conduite par le laboratoire d’innovation de la Cnil intitulée «?Le corps, nouvel objet connecté?», la Cnil émet les recommandations suivantes à l’adresse des utilisateurs : l’utilisation d’un pseudonyme pour partager les données, ne pas automatiser le partage des données vers d’autres services, identifier des cercles de confiance avant de publier des données, ou encore effacer ou récupérer les données lorsqu’un service n’est plus utilisé.
(1) Chiffres de l’Institut de l’audiovisuel et des télécommunications (Idate)
(2) Article 323-1 du Code pénal
(3) Solutions quantified-self
(4) Fabricants d’objets connectés, développeurs d’applications, réseaux sociaux, différents réutilisateurs des données, etc.
(5) Loi n° 2015-136 du 9 février 2015 relative à la sobriété, à la transparence, à l’information et à la concertation en matière d’exposition aux ondes électromagnétiques
(6) Les puces à radio-identification (RFID) sont des appareils de conservation et transfert de données
(7) Organe consultatif européen sur la protection des données et de la vie privée dont les missions sont définies par les articles 29 et 30 de la directive 95/46/CE et par l’article 14 de la directive 97/66/CE
(8) Privacy by design
(9) Privacy by default
(10) Principe de self-determination
(11) “Report on the public consultation on IoT Governance”
