OBJETS CONNECTES ET DONNEES PERSONNELLES

Print Friendly, PDF & Email

Aujourd’hui, les objets connectés sont partout autour de nous. De notre montre en passant même par notre aspirateur. Ces derniers sont connectés à un réseau de communication et procurent à l’utilisateur un certain confort, néanmoins, ils ne sont pas sans danger face à nos données personnelles. Quelle protection est-elle apportée quant à l’utilisation de nos données personnelles par ces objets connectés ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu  de contrefaçon en passant par le formulaire !

Isaac Asimov décrivait il y a plus de 50 ans « l’ère du tout connecté », les objets connectés en tout genre qu’il avait prédit à l’époque existent presque tous aujourd’hui.

Cependant, un problème alerte, l’utilisation des données personnelles collectée et stockée par les objets connectés. En cause une affaire, l’entreprise DoctorBeet, concepteur de logiciels a dénoncé l’espionnage exercé par un téléviseur LG. En effet, l’entreprise avait remarqué des lorsqu’une publicité s’affichait sur l’écran de la télévision, alors celle-ci collectait les données sur le comportement de l’utilisateur vis-à-vis de cette publicité. De plus, DoctorBeet s’est rendu compte que même après avoir désactivité l’option collecte de données, cette dernière continuait. Les données d’une clé USB branchées à l’ordinateur avaient également fait l’objet d’une collecte. L’entreprise LG a par la suite réalisé une mise à jour de son logiciel.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Cette affaire a donc mis en évidence la problématique de la collecte des données personnelles des utilisateurs par les objets connectés.

La société IoT Analyctics a annoncé dans une étude qu’il y avait environ 12,3 milliards d’objets connectés dans le monde à la fin de l’année 2021. Aujourd’hui, les objets connectés apparaissent sous de nombreuses formes diverses et variées. On retrouve des télévisions, voitures, montres, lunettes, balances, frigidaires connectés et encore bien d’autres. Il  y a environ 10 objets connectés par foyer en 2021.

Également, l’assistant vocal de l’enceinte connectée s’est énormément développé, parmi eux la célèbre Alexa de Google Home ou encore le HomePod d’Apple. L’enceinte connectée est présente dans environ 1 foyer sur 4 aux États-Unis en 2019. La CNIL s’est penchée sur ce sujet et a publié un livre blanc en septembre 2020 sur les assistants vocaux.

Nombreux utilisateurs ne peuvent plus se passer de cette expérience qui parfois facilite leur quotidien. Néanmoins, il convient de rappeler que ces objets connectés utilisent les données personnelles pour pouvoir fonctionner.

Ces données personnelles permettant de personnaliser l’expérience client, également ces données sont envoyées aux entreprises qui récoltent donc des informations sur leurs clients. De nombreuses données de santé sont également récoltées aujourd’hui, avec les balances connectées, les montres ou encore les tensiomètres.

Par conséquent, il convient de se demander si nos données personnelles peuvent tout de même être protégées face à l’invasion des objets connectés dans notre quotidien ?

Il existe de nombreux risques face à l’utilisation des objets connectés (I) qu’il convient d’encadrer pour une utilisation respectant la vie privée des utilisateurs (II).

I. Les risques juridiques relatifs à l’utilisation de ces objets connectés

Les risques pouvant apparaître quant à l’utilisation de ces objets connectés concernent d’une part la surveillance clandestine (A) et d’autre part le traitement des données personnelles (B).

A) Une surveillance clandestine

Comme présentée en introduction, l’affaire de la surveillance de l’utilisateur par la télévision LG a mis sur le devant de la scène une forme de surveillance clandestine. Dès lors que les objets sont connectés à internet, la question de la surveillance voir de l’espionnage se pose.

Ces données intéressent forcément les pirates informatiques. En effet, la société de sécurité Kapersky a révélé dans une étude qu’entre 2018 et 2019, les attaques réalisées par les Hackers ont été multipliées par 9. Ainsi, près de 105 millions d’attaques ont eu lieu envers des objets connectés. Il s’agit d’une cible facile pour les pirates informatiques et la cybercriminalité en général, les objets connectés permettent de surveiller à distance en prenant contrôle de ces derniers. Il a été démontré par des experts informatiques en 2013 qu’il était tout à fait possible de désactiver la fonction de freinage d’une voiture électrique à distance.

Ainsi, ces informations peuvent faire peur, l’utilisation des appareils connectés peut s’avérer dangereuse. Les objets connectés collectent de nombreuses données personnelles telles que la géolocalisation qui sont des informations qui peuvent s’avérer intrusive pour l’utilisateur voir dangereuse tant la vie entière de l’utilisateur peut être collecté.

La société HP avait dès 2014, énoncé qu’environ 70 % des appareils connectés ont des failles de sécurité importantes pouvant permettre aux pirates informatiques de les exploiter facilement.

Également, il est prévu qu’en 2025 il y aura près de 38 milliards d’objets connectés dans le monde.

Selon un sondage réalisé par Havas Media France en 2014, les internautes estimaient que les objets connectés étaient source de progrès (75 %) et facilitent la vie (71 %).

Le développement de ces appareils connectés doit amener à un encadrement plus important.

B) Un traitement des données personnelles

Les objets connectés tels que les montres ou les podomètres collectent de nombreuses données de santé. Celles-ci sont des données personnelles dites sensibles. Par conséquent, la protection apportée à ces données doit être importante.

Ces données peuvent être communiquées à des tiers, notamment des assureurs. Mais les données de santé ne sont pas les seules concernées, les données liées à la géolocalisation doivent également faire l’objet d’une protection importante.

Nombreux sont les objets connectés qui enregistrent notre position géographique, cela a pu s’avérer utile notamment pour les autorités. Dans le cadre des enquêtes ces données peuvent s’avérer très précieuses. En 2019, un meurtrier a pu être retrouvé grâce à un objet connecté qui avait pu fournir aux enquêteurs la géolocalisation du meurtrier. Les enquêteurs en vertu de la loi du 28 mars 2014 sur la géolocalisation peuvent dans le cadre d’une enquête et sous l’autorité du juge avoir recours à « tout moyen technique destiné à la localisation en temps réel » d’une personne, « d’un véhicule ou de tout autre objet ».

Néanmoins, bien que cela puisse s’avérer utile, les données peuvent également se retrouver entre les mauvaises mains. Les cybercriminels ou simplement des personnes malveillantes peuvent utiliser ses données. Ainsi, l’utilisation des objets connectés peut rapidement être détournée.

Par conséquent, dès la conception du produit, les industriels sont soumis à une obligation de sécurité. L’article 226-17 du Code pénal précise que le non-respect de cette obligation porté à tout traitement de données à caractère personnel sera sanctionné. Il est prévu 5 ans d’emprisonnement et 300 000 euros d’amende. Pour une personne morale, l’amende peut être portée à 1,5 million d’euros.

II- La protection juridique relative à l’utilisation de ces objets connectés

La CNIL, autorité indépendante compétence en la matière exerce un contrôle (A) mais expose également des recommandations (B).

A) Le contrôle de la CNIL

Rapidement, la CNIL a pris en considération ce sujet. En 2009, elle a publié un article sur l’internet des objets. Dans cet article, la CNIL a rappelé les enjeux du développement de ce secteur, mais a surtout mis en avant la nécessité de toujours protéger la vie privée des utilisateurs en protégeant leurs données personnelles.

Les données personnelles sont soumises à la loi informatique et liberté modifiée en 2018 pour prendre en compte le règlement général de la protection des données européen.

Une donnée personnelle se définit comme « « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement.

Certaines données dites sensibles telles que les données de santé sont soumises à une protection renforcée.

Néanmoins, dès lors que l’utilisateur consent, cela  permet d’autoriser les traitements de nombreuses données personnelles. Le traitement sera alors licite ayant reçu le consentement de la personne concernée. Parfois, le traitement sera licite en raison de la bonne exécution du contrat, et ce, sans le consentement express de la personne. C’est le cas pour les réseaux sociaux, en s’inscrivant vous consentez implicitement à fournir vos données personnelles pour pouvoir créer votre compte. Si vous ne voulez pas que vos données soient récoltées, vous devrez vous abstenir de vous inscrire.

Toutefois, le responsable de traitement doit s’assurer que les principes du RGPD sont respectés (licéité du traitement, base légale de traitement, durée, finalité, proportionnalité, pertinence).

La CNIL a rappelé dans un guide pratique publié en novembre 2020 que les assistants vocaux utilisés dans le cadre professionnel doivent respecter tous les principes imposés par le RGPD pour tout traitement de données personnelles.

B) Les recommandations de la CNIL

La CNIL informe régulièrement les utilisateurs sur les dangers auxquels ils peuvent être exposés sur internet et sur la protection de leurs données personnelles.

Elle a donc publié un guide en 2017 pour fournir des recommandations quant à l’utilisation des objets connectés.

Elle a notamment recommandé de manière générale à :

Vérifier les différentes connexions liées à vos objets connectés pour s’assurer que personne d’autre n’est connecté ; Changer régulièrement les mots de passe ou les codes PIN de vos appareils et ne jamais garder ceux fournis par défaut ; Vérifier que vos téléphones ainsi que vos tablettes demandent un mot de passe pour les déverrouiller et s’assurer que le réseau WIFI est correctement protégé ; Désactiver les partages automatiques de données entre vos objets connectées et vos réseaux sociaux s’ils sont liés ; Faire attention à vos données de santé ; Vérifier que vous avez toujours un accès à vos données et que celles-ci puissent faire l’objet d’une suppression ; Enfin, éteindre les objets connectés que vous n’utilisez pas.

La CNIL fournit d’autres recommandations pour les objets connectés qui nécessitent pour fonctionner d’ouvrir un compte en ligne :

Utiliser si possible des pseudonymes et ne pas fournir de manière générale votre véritable identité ; Donnez le moins information que possible ; Utiliser des adresses mail différentes pour vos différents objets connectés ; Toujours sécuriser les accès à ces comptes avec des mots de passe différents pour chaque objet connecté.

Pour lire  une version plus complète de cet article sur les objets connectés, cliquez

Sources :

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.