surveillance

OBJETS CONNECTES ET DONNEES PERSONNELLES

Aujourd’hui, les objets connectés sont partout autour de nous. De notre montre en passant même par notre aspirateur. Ces derniers sont connectés à un réseau de communication et procurent à l’utilisateur un certain confort, néanmoins, ils ne sont pas sans danger face à nos données personnelles. Quelle protection est-elle apportée quant à l’utilisation de nos données personnelles par ces objets connectés ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu  de contrefaçon en passant par le formulaire !

Isaac Asimov décrivait il y a plus de 50 ans « l’ère du tout connecté », les objets connectés en tout genre qu’il avait prédit à l’époque existent presque tous aujourd’hui.

Cependant, un problème alerte, l’utilisation des données personnelles collectée et stockée par les objets connectés. En cause une affaire, l’entreprise DoctorBeet, concepteur de logiciels a dénoncé l’espionnage exercé par un téléviseur LG. En effet, l’entreprise avait remarqué des lorsqu’une publicité s’affichait sur l’écran de la télévision, alors celle-ci collectait les données sur le comportement de l’utilisateur vis-à-vis de cette publicité. De plus, DoctorBeet s’est rendu compte que même après avoir désactivité l’option collecte de données, cette dernière continuait. Les données d’une clé USB branchées à l’ordinateur avaient également fait l’objet d’une collecte. L’entreprise LG a par la suite réalisé une mise à jour de son logiciel.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Cette affaire a donc mis en évidence la problématique de la collecte des données personnelles des utilisateurs par les objets connectés.

La société IoT Analyctics a annoncé dans une étude qu’il y avait environ 12,3 milliards d’objets connectés dans le monde à la fin de l’année 2021. Aujourd’hui, les objets connectés apparaissent sous de nombreuses formes diverses et variées. On retrouve des télévisions, voitures, montres, lunettes, balances, frigidaires connectés et encore bien d’autres. Il  y a environ 10 objets connectés par foyer en 2021.

Également, l’assistant vocal de l’enceinte connectée s’est énormément développé, parmi eux la célèbre Alexa de Google Home ou encore le HomePod d’Apple. L’enceinte connectée est présente dans environ 1 foyer sur 4 aux États-Unis en 2019. La CNIL s’est penchée sur ce sujet et a publié un livre blanc en septembre 2020 sur les assistants vocaux.

Nombreux utilisateurs ne peuvent plus se passer de cette expérience qui parfois facilite leur quotidien. Néanmoins, il convient de rappeler que ces objets connectés utilisent les données personnelles pour pouvoir fonctionner.

Ces données personnelles permettant de personnaliser l’expérience client, également ces données sont envoyées aux entreprises qui récoltent donc des informations sur leurs clients. De nombreuses données de santé sont également récoltées aujourd’hui, avec les balances connectées, les montres ou encore les tensiomètres.

Par conséquent, il convient de se demander si nos données personnelles peuvent tout de même être protégées face à l’invasion des objets connectés dans notre quotidien ?

Il existe de nombreux risques face à l’utilisation des objets connectés (I) qu’il convient d’encadrer pour une utilisation respectant la vie privée des utilisateurs (II).

I. Les risques juridiques relatifs à l’utilisation de ces objets connectés

Les risques pouvant apparaître quant à l’utilisation de ces objets connectés concernent d’une part la surveillance clandestine (A) et d’autre part le traitement des données personnelles (B).

A) Une surveillance clandestine

Comme présentée en introduction, l’affaire de la surveillance de l’utilisateur par la télévision LG a mis sur le devant de la scène une forme de surveillance clandestine. Dès lors que les objets sont connectés à internet, la question de la surveillance voir de l’espionnage se pose.

Ces données intéressent forcément les pirates informatiques. En effet, la société de sécurité Kapersky a révélé dans une étude qu’entre 2018 et 2019, les attaques réalisées par les Hackers ont été multipliées par 9. Ainsi, près de 105 millions d’attaques ont eu lieu envers des objets connectés. Il s’agit d’une cible facile pour les pirates informatiques et la cybercriminalité en général, les objets connectés permettent de surveiller à distance en prenant contrôle de ces derniers. Il a été démontré par des experts informatiques en 2013 qu’il était tout à fait possible de désactiver la fonction de freinage d’une voiture électrique à distance.

Ainsi, ces informations peuvent faire peur, l’utilisation des appareils connectés peut s’avérer dangereuse. Les objets connectés collectent de nombreuses données personnelles telles que la géolocalisation qui sont des informations qui peuvent s’avérer intrusive pour l’utilisateur voir dangereuse tant la vie entière de l’utilisateur peut être collecté.

La société HP avait dès 2014, énoncé qu’environ 70 % des appareils connectés ont des failles de sécurité importantes pouvant permettre aux pirates informatiques de les exploiter facilement.

Également, il est prévu qu’en 2025 il y aura près de 38 milliards d’objets connectés dans le monde.

Selon un sondage réalisé par Havas Media France en 2014, les internautes estimaient que les objets connectés étaient source de progrès (75 %) et facilitent la vie (71 %).

Le développement de ces appareils connectés doit amener à un encadrement plus important.

B) Un traitement des données personnelles

Les objets connectés tels que les montres ou les podomètres collectent de nombreuses données de santé. Celles-ci sont des données personnelles dites sensibles. Par conséquent, la protection apportée à ces données doit être importante.

Ces données peuvent être communiquées à des tiers, notamment des assureurs. Mais les données de santé ne sont pas les seules concernées, les données liées à la géolocalisation doivent également faire l’objet d’une protection importante.

Nombreux sont les objets connectés qui enregistrent notre position géographique, cela a pu s’avérer utile notamment pour les autorités. Dans le cadre des enquêtes ces données peuvent s’avérer très précieuses. En 2019, un meurtrier a pu être retrouvé grâce à un objet connecté qui avait pu fournir aux enquêteurs la géolocalisation du meurtrier. Les enquêteurs en vertu de la loi du 28 mars 2014 sur la géolocalisation peuvent dans le cadre d’une enquête et sous l’autorité du juge avoir recours à « tout moyen technique destiné à la localisation en temps réel » d’une personne, « d’un véhicule ou de tout autre objet ».

Néanmoins, bien que cela puisse s’avérer utile, les données peuvent également se retrouver entre les mauvaises mains. Les cybercriminels ou simplement des personnes malveillantes peuvent utiliser ses données. Ainsi, l’utilisation des objets connectés peut rapidement être détournée.

Par conséquent, dès la conception du produit, les industriels sont soumis à une obligation de sécurité. L’article 226-17 du Code pénal précise que le non-respect de cette obligation porté à tout traitement de données à caractère personnel sera sanctionné. Il est prévu 5 ans d’emprisonnement et 300 000 euros d’amende. Pour une personne morale, l’amende peut être portée à 1,5 million d’euros.

II- La protection juridique relative à l’utilisation de ces objets connectés

La CNIL, autorité indépendante compétence en la matière exerce un contrôle (A) mais expose également des recommandations (B).

A) Le contrôle de la CNIL

Rapidement, la CNIL a pris en considération ce sujet. En 2009, elle a publié un article sur l’internet des objets. Dans cet article, la CNIL a rappelé les enjeux du développement de ce secteur, mais a surtout mis en avant la nécessité de toujours protéger la vie privée des utilisateurs en protégeant leurs données personnelles.

Les données personnelles sont soumises à la loi informatique et liberté modifiée en 2018 pour prendre en compte le règlement général de la protection des données européen.

Une donnée personnelle se définit comme « « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement.

Certaines données dites sensibles telles que les données de santé sont soumises à une protection renforcée.

Néanmoins, dès lors que l’utilisateur consent, cela  permet d’autoriser les traitements de nombreuses données personnelles. Le traitement sera alors licite ayant reçu le consentement de la personne concernée. Parfois, le traitement sera licite en raison de la bonne exécution du contrat, et ce, sans le consentement express de la personne. C’est le cas pour les réseaux sociaux, en s’inscrivant vous consentez implicitement à fournir vos données personnelles pour pouvoir créer votre compte. Si vous ne voulez pas que vos données soient récoltées, vous devrez vous abstenir de vous inscrire.

Toutefois, le responsable de traitement doit s’assurer que les principes du RGPD sont respectés (licéité du traitement, base légale de traitement, durée, finalité, proportionnalité, pertinence).

La CNIL a rappelé dans un guide pratique publié en novembre 2020 que les assistants vocaux utilisés dans le cadre professionnel doivent respecter tous les principes imposés par le RGPD pour tout traitement de données personnelles.

B) Les recommandations de la CNIL

La CNIL informe régulièrement les utilisateurs sur les dangers auxquels ils peuvent être exposés sur internet et sur la protection de leurs données personnelles.

Elle a donc publié un guide en 2017 pour fournir des recommandations quant à l’utilisation des objets connectés.

Elle a notamment recommandé de manière générale à :

Vérifier les différentes connexions liées à vos objets connectés pour s’assurer que personne d’autre n’est connecté ; Changer régulièrement les mots de passe ou les codes PIN de vos appareils et ne jamais garder ceux fournis par défaut ; Vérifier que vos téléphones ainsi que vos tablettes demandent un mot de passe pour les déverrouiller et s’assurer que le réseau WIFI est correctement protégé ; Désactiver les partages automatiques de données entre vos objets connectées et vos réseaux sociaux s’ils sont liés ; Faire attention à vos données de santé ; Vérifier que vous avez toujours un accès à vos données et que celles-ci puissent faire l’objet d’une suppression ; Enfin, éteindre les objets connectés que vous n’utilisez pas.

La CNIL fournit d’autres recommandations pour les objets connectés qui nécessitent pour fonctionner d’ouvrir un compte en ligne :

Utiliser si possible des pseudonymes et ne pas fournir de manière générale votre véritable identité ; Donnez le moins information que possible ; Utiliser des adresses mail différentes pour vos différents objets connectés ; Toujours sécuriser les accès à ces comptes avec des mots de passe différents pour chaque objet connecté.

Pour lire  une version plus complète de cet article sur les objets connectés, cliquez

Sources :

Par internet-et-droit • Tags: , , , ,

CYBERSURVEILLANCE DES SALARIES

À l’heure actuelle, des techniques de captation d’images et de sons sont de plus en plus développés. Le numérique a révolutionné le monde, que ça soit dans la vie courante ou dans la vie professionnelle, et la cybersurveillance intéresse énormément les employeurs. En effet, la cybersurveillance se situe à mi-chemin entre le pouvoir de contrôle de l’employeur et la liberté du salarié au travail.

Mais qu’est-ce que la cybersurveillance des salariés ?

En effet, c’est tout simplement lorsque l’employeur utilise des outils permettant de contrôler l’usage des technologies de l’information et de la communication fait par les salariés.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

  • En France une entreprise a-t-elle le droit de contrôler le contenu des courriers (entrants et/ou sortants) destinés à ses collaborateurs ?
  • Si oui dans quelles conditions ? Et qui « lit » réellement les courriers ? Après quel tri ou quelles précautions juridiques éventuelles ?

En France, l’employeur, avant d’organiser toute surveillance doit préalablement informer les salariés ainsi que les représentants du personnel. Cette démarche d’information préalable est obligatoire. Ainsi,  l’article L. 1222-3 du Code du travail : « le salarié est expressément informé préalablement à leur mise en œuvre, des méthodes et techniques d’évaluation professionnelles mises en œuvre à son égard. Les résultats obtenus sont confidentiels. Les méthodes et techniques d’évaluation des salariés doivent être pertinentes au regard de la finalité poursuivie ».

Besoin de l’aide d’un avocat pour un problème de droit du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Par ailleurs, l’article 1222-4 du Code du travail précise que : « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».

Donc, il est interdit d’intercepter et de détourner les correspondances transmises par voie de télécommunication (article 226-25 du Code pénal).

L’employeur doit, donc, respecter la vie privée de ses salariés. Le droit au respect de la vie privée a été affirmé en 1948 par la Déclaration universelle des droits de l’homme des Nations unies. En France, l’article 9 du Code civil consacre cette protection en droit français : « Toute personne a droit au respect de sa vie privée ».

La vie privée implique la protection du domicile, le respect au secret professionnel et médical, la protection de l’intimité et la protection du droit à l’image.

Cette vie privée est protégée, même au sein de la vie professionnelle.

La Cour de cassation a jugé, dans l’arrêt Nikon du 2 octobre 2001,  que « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ».

L’employeur peut prendre connaissance des mails professionnels des salariés, mais pas ceux identifiés comme personnels.

Pour répondre à cette question, il faut se référer à un arrêt de la Cour d’appel de Bordeaux, en date du 4 juillet 2003, dans lequel la Cour d’appel a jugé que les messages envoyés et reçus par un salarié sur une adresse électronique générique de l’entreprise dans le cadre de son travail, consultables sur son seul poste, ont le caractère de messages personnels soumis au secret des correspondances. Dès lors, l’employeur ne peut pas en prendre connaissance, quand bien même il aurait interdit l’utilisation personnelle de l’ordinateur.

Les dispositions de l’arrêt Nikon indiquent que même si l’employeur interdit une utilisation non professionnelle de l’ordinateur, ceci ne l’autorise pas à ouvrir un fichier intitulé « personnel » dès lors que « le salarié » a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ». En effet, cet arrêt s’inscrit dans la logique de la jurisprudence qui existe depuis plusieurs années en matière de correspondance postale : l’ouverture par l’employeur d’une lettre adressée à un salarié sur son lieu de travail constitue une violation du secret des correspondances en cas d’indication sur l’enveloppe du caractère privé du courrier ; en revanche, dès lors qu’une lettre est adressée au salarié à l’adresse de l’entreprise, sans aucune mention permettant de considérer qu’elle lui est personnellement destinée, elle doit être considérée comme professionnelle, et donc destinée à l’entreprise (Cass. crim. 16 janvier 1992).

L’employeur peut donc difficilement contrôler les messages électroniques de ses employés puisqu’ils sont toujours ou presque considérés comme personnels.

Est-ce que cela change quelque chose si c’est un programme, donc sans intervention humaine, qui observe les courriers à la recherche de mots clés spécifiques prédéfinis afin d’en empêcher la remise ?

Le principe est toujours le respect de la vie privée du salarié. Toutefois, il existe des logiciels qui permettent de vérifier l’usage fait d’Internet par les employés, notamment classer les connexions selon qu’elles ont été productives ou non, contrôler les temps de connexion…Si le système est mis en place régulièrement, les représentants des salariés en sont informés et peuvent donc vérifier l’utilisation faite de ces données.

Mais l’employeur ne peut pas inspecter ces données, il ne peut pas s’en servir pour une quelconque action.

En ce sens, la grande chambre de la Cour européenne des droits de l’homme (CEDH), dans une décision en date du 5 septembre 2017,  a statué sur le contrôle par l’employeur des messages des salariés. Les juges de la grande chambre de la CEDH, ont considéré que « les autorités nationales (roumaines) n’ont pas correctement protégé le droit du salarié au respect de sa vie privée et de sa correspondance et n’ont donc pas ménagé un juste équilibre entre les intérêts en jeu », décision adoptée par 11 voix contre 6. De plus, elle a estimé que « les juridictions nationales ont manqué, d’une part, à vérifier, en particulier, si le requérant avait été préalablement averti par son employeur de la possibilité que ses communications sur Yahoo Messenger soient surveillées et, d’autre part, à tenir compte du fait qu’il n’avait été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet, ainsi que du degré d’intrusion dans sa vie privée et sa correspondance. De surcroît, elles ont failli à déterminer, quelles raisons concrètes avaient justifié la mise en place des mesures de surveillance, deuxièmement, si l’employeur aurait pu faire usage de mesures moins intrusives pour la vie privée et la correspondance du requérant et, troisièmement, si l’accès au contenu des communications avait été possible à son insu ».

En ce qui concerne les e-mails entrants, une entreprise peut-elle décider d’interdire à ses collaborateurs de recevoir tel ou tel format de pièce jointe (les exécutables, les images, les morceaux musicaux, etc…) sur leur e-mail ?

La surveillance peut porter légalement sur les caractéristiques techniques des courriers électroniques. La sécurité de certaines entreprises particulières peut sans doute justifier que soit opéré un contrôle a posteriori de l’usage des messageries. Mais un tel contrôle doit pouvoir être effectué à partir d’indications générales de fréquence, de volume, de la taille des messages, du format des pièces jointes, sans qu’il y ait lieu d’exercer un contrôle sur le contenu des messages échangés.(rapport de la CNIL 2001).

Il est paraît donc possible d’obtenir les traces de l’activité qui transite par le salarié et notamment les détails des messages envoyés et reçus : expéditeur, destinataire, objet, nature de la pièce jointe, mais en principe pas le contenu.

Au sein d’une entreprise, un salarié avait été licencié pour faute grave pour avoir utilisé les outils informatiques de la société qui l’employait aux fins de téléchargement de fichiers violant les droits d’auteur, pendant son temps de travail, y compris à des heures tardives grâce à l’installation d’un logiciel de prise de contrôle à distance. L’employé avait également installé des logiciels sans licence et sans lien avec son activité professionnelle. Le conseil des Prud’hommes de Grasse, a jugé le licenciement dépourvu de cause réelle et sérieuse.

La Cour d’appel d’Aix-en-Provence a confirmé le jugement entrepris en relevant qu’en l’absence de toute information préalable du salarié, les preuves des faits fautifs obtenues illicitement devaient être écartées des débats. La décision confirme, donc, l’obligation d’une information préalable des salariés sur les moyens de contrôle et surveillance que l’employeur entend mettre en œuvre. (CA Aix-en-Provence, 4e et 5e ch. Réunies, 31 oct. 2019, n° 18/09015)

Dans la pratique, une charte concernant l’utilisation d’Internet peut être prévue au sein de l’entreprise.

L’employeur veut se préserver, car il risque d’engager sa responsabilité :

  • En cas d’utilisation pénalement illicite de la messagerie : rapatriement d’images à caractère pédophile sur le réseau interne depuis l’Internet par exemple, ou diffusion d’images sensibles.
  • Lorsque l’e-mail contient un virus portant atteinte à la sécurité du réseau,
  • Lorsqu’un message sortant contient des informations confidentielles touchant aux secrets de l’entreprise.

Il peut donc contrôler que le message électronique ne contienne pas de virus ou filtrer certains messages, notamment ceux provenant de sites pédophiles. Il peut interdire la réception de fichiers musicaux qui sont forcément personnels. Puisque l’usage de l’informatique ne doit pas être fait à titre personnel, il s’agit seulement d’une tolérance, car on ne peut pas l’interdire. Mais il est possible de filtrer certains fichiers.

  • Quid de l’utilisation d’outils de géolocalisation par l’employeur ?

Le salarié peut refuser l’installation d’un tel dispositif dans son véhicule professionnel si la raison principale est le contrôle des limitations de vitesse ou contrôle de ses déplacements.

Le Code du travail précise à l’article L1121-1 que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». Dès lors, une immixtion de l’employeur dans la vie privée du salarié au travail ne saurait être tolérée de la même façon qu’il lui est interdit de contrôler la durée du travail par un GPS s’il existe un autre moyen de le faire.

Pour lire un version plus complète de cet article sur la cybersurveillance des salariés, cliquez

SOURCES :

https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006419288/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000007046161/
https://www.doctrine.fr/d/CEDH/HFJUD/CHAMBER/2016/CEDH001-160018
https://www.legifrance.gouv.fr/juri/id/JURITEXT000024761408/
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006900785

Par internet-et-droit • Tags: , , ,

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes