IoT : entre libre circulation et sécurité des données, un droit en construction

Publié le 21/10/2019 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin, Avocat associé, du 21 octobre 2019 pour CIO Online.

Tous les objets ne sont plus muets : ils emmagasinent les informations et peuvent les restituer. Il y aurait 22 milliards d’objets connectés dans le monde, ils seraient 40 milliards en 2025.

Avec des voitures, des appareils médicaux, des habitations, des équipements urbains, etc. connectés, la cybersécurité accède à un degré supérieur de criticité. Si la disparition temporaire ou définitive d’une donnée traitée dans un système informatique ne se traduit qu’en dommages immatériels, une indisponibilité ou une corruption des données que collecte ou qui animent l’objet connecté peut conduire à des dommages matériels, voire corporels, considérables.

La problématique est d’autant plus prégnante que l’objet connecté est rarement utilisé seul. Il est le maillon d’une chaîne de traitement de l’information dont la sécurité dépendra de son maillon le plus faible, chaîne qui n’est pas maîtrisée de bout en bout par le même acteur.

Un événement dommageable qui serait le résultat d’un défaut de sécurité d’un objet connecté soulève des questions juridiques nouvelles : qui aura la charge de prouver l’origine de la défaillance ? Qui sera responsable de la défaillance ? L’interconnexion des objets, nouvel horizon de l’internet, opère un mélange complexe entre notre traditionnel droit des biens – qui s’appliquent aux objets physiques – et le droit des données, qui est encore aujourd’hui largement en construction.

Les données collectées sont-elles sécurisées ?

L’Union européenne est actuellement en train de construire le cadre juridique de la cybersécurité.

Le règlement 2019/881 du 17 avril 2019 dit « règlement sur la cybersécurité » vient doter l’agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (l’ENISA) de nouveaux pouvoirs en matière d’organisation du schéma européen de certification de cybersécurité. C’est cette agence qui, en coopération avec les agences des Etats membres comme l’ANSSI, préparera les futures règles de certification auxquels les réseaux et systèmes d’information devront se conformer en matière de cybersécurité.

Dans ce contexte, l’IoT est particulièrement concerné. ENISA a déjà publié plusieurs travaux sur le sujet. Sur le terrain plus particulier de la normalisation, ce sont les travaux d’une autre instance européenne, l’ETSI, qui pourront servir de support à tout le schéma de certification de la sécurité des objets connectés. L’ETSI, a publié en début d’année son standard TS 103 645 intitulé « Cyber Security for Consumer Internet of Things ».

Même si les choses prendront encore du temps, compte tenu de la complexité juridique des processus de certification et des enjeux technico-économiques autour de l’adoption des normes, il faut s’attendre à ce que les objets connectés soient les premiers matériels informatiques à devoir faire l’objet d’une certification technique sur leur couche logicielle.

Les objets collectent-ils des données personnelles ?

Nul n’ignore l’existence du RGPD, ce règlement européen entré en vigueur le 25 mai 2018 qui vise à harmoniser le droit des données personnelles dans l’Union européenne et leur assurer « un niveau élevé de protection ». Dans quelle mesure ce texte s’applique-t-il aux données traitées par les objets connectés ?

La tendance des régulateurs en la matière, et notamment l’ex-G29 devenu le Comité Européen à la Protection des Données, est à considérer de manière extensive que les données de l’IoT sont des données personnelles. On pourrait en douter. Les « wearables » ne sont pas liées de manière indéfectible à ceux qui les portent et les voitures connectées ne sont pas toujours conduites par la même personne.

La question n’est pas anodine car, dans un tel cas de figure, les données personnelles ne peuvent être collectées par « l’objet » qu’avec le consentement explicite et éclairé de l’individu. Or, ce consentement peut en pratique être extrêmement compliqué à recueillir s’agissant d’objets qui peuvent ne pas avoir une interface utilisateur évoluée et dont l’usage doit être simple et rapide. En outre, les traitements basés sur le consentement sont « précaires » dans la mesure où les personnes concernées peuvent retirer ce consentement. Comment, dans ce cas, supprimer les données ?

Etudiant les traitements mis en œuvre par les systèmes intelligents de transport, le G29, dans un avis de 2017, a appelé la Commission européenne à faire évoluer la réglementation sur ce sujet, rappelant que « le groupe de travail[…] n’a pas encore trouvé de consensus sur la faisabilité technique de l’obtention du consentement »…

Les données collectées peuvent-elles librement circuler ?

Il est difficile d’envisager un monde d’objets connectés qui ne sauraient pas communiquer entre eux. De puissants intérêts économiques peuvent militer pour des écosystèmes fonctionnant en vase clos, sous le contrôle de l’opérateur qui le développe.

Le 14 novembre 2018, a été adopté le règlement 2018/1807 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne. Ce texte interdit aux Etats membres d’exiger la localisation des données sur leur sol, « sauf si elles sont justifiées par des motifs de sécurité publique ».

Mais ce texte n’intéresse que les Etats. Il n’existe aujourd’hui aucune législation européenne qui puisse imposer aux acteurs de l’IoT de s’entendre sur des standards d’échange de données. Or, le droit de la concurrence a, malheureusement, fait preuve de sa lenteur pour traiter de ce type de problématique.

Autres publications