Objets connectés et protection des données personnelles : le paradoxe

Publié le 13/05/2015 - CIO Online - O. Luzi

« Vivons heureux, restons connectés ? » Le marché des applications et objets connectés connaît actuellement une croissance fulgurante. Qu’on y soit favorable ou non, des millions de capteurs connectés ont désormais intégré les objets du quotidien, au premier plan desquels figurent les smartphones, mais également les bracelets et trackers d’activité, pèse personnes, montres, automobiles… qui, via une application mobile, sont amenés à collecter, analyser, stocker et restituer une multitude de données en rapport avec un individu, son environnement, sa consommation, ses habitudes, son hygiène de vie ou encore sa santé.

Les objets et applications connectés impliquent dans la grande majorité des cas le traitement de données qui se rapportent à des personnes physiques identifiées ou identifiables et qui répondent donc à la qualification de « données personnelles » au sens de l’article 2 de la Loi n°78-17 du 6 janvier 1978 (dans sa dernière version modifiée) dite « Loi Informatique et Libertés ».

Pour fonctionner au mieux de leurs capacités, ces objets connectés ont besoin d’être alimentés par les données des utilisateurs, sans d’ailleurs que ceux-ci aient nécessairement conscience des informations qui sont partagées, des destinataires exacts de leurs données, ni de l’usage qui peut en être fait ultérieurement.

Y-a-t-il un paradoxe entre l’utilisation d’objets et applications connectés et la volonté, légitime, de protéger ses données personnelles et sa vie privée ?

Si les utilisateurs perçoivent facilement l’intérêt des objets connectés qu’ils acquièrent ou des applications qu’ils décident d’installer, la facilité d’utilisation et la convivialité de ces nouveaux outils a tendance à faire passer au second plan les risques auxquels ils s’exposent en matière de protection de leurs données personnelles, respect de leur vie privée et préservation de leur liberté individuelle.

a question se pose donc de savoir si l’environnement légal existant est suffisant pour pallier ces risques et quelles sont les pistes d’améliorations envisageables.

Vers une prise de conscience des risques induits par l’utilisation d’objets connectés

Le propre d’un objet connecté est d’échanger des informations sur les réseaux de manière quasi permanente et instantanée, par l’intermédiaire d’une application web ou mobile. Or, plusieurs études ont révélé d’importantes failles de sécurité dans les objets connectés, rendant ainsi possible le détournement d’une multitude de données personnelles au profit de tiers non autorisés, l’utilisation malveillante des données interceptées, voire la prise de contrôle de l’objet connecté lui-même (caméra de surveillance installée au sein d’une maison, ou véhicule par exemple). Dans une étude réalisée en 2014, Fortify, la division d’HP dédiée à la cybersécurité, a constaté que sur 10 objets connectés audités, 70 % ne cryptaient pas les données échangées avec le réseau, 80 % ne nécessitaient pas de mot de passe suffisamment complexe et 60% n’offraient pas une interface Web suffisamment sécurisée. S’il est vrai que les vulnérabilités informatiques ont toujours existé, la multiplication des objets connectés et le stockage des données dans le Cloud augmentent, de fait, les risques d’atteinte à la sécurité au détriment des intérêts des utilisateurs. En cas de faille de sécurité d’un dispositif de serrure connectée, c’est l’accès au domicile et à l’intégralité de son contenu qui est rendu possible, sans effraction apparente.

L’on peut s’interroger également sur la fiabilité des objets connectés et les conséquences attachées à la défaillance des capteurs, en particulier s’agissant des objets connectés de quantified self, qui peuvent constituer un dispositif médical. Certains développeurs n’en ont pas conscience et omettent de se conformer aux exigences essentielles de sécurité applicables et de se déclarer auprès de l’Agence Nationale de sécurité du médicament et des produits de santé (ANSM).

L’utilisateur d’objets connectés et d’applications mobiles peut craindre de perdre la maitrise de ses données une fois celles-ci collectées et faire l’objet d’un profilage préjudiciable. En mai 2014, la CNIL et 26 de ses homologues rassemblées au sein du Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant au sein de l’OCDE pour la protection de la vie privée) ont mené un audit en ligne simultané de plus de 1 200 applications mobiles, qui témoigne d’une carence manifeste dans l’information faite aux utilisateurs du traitement des données personnelles qui les concernent. De nombreux fabricants d’objets connectés ou d’applications mobiles n’ont pas de politique de gestion des données personnelles, ou restent volontairement flous sur le type d’informations collectées, leur partage avec des sociétés tierces et les traitements envisagés. Lorsqu’une autorisation de la part des utilisateurs s’avère nécessaire, ces derniers peuvent être fortement incités à partager des informations relatives à leur mode de vie, leur santé, leurs déplacements, leurs habitudes de conduite, moyennant l’obtention d’avantages commerciaux (miles, bons de réduction, réduction du montant de cotisation d’assurance etc.). Etant donné la masse d’informations collectées et les capacités d’analyse de données, les risques de profilage des utilisateurs sont particulièrement élevés, avec les dérives que l’on peut imaginer.

Pour leur part, les compagnies d’assurance se réjouissent du développement de ces objets qui permettent de mieux les renseigner sur le profil individuel de leurs clients et prospects et d’évaluer leur risque de manière plus pointue.

Plusieurs compagnies d’assurance ont commencé à développer des offres adaptées aux assurés qui acceptent, via des objets connectés, de partager certaines données de nature à permettre à l’assureur de mieux apprécier son risque et de moduler en conséquence le montant de sa cotisation d’assurance.

C’est le cas notamment de l’offre YouDrive de Direct Assurance qui a pour objet de récompenser la bonne conduite de ses assurés. Dans le domaine de la santé, l’individualisation du risque suscite davantage de craintes, en ce qu’elle conduirait à exclure des individus du bénéfice d’une assurance s’ils présentent trop de risques. AXA a conclu un partenariat avec Withings, qui conçoit, développe et commercialise différents types d’objets connectés, notamment en rapport avec la santé. Les mille premiers clients de l’offre Modulango d’Axa Santé se sont vu offrir un tracker d’activité de mouvements et ont été invités à participer à un jeu concours « Pulse » permettant aux participants de bénéficier de chèques de médecine douce et de remises sur des produits Withings s’ils atteignaient un objectif d’au moins 7 000 pas quotidiens pendant un mois. Le règlement du jeu concours, précise que les informations relatives au client (nombre de pas et coordonnées personnelles) sont uniquement destinées à l’usage de Withings, pour les seuls besoins du déroulement de l’opération et qu’AXA et Withings s’engagent à supprimer toute information nominative à la fin du jeu, lorsque les 1 000 Withings Pulse auront été distribués. Pour autant, les assurés ayant relevé le défi doivent se manifester ensuite auprès d’AXA afin d’obtenir leur dotation, de sorte que l’assureur a bien connaissance, indirectement, des informations relatives au nombre de pas accomplis par ces derniers. Sans doute eût-il été préférable de prévoir également la suppression des informations nominatives après la remise des lots.

Si ces initiatives, aujourd’hui optionnelles, peuvent s’avérer commercialement avantageuses pour les assurés, il est possible qu’à l’avenir, ceux qui refuseront de voir leur activité surveillée pour s’assurer qu’ils prennent soin de leur santé paieront plus cher leur assurance, voire n’y accéderont plus.

Enfin, le fait que les destinataires de données (fabricant, hébergeur, partenaires commerciaux…) soient situés dans des pays tiers n’assurant pas un niveau de protection adéquat au sens de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données doit également susciter une vigilance particulière si l’on veut éviter que ses données personnelles ne soient traitées sans aucune garantie. La CNIL tient à jour sur son site une cartographie des pays qui assurent ou non un niveau de protection adéquat équivalent à la réglementation européenne et française. Il faut garder à l’esprit qu’à supposer même que la loi française protectrice trouve à s’appliquer, il sera compliqué sinon impossible pour un utilisateur de faire respecter ses droits et d’engager d’éventuels recours judiciaires à l’étranger.

L’environnement juridique actuel apporte-t-il des garanties suffisantes ?

En Europe, et plus particulièrement en France, une série de dispositions législatives et réglementaires a vocation à s’appliquer, imposant des obligations à respecter par les fabricants, éditeurs d’applications et hébergeurs, de manière à protéger les données des utilisateurs d’objets et applications connectés et préserver leurs intérêts.

Conformément à la Loi Informatique et Libertés, un traitement ne peut porter que sur des données personnelles qui sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes, ce qui suppose l’absence de collecte de données à l’insu des utilisateurs et l’interdiction de procéder à des traitements pour d’autres buts que ceux annoncés.

Les données collectées doivent être pertinentes et proportionnées à la finalité du traitement et conservées pour une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, d’où la nécessité pour le concepteur d’avoir une réflexion en amont sur le type de données qui lui seront réellement nécessaires et la durée de conservation de celles-ci.

Prenons l’exemple du traitement mis en œuvre par la compagnie Direct Assurance, relatif aux données des clients ayant souscrit à l’offre YouDrive : pour espérer obtenir une réduction de sa cotisation mensuelle, l’assuré doit consentir à l’installation d’un objet connecté dans son véhicule, la Drivebox, qui va enregistrer un nombre limité de données (date, heure, géolocalisation, vitesse, forces d’accélération, kilométrage) au moyen d’une puce GPS et d’un accéléromètre, les transmettre via le réseau GSM à l’assureur et à son prestataire sous-traitant (Baseline Telematics, siégeant à Laval, Quebec, Canada), dans le but d’établir un score de conduite par trajet selon plusieurs critères (nombre d’accélérations et freinages brusques et leur sévérité, nombre de virages pris à une vitesse excessive, vitesse du véhicule comparée à la vitesse moyenne du trafic et nombre de km parcourus). Les données enregistrées par le boîtier sont conservées pendant une durée de 2 ans à compter de l’envoi de l’appel de cotisation, ce qui est conforme au délai de prescription en matière d’assurance. Les modalités de ce traitement répondent bien aux objectifs fixés par la Loi Informatique et Libertés et apparaissent à première vue conformes aux recommandations de la CNIL en la matière.

Les fabricants d’objets connectés et les éditeurs d’applications sont tenus d’informer les personnes concernées (utilisateurs) de leur identité, de la finalité du traitement, du caractère obligatoire ou facultatif de la communication de certaines données et des conséquences éventuelles d’un défaut de communication de certaines données (ex. absence d’accès à des fonctionnalités de suivi statistique), des destinataires des données (y inclus des sous-traitants et partenaires commerciaux). L’utilisateur doit également être informé de ses droits d’opposition, d’accès, de rectification et de suppression des données qui le concernent. Dans l’exemple précité de YouDrive, l’assuré est informé de manière détaillée sur l’ensemble de ces éléments dans les conditions particulières de son contrat d’assurance.

La CNIL exerce un contrôle sur certains types de traitements ou opérations qui nécessitent une plus grande vigilance et subordonne leur mise en œuvre à son autorisation préalable.

Il en est généralement ainsi en cas de transferts de données dans des pays tiers n’offrant pas un niveau de protection adéquat. L’interconnexion de fichiers poursuivant des finalités différentes et les traitements susceptibles, du fait de leur nature, de leur portée ou de leur finalité, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative contraire sont également soumis à autorisation préalable. La CNIL considèrerait sans doute que le croisement d’un fichier recensant l’identité d’utilisateurs dont l’indice de masse corporelle a été calculé à partir des données remontées par une balance connectée avec le fichier client / prospect d’un assureur ne répond pas à un intérêt légitime, en particulier s’il a pour effet d’exclure un assuré du bénéfice de son contrat.

La loi Informatique et Libertés prévoit des dispositions plus protectrices à l’égard de certaines catégories de données. Ainsi, les données relatives à la santé physique ou mentale d’une personne, à la prestation de services de santé à cette personne, sont considérées comme sensibles, de sorte que la collecte et le traitement de ces données sont en principe interdits. Cependant, dans la mesure où la finalité du traitement l’exige, ne sont pas soumis à cette interdiction les traitements pour lesquels la personne concernée a donné son consentement exprès, ainsi que les traitements justifiés par un intérêt public après autorisation de la CNIL ou décret en Conseil d’Etat. La collecte et le traitement de ces données doivent néanmoins être justifiés au cas par cas au regard des objectifs recherchés. L’hébergement des données qui sont « recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins » par les professionnels ou établissements de santé doit faire l’objet d’un agrément du Ministre de la santé après avis de la CNIL et d’un comité d’agrément, de manière à fournir des garanties de confidentialité et de sécurité renforcées (art. L 1111-8 du Code de la santé publique).

Enfin, sur le plan de la sécurité, la Loi Informatique et Libertés prévoit que le responsable de traitement est tenu de prendre toutes précautions utiles pour assurer la sécurité des données et éviter qu’elles ne soient déformées, endommagées, détruites ou que des tiers non autorisés y aient accès. En cas de recours à un sous-traitant, le responsable de traitement devra s’assurer que ce dernier présente les garanties suffisantes en la matière, notamment en réalisant des vérifications auprès de celui-ci. La CNIL a ainsi prononcé un avertissement public à l’égard d’Orange à la suite d’une défaillance technique de l’un de ses sous-traitants qui a permis la divulgation non autorisée de millions d’informations relatives à ses abonnés. Dans son avertissement du 7 août 2014 la CNIL a relevé que l’opérateur n’avait pas fait réaliser d’audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier la faille de sécurité. Elle a également retenu que l’opérateur avait envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu’aucune clause de sécurité et de confidentialité des données n’avait été imposée à son prestataire.

Les manquements aux obligations édictées par la Loi Informatique et Libertés sont pénalement sanctionnés (jusqu’à 5 ans d’emprisonnement et 1 500 000 Euros d’amende pour les personnes morales). La CNIL peut également prononcer des avertissements, ainsi que des sanctions pécuniaires dont le montant est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement. A l’heure actuelle, la sanction pécuniaire est limitée à 150 000 € pour un premier manquement, et portée à 300 000 € ou 5% du CA dans la limite de 300 000 € en cas de manquement réitéré dans les 5 ans, ce qui n’est pas jugé suffisamment dissuasif.

Les perspectives d’amélioration envisageables

 Le projet de règlement européen – en cours d’élaboration et qui a vocation à s’appliquer aux Etats membres – fixe un cadre de protection des données à caractère personnel avec une plus grande responsabilisation des individus. Le législateur européen entend placer celui-ci au cœur du dispositif de protection des données à caractère personnel : il pourra disposer du droit à la notification d’une violation de ses données à caractère personnel lors de l’apparition de failles de sécurité, du droit d’opposition à une mesure de profilage ou encore, selon des motifs limitativement énumérés, du droit à l’effacement de ses données ainsi que l’effacement par des tiers des liens vers ces données ou de toute copie ou reproduction de celles-ci.

Ces nouveaux droits sont primordiaux en ce qu’ils permettent d’accroître la maîtrise que les utilisateurs ont sur leurs données. Toutefois, l’individu n’étant pas nécessairement conscient des enjeux attachés à la protection de sa vie privée, il faut encourager les démarches de type « privacy by design » (prise en compte de la vie privée dès la conception du dispositif technique) et « privacy by default » (paramétrage par défaut de l’application visant à assurer le maximum de protection de la vie privée) et renforcer l’arsenal répressif.

Dans cet esprit, le projet de règlement européen prévoit ainsi d’augmenter le montant des amendes jusqu’à 100 millions d’euros ou de l’asseoir sur le chiffre d’affaires global des personnes morales ayant manqué à leurs obligations découlant de la Loi Informatique et Libertés, jusqu’à 5% du chiffre d’affaires réalisé.

Enfin, face à la multitude d’objets et applications connectés qui existent sur le marché, le  développement de normes attestant des garanties offertes, notamment en matière de sécurité et de protection des données personnelles, pourrait en outre permettre aux utilisateurs d’effectuer une sélection avisée des objets ou applications connectés.

Loin d’être un paradoxe, la protection des données personnelles doit aller de pair avec l’utilisation d’objets et applications connectés. Il est même à parier que dans un marché hautement concurrentiel, les objets connectés qui survivront seront ceux qui auront su gagner la confiance du public et présenteront le plus de garanties en matière de respect de la vie privée et de sécurité.

Pour lire l’article d’Olivia Luzi du 13 mai 2015 pour CIO Online.

Autres publications