Juridique

Le contexte concurrentiel atténue le paradoxe entre objets connectés et sécurité

Olivia Luzi, Avocat associé cabinet Féral-Schuhl / Sainte-Marie. Photo : Bruno Lévy.

Retrouvez cet article dans le CIO FOCUS n°99 !

La sécurité des données personnelles à l'heure des objets connectés

Les objets connectés envahissent de plus en plus notre quotidien. La montre ou le gadget de surveillance pseudo-médicale sont certes les objets auxquels on pense spontanément. Mais il ne faut pas oublier d'autres objets, de l'automobile au compteur d'énergie communiquant, aux enjeux bien plus...

Découvrir

Le 19 mai 2015, CIO a organisé une matinée stratégique « Sécurité : des données personnelles aux objets connectés, les nouveaux défis des RSSI ». Olivia Luzi, Avocat associé cabinet Féral-Schuhl / Sainte-Marie, y a apporté son expertise.

Publicité« Le sujet des objets connectés ne concerne pas encore tout le monde mais devrait toucher un nombre beaucoup plus important de personnes dans les années à venir ». Sans pour autant jouer la Cassandre, Olivia Luzi, Avocat associé du cabinet Féral-Schul / Sainte-Marie, a directement posé le débat en montant sur la scène de l'événement CIO Sécurité qui se déroulait le 19 mai 2015. Elle le rappelle, les statistiques font état de 15 milliards d'objets connectés aujourd'hui mais estime que leur nombre passera à 80 milliards d'ici 2020.
« Si leur intervention est, pour l'instant, peu présente dans le monde de l'entreprise, la logique de l'internet des objets se répand de manière très conviviale à travers les smartphones, les bracelets ou encore les montres qui vont collecter de nombreuses données sur votre environnement. Nous l'avons vu, certains comme Direct Assurance commencent à se baser sur ces données pour proposer des contrats automobiles personnalisés en fonction des kilomètres parcourus et de la conduite », résume la juriste. Elle ajoute que toutes ces données, une fois assemblées, permettent de résumer l'activité des personnes utilisant les objets, et de la partager avec une forte dimension sociale.

Des avantages commerciaux sont également mis en avant comme dans les centres commerciaux qui peuvent vous envoyer des notifications en fonction de votre position dans le magasin. « Derrières ces aspects pratiques et conviviaux, nous avons malheureusement tendance à oblitérer les risques induis par l'utilisation des objets connectés qui échangent en permanence des informations sur les réseaux », constate toutefois Olivia Luzi.
Pour elle, les risques principaux portent sur les failles de sécurité et le détournement des données. « Si ces données touchent à votre santé, les risques sont multipliés, quelques soient les personnes qui les récupèrent, aussi bien des assureurs que des pirates », enchérit l'avocate. La perte pure et simple du contrôle des données est aussi à surveiller. « Quand vous acceptez de partager un certain nombre d'informations sur les réseaux sociaux, différentes instances peuvent facilement se livrer à du profilage en les recoupant », précise Olivia Luzi.
Elle appuie également sur la prépondérance des compagnies d'assurances dans ce domaine. Elle raconte : « Axa, en partenariat avec WeThings, a organisé un concours afin d'offrir aux souscripteurs d'une certaine offre des bracelets connectés pour réaliser certains challenges. Or les conditions générales du concours prévoient que WeThings sera le seul propriétaire des données qui seront détruites dès la fin de l'événement ». Sauf qu'en creusant un peu, il s'avère que les utilisateurs doivent réclamer leurs lots directement auprès d'Axa et que par ce biais, l'assureur va identifier certaines informations sur les assurés. « Ce transfert d'informations n'est pas clairement stipulé dans les conditions du règlement. Je ne dis pas qu'Axa va utiliser ces données pour faire du profilage mais la compagnie aurait pu être plus transparente », tranche Olivia Luzi.

PublicitéLes entreprises encore peu concernées

La question qui se pose aujourd'hui reste que les données personnelles ne sont pas encore au coeur des préoccupations des entreprises. « Ces dernières viennent souvent nous voir pour des audits CNIL afin de vérifier que les traitements et la sécurité des données sont en conformité avec la Loi Informatique et Libertés », explique la juriste. Pour elle la question est donc de voir si le cadre juridique apporte des garanties suffisantes et s'il y a des axes d'amélioration possibles pour l'avenir.
Pour commencer elle note que la Loi Informatique et Libertés ne s'applique pas dans tous les cas. « Logiquement, les responsables de traitement des données, qu'ils soient basés en France ou à l'étranger doivent être soumis à cette loi. Mais dans les faits, quand ils sont installés dans des pays exotiques, vous avez le plus grand mal à la faire appliquer », explique Olivia Luzy. Elle revient également sur la transparence imposée par la Loi Informatique et Libertés. « Personnes ne peut récolter vos données à votre insu et il faut qu'elles soient pertinentes avec la finalité du traitement. La durée de conservation des informations doit également être en accord avec cette finalité », précise la juriste.

Sur l'aspect sécurité informatique, la Loi Informatique et Libertés prévoit également un certain nombre de dispositions à charge des responsables de traitement et des sous-traitants. « Les moyens mis en oeuvre doivent être proportionnels à la criticité des données pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès », détaille Olivia Luzi.
Elle revient sur l'incident qui avait touché Orange à l'été 2014. « La CNIL avait alerté sur le fait que même si la faille ayant entraîné la fuite était le fait du sous-traitant, le responsable de traitement aurait dû mener un audit de sécurité pour éviter l'incident », rappelle-t-elle.
En plus de la CNIL il va falloir en outre composer avec le règlement européen qui devrait être mis en place d'ici la fin de l'année 2015. Les données de santé sont également visées par la dernière Loi Santé qui exige des certifications strictes pour leur traitement et leur hébergement. L'avocate revient également sur la question du CIL. « Il a un intérêt pour être dispenser des déclarations de traitements mais il est toutefois tenue de remplir des autorisations et d'obtenir un accord de la CNIL avant que ne soit lancée l'opération », rappelle Olivia Luzi.

Jusqu'à 100 M€ d'amende

Les sanctions de cette autorité administrative indépendante ne sont pas non plus à négliger. Les amendes peuvent aller jusqu'à 300 000 euros pour une personne physique et 1,5 million d'euros pour une personne morale. En outre, des sanctions pécuniaires de 150 000 euros peuvent être prises en cas de certains manquements. « Cette somme n'est pas forcément très dissuasive mais ces sanctions vont être considérablement renforcées avec l'arrivée du règlement européen et devraient devenir beaucoup plus dissuasives », met en garde la juriste. Elles pourraient être calculées en fonction du chiffre d'affaires et s'élever jusqu'à 100 millions d'euros.

« Dans les axes d'améliorations que nous pouvons identifier, il y a notamment la sensibilisation des personnes », enchaîne Olivia Luzi. C'est un fait, les gens ont tendance à partager de nombreuses informations sans se douter de l'utilisation qui peut en être faite. « Il va également falloir compter avec la démocratisation du privacy by design qui permet justement de limiter les risques dès la création des applications et le privacy by default qui assure un paramétrage de la sécurité à un niveau maximal, contrairement à ce qui se fait actuellement », poursuit la juriste.
Olivia Luzi évoque également la mise en place de normes et de labels pour indiquer aux consommateurs quelles sont les applications les plus respectueuses de la vie privée et de la protection des données personnelles. « A mon sens, il n'y a pas de paradoxe entre l'essor des objets connectés et le souhait de protéger ses données personnel. Dans un monde très concurrentiel, les applications et les objets qui vont être utilisés par le plus grand nombre devront respecter ces objectifs et montrer au grand public qu'ils sont respectueux de leur vie privée », conclut Olivia Luzi.