RGPD et IoT : quels sont les enjeux ?
Tout d’abord, rappelons ce qu’est le RGPD et pourquoi il impacte les objets connectés. Le Règlement Général sur la Protection des Données (RGPD) vient protéger nos données personnelles, qui jusqu’ici l’étaient par la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés. Le grand changement apporté par cette nouvelle législation européenne est que désormais les entreprises doivent s’autoréguler, c’est-à-dire être transparentes sur les données personnelles qu’elles possèdent et faire en sorte que leur traitement respecte les conditions du RGPD, en particulier en ce qui concerne leur sécurité.
Les objets connectés, qui fonctionnent grâce aux données personnelles de leurs utilisateurs, se voient de fait impactés par le RGPD. Les porteurs de projets IoT notamment, qui doivent intégrer le principe de “Privacy by design” imposé par le RGPD. Ce principe suggère de prendre en compte le traitement des données personnelles dès le début de la construction d’une base de données. En amont de tout projet IoT, plusieurs questions se posent donc : les données sont-elles bien protégées ? Ont-elles étaient collectées de manière minimale ? Comment ont-elles été collectées et utilisées ? Ce travail, bien que fastidieux, est réellement indispensable pour être en conformité avec le RGPD. Suite à ces questions, la base de données sera auscultée afin que les informations inutilement collectées en soient effacées.
Tenir un registre de traitement des données s’avère également indispensable pour les porteurs de projets IoT. Celui-ci permettra de définir quelles personnes ont accès à la base de données et permettra à la CNIL -autorité en charge du respect du RGPD– de s’assurer de la licéité du traitement de données.
Les enjeux pour le secteur des objets connectés sont donc multiples. Outre le fait de devoir se mettre en conformité avec les principes du RGPD, sous peine d’être sanctionnés financièrement, les porteurs de projets IoT doivent gagner la confiance de leurs utilisateurs en respectant leurs données personnelles collectées. En effet, une fuite de données personnelles s’avèrerait profondément néfaste vis-à-vis de la confiance des utilisateurs.
La protection des utilisateurs d’objets connectés renforcée
Le monde de l’IoT se voit également impacté par les principes fondamentaux du RGPD en ce qui concerne l’exercice de certains droits. Les utilisateurs peuvent notamment demander des droits d’information, d’accès, de rectification, de portabilité, mais également d’effacement définitif de leurs données personnelles. Les entreprises doivent donc anticiper les différentes étapes de traitement des données afin de s’assurer que leurs applications connectées respectent bien les principes du RGPD.
Ainsi, les concepteurs d’IoT doivent mettre en place des “cahiers de développement” de manière à penser en amont à l’impact qu’un traitement de données pourrait avoir sur la vie privée des utilisateurs. Ces cahiers doivent faire état de l’ensemble des mesures de protection des données utilisateurs, et ce durant chaque phase de création et de développement de l’objet connecté. Par ailleurs, il faut impérativement penser l’usage d’un objet IoT en respectant le concept de Privacy by Design et donc en intégrant d’emblée la notion d’usage de l’objet, de manière à ne collecter que les données nécessaires.
Des mesures techniques et organisationnelles adéquates devront également être entreprises afin d’assurer la traçabilité des données. En cas de fuite de ces dernières, les fabricants ont l’obligation d’en informer la CNIL ainsi que les utilisateurs concernés, et ce dans un délai de 72 heures.
Les concepteurs de projets IoT ont tout intérêt à respecter les principes du RGPD, étant donné que ce texte prévoit également que toute personne ayant subi un dommage moral ou matériel suite à la violation de l’une des règles peut demander la réparation du préjudice au responsable de traitement et/ou son sous-traitant. Cependant, contrairement aux autres produits dont les vices cachés ou non-conformité entraînent le rapatriement des objets en cause, la fuite de données causée par une faille dans un système de sécurité est irrécupérable. La sécurité des données des utilisateurs est donc fondamentale dans tout projet IoT.
Pourquoi vous devez vous montrer vigilant sur vos données
Côté utilisateurs, ces derniers doivent également se montrer vigilant face au manque de transparence de certaines applications, et ce malgré l’entrée en vigueur du RGPD. En effet, bon nombre d’utilisateurs n’ont pas conscience de la quantité des données personnelles collectées par certaines applications, lesquelles sont susceptibles d’être transmises à l’extérieur. Les utilisateurs ne savent pas non plus à quelles fins ces dernières peuvent être utilisées. Pourtant, il faudrait toujours garder en tête qu’un jeu gratuit implique bien souvent une contrepartie de la part du joueur…
Ainsi, de nombreux utilisateurs d’objets connectés et jeux en ligne ont déjà été victimes de préjudices comme un virus, une surfacturation de communications ou encore le piratage d’un de données personnelles. En effet, nombreuses sont les applications malveillantes qui sous prétexte de vous offrir des services gratuits contiennent des virus, ou bien accèdent à des informations dont elles n’ont pas besoin ou encore piratent vos informations bancaires. D’autres applications, qui n’ont pas été conçues dans un but malveillant, peuvent tout de même présenter des failles de sécurité laissant échapper vos données personnelles.
C’est pourquoi les utilisateurs d’objets connectés et autres applications doivent être particulièrement vigilants. Ils doivent notamment éviter d’utiliser des applications non-officielles, développées par des sources inconnues ou encore piratées. Lire les commentaires d’autres utilisateurs au sujet d’une application ou jeu est également une bonne habitude à prendre, avant l’installation sur votre smartphone ou PC. Autre conseil, limiter au maximum le nombre d’informations fournies lors de l’inscription (utiliser un pseudonyme, une adresse mail annexe, etc). Faites également en sorte d’utiliser un mot de passe différent que celui renseigné sur d’autres services en ligne. Il est également judicieux d’éteindre complètement une application lorsque l’on a fini de s’en servir et de la supprimer si elle ne représente plus d’intérêt.
Nous vous conseillons aussi, avant d’installer une application ou jeu, de refuser les permissions non nécessaires. Par exemple, n’autorisez pas l’accès aux contacts ou bien à votre microphone si cela n’est pas utile à l’application. Lorsqu’elle n’est pas nécessaire, pensez aussi à désactiver l’accès à la géolocalisation du smartphone. Sachez que si la géolocalisation est utile au jeu ou application, il est possible d’éteindre cette fonctionnalité par la suite.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!