La sécurisation de l’IoT : un enjeu majeur du RGPD

L’IoT (Internet of Things), n’échappe pas aux exigences du RGPD (Règlement Général pour la Protection des Données). La mise en conformité des objets connectés avec ce règlement européen, entré en vigueur il y a près de six mois, constitue un enjeu de taille, permettant notamment de retrouver la confiance des consommateurs vis-à-vis des objets connectés.

Sécuriser les objets connectés : un véritable challenge

Avec l’IoT et les objets connectés, la relation client ne connaît plus de limite, les utilisateurs étant en permanence connectés. Une connexion en continu qui représente pour les entreprises une véritable mine d’or en termes de données sur les préférences des consommateurs, leurs activités et leurs comportements, permettant aux sociétés de développer des stratégies commerciales adaptées. Le monde ultra-connecté de l’IoT ouvre donc un large champ d’innovation pour les entreprises, ce qui ne va pas sans une certaine méfiance des consommateurs vis-à-vis d’éventuelles atteintes à leur vie privée. Selon une enquête BVA pour Syntec Numérique, 12 % des sondés considèrent comme « un danger » l’utilisation des objets connectés « permettant de recueillir et d’analyser des informations personnelles et confidentielles ».

Encadrer correctement et gérer de manière vertueuse les données personnelles collectées par les objets connectés est donc un défi de taille pour le monde de l’IoT, tant en matière de sécurité que de confidentialité. L’adoption du RGPD en mai 2018 a renforcé les droits des citoyens européens quant à l’utilisation et la protection de leurs données personnelles. Un bien nécessaire, étant donné les vastes ensembles de données utilisateurs collectés par les objets connectés : assistants sportifs, équipement de santé connectés, objets personnels de fitness, capteurs de consommation, capteurs électroménagers et domotiques, etc. Désormais, tous sont soumis aux exigences du Règlement Général pour la Protection des Données. La mise en conformité de l’IoT avec ce règlement, enjeu de taille pour les équipes R&D des entreprises, a engendré la remise en question de la conception et de la sécurisation des objets connectés, mais également les processus internes de collecte et de protection des données utilisateurs. Si ces outils ne sont pas suffisamment sécurisés et ne protègent pas correctement les données captées, alors leur échec commercial est quasiment garanti.

IoT et RGPD : concevoir les objets connectés différemment

L’entrée en vigueur du RGPD a poussé les entreprises à appliquer le concept de “privacy by design”, qui consiste à prendre en compte plusieurs normes de confidentialité et de sécurité dès la conception même des produits. C’est notamment à ce stade que les équipes R&D jouent un rôle primordial, en tenant compte, dès les prémices d’un projet, de la protection des données à caractère personnel. Le but étant d’anticiper l’impact de ce traitement sur les données collectées par les objets connectés, lesquels peuvent impacter la vie privée des utilisateurs.

Avec l’adoption du Règlement Général sur la Protection des Données, les concepteurs d’un produit ou service doivent désormais identifier et adopter de manière systématique les mesures nécessaires à la protection des données utilisateurs, et ce tout au long de leur cycle d’utilisation : du chiffrement à l’identification sécurisée, en passant par l’anonymisation et le pare-feu, etc. Un travail de recherche particulièrement complexe, étant donné qu’un objet connecté est la plupart du temps lié à un service ou une plateforme, le plus souvent hébergée dans le Cloud, ou bien à une connectivité réseau. Une mise en conformité avec les exigences du RGPD, qui doit s’appliquer à l’ensemble des fournisseurs impliqués dans le cycle des données personnelles, à savoir dans la collecte, le stockage et le traitement de ces informations utilisateurs. Un vaste travail qui ne se limite pas à l’IoT puisque le développement d’applications est également contraint par les règles du RGPD portant sur les droits des utilisateurs relatifs à leurs données : accès, modification, portabilité, droit à l’oubli, etc. L’entreprise se mettant en conformité avec le RGPD suit donc un véritable parcours d’optimisation progressif et continu, ayant pour conséquence une meilleure conception des services et technologies ainsi qu’une sécurité renforcée.

La gestion des données personnelles : un enjeu primordial

Les entreprises qui développent ou utilisent des objets connectés en interne doivent, depuis l’entrée en vigueur du RGPD, gérer convenablement les données personnelles collectées de manière à assurer leur sécurité, leur collecte et transformation, en accord avec les principes du règlement européen. Où sont stockées ces données privées et sensibles ? À qui en incombe la responsabilité ? Des questions auxquelles il n’est pas aisé de répondre, notamment à cause de la dispersion de données entre différentes plateformes ou entités.

Des questionnements qui s’appliquent tant aux équipes R&D en charge de concevoir des produits connectés qu’aux différents services qui utilisent en interne l’IoT. Il devient donc primordial d’identifier de manière exacte le chemin suivi par les données personnelles traitées, mais également de se pencher sur leurs conditions d’hébergement et de sécurisation. La mise en conformité avec le RGPD exigeant le rapprochement de l’ensemble des données stockées, y compris celles issues de l’IoT. L’entreprise pourra ainsi jouir d’une vision unifiée des profils de ses utilisateurs.

Un travail devant être effectué par les équipes R&D, en collaboration avec le DPO (Data Protection Officer) et en se basant notamment sur des outils et méthodes de gestion de la donnée permettant d’aboutir à une vue d’ensemble, tel que le Master Data Management. Une technologie innovante permettant d’optimiser l’interaction et la synchronisation des bases de données du SI, offrant une information cohérente et unique, partagée dans toute l’entreprise.

L’impact le plus important du RGPD sur l’IoT étant de passer d’un contrôle a posteriori, à un état d’esprit basé sur la notion de “privacy by design”, effectué en autorégulation par les entreprises développant des objets connectés. Une autorégulation qui place la responsabilité des entreprises au cœur de la réussite du projet RGPD et qui permettra au monde de l’IoT de gagner durablement la confiance des utilisateurs.

0 réponses

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire