De grandes opportunités, mais également quelques défis

L’Internet of Things (IoT), c’est-à-dire le phénomène des objets connectés via Internet, est l’une des nouveautés dans le secteur informatique (après le Cloud et le Big Data) qui attire l’attention de nombreuses personnes, y compris des professionnels de l’informatique, des utilisateurs et des juristes.

food-in-a-tablet

Mais de quoi s’agit-il? En bref, le terme couvre les « objets intelligents », à savoir les appareils avec une technologie intégrée qui permet la collecte de données et la communication des informations collectées à l’utilisateur de l’appareil ou à d’autres appareils et individus.

Ces appareils connectés sont, par exemple, un réfrigérateur qui envoie la liste des courses au magasin, une voiture qui se conduit elle-même, une montre qui collecte les données de santé de son porteur et les envoie au médecin de ce dernier ou encore un smartphone qui donne la possibilité de régler le chauffage, la lumière… à distance. Tous ces objets collectent, stockent et envoient des données via Internet.

Les avantages d’utiliser les objets connectés sont nombreux. La collecte de données de santé dans l’exemple ci-dessus peut améliorer le traitement du patient. Par ailleurs, on peut imaginer une réutilisation des données à des fins de recherche scientifique. La possibilité de régler son chauffage à distance pour avoir la bonne température en rentrant chez soi est sans doute agréable et confortable.

A côté de ses avantages, l’IoT représente aussi quelques défis. L’utilisation de ces appareils intelligents déclenche de nombreuses questions juridiques, entre autres:
  • contractuelles ou de responsabilité (par exemple: qui est responsable en cas d’accident d’une voiture conduite sans l’intervention d’un chauffeur dans l’exemple cité ci-dessus?) ;
  • réglementaires (un appareil qui collecte des données de santé sera-t-il également qualifié d’appareil médical et devra-t-il dès lors être conforme aux règles spécifiques de ce secteur?) ;
  •  

    de normalisation (par exemple le chan-gement de prestataire de services et la possibilité de transférer les données à un nouveau prestataire nécessitent l’utilisation de techniques compatibles par l’ancien et le nouveau prestataire); et
  •  

    de sécurité (notamment la prévention de l’accès aux données par des personnes non autorisées).
En outre, lorsque l’appareil collecte des données permettant l’identification directe ou indirecte d’une personne (c’est-à-dire des données personnelles), la législation sur la protection des données entre en jeu. Dans le cadre légal actuel, le responsable du traitement de données, c’est-à-dire la personne qui détermine les finalités et les moyens du traitement (par exemple l’utilisation, le stockage ou le transfert des données) est tenu de se conformer à la législation applicable en matière de protection de données.lorsque

 

Les obligations du responsable du traitement

Lorsque le responsable du traitement est établi sur le territoire luxembourgeois ou lorsque le responsable établi hors de l’Union européenne utilise un équipement situé sur le territoire luxembourgeois, la législation luxembourgeoise sur la protection des données, et notamment la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel (la loi DP) s’applique. Dans le cas de l’IoT, le responsable du traitement peut, par exemple, être le fabricant de l’objet connecté et/ou le développeur des applications installées sur un objet connecté.

Les obligations du responsable du traitement incluent, entre autres, que les données personnelles ne peuvent être traitées que sur base de motifs légitimes qui sont limitativement prévus par la loi DP. Les principaux motifs légitimes dans le cas d’un traitement de données impliquant un objet connecté seraient la nécessité de ce traitement pour l’exécution d’un contrat conclu avec la personne concernée, le consentement de cette personne ou l’intérêt légitime du responsable du traitement (à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée).

Obtenir un consentement valable (qui doit être libre, informé et spécifique) pour le traitement peut représenter un véritable défi dans l’environnement de l’IoT. Un consentement spécifique devrait en fait être obtenu pour chaque traitement afin de permettre à la personne concernée de contrôler les traitements de ses données. Dans l’exemple de la montre qui collecte des données de santé, il faudrait donc un consentement pour le partage des données avec le médecin traitant et un consentement pour la future utilisation des données à des fins de recherche scientifique.

Une autre obligation incombant au responsable est de protéger les données contre un accès illicite ou toute autre forme illicite de traitement. En raison de la nature des appareils (taille, capacité de la batterie, etc.), les fabricants doivent trouver un équilibre entre la sécurité et les performances de l’appareil. En pratique, il peut arriver que certains fabricants préfèrent offrir des fonctionnalités additionnelles au détriment de mesures de sécurité renforcées.

Si l’objet connecté ou l’application installée sur l’objet collecte également des données de géolocalisation, c’est-à-dire des données qui permettent de localiser l’utilisateur de l’objet connecté ou de l’application en question, des contraintes complémentaires s’appliquent. En effet, la collecte de telles données est qualifiée de « surveillance » au sens de la loi DP, qui définit la surveillance de façon très large comme « toute activité qui, opérée au moyen d’instruments techniques, consiste en l’observation, la collecte ou l’enregistrement de manière non occasionnelle des données à caractère personnel d’une ou de plusieurs personnes, relatives à des comportements, des mouvements, des com-munications ou à l’utilisation d’appareils électroniques et informatisés ». Une telle surveillance ne peut être mise en œuvre que dans les conditions spécifiées par la loi DP. Ces conditions comprennent notamment que la personne concernée ait donné son consentement libre, informé et spécifique, et qu’une autorisation préalable de la part de la Commission Nationale pour la Protection des Données (CNPD) ait été obtenue. Cette exigence est une particularité luxembourgeoise qui ne découle pas directement de la législation européenne transposée par la loi DP (à savoir la directive 95/46/CE).

En outre, les acteurs de l’environnement de l’IoT devraient appliquer à tout traitement de

Dr Catherine Di Lorenzo PP/TMT Senior Associate Allen & Overy
Dr Catherine Di LorenzoPP/TMT Senior Associate Allen & Overy

données personnelles les principes de Privacy by Design, c’est-à-dire tenir compte de la protection de la vie privée dès l’entame d’un projet, et de Privacy by Default. Par ce terme, on entend le principe que l’objet ou l’application doit être paramétré(e) par défaut de façon à protéger la vie privée de ses utilisateurs. Finalement, la minimisation des données (ne collecter et conserver les données que si nécessaire) et la maîtrise du traitement de ses données par la personne concernée (notamment par une information claire et intelligible et un consentement granulaire) doivent également être assurées.

L'IoT présente de superbes avantages et opportunités, mais tout projet d'IoT doit être bien pensé afin d’assurer que les exigences légales et réglementaires soient respectées.