Réglementation et sécurité : quelles évolutions et enjeux juridiques pour l’IoT ?

Réglementation et sécurité : quelles évolutions et enjeux juridiques pour l’IoT ?

L'Internet des objets, ou l'IoT1, n’est pas un phénomène virtuel mais une réalité pour la vie économique et sociale puisque ces objets devraient être au nombre d’environ 50 milliards dans le monde d'ici 20202.

Il est important de rappeler que l’Internet des objets est un concept représentant l’expansion du réseau Internet à des objets et/ou des lieux du monde physique. Il est défini comme « un réseau de réseaux qui permet, via des systèmes d’identification électronique normalisés et unifiés, et des dispositifs mobiles sans fil, d’identifier directement et sans ambiguïté des entités numériques et des objets physiques et ainsi de pouvoir récupérer, stocker, transférer et traiter, sans discontinuité entre les mondes physiques et virtuels, les données s’y rattachant3 ». Les objets connectés créent d’immenses perspectives de création de valeur et des perspectives en matière, par exemple, d'aménagements urbains, de gestion du trafic, de la consommation énergétique grâce à des compteurs intelligents et à des traitements algorithmiques des données.

C’est pourquoi, il est indispensable de connaître la réglementation qui doit s’appliquer à l’Internet des objets qui pose de nouveaux défis juridiques que les entreprises doivent surmonter. En effet, les objets connectés peuvent être la cible de cybercriminels car ils recèlent de nombreuses données personnelles très convoitées comme des données de santé4, par exemple.

Les cyberrisques introduits dans la sphère des entreprises avec l'Internet des objets doivent inciter leurs dirigeants à modifier leur stratégie en matière de cybersécurité notamment en application des nouvelles réglementations issues du règlement général de la protection des données personnelles et de la directive NIS récemment adoptée.

Les objets connectés protégés comme système de traitements automatisés de données (STAD)

La récente cyberattaque dont a été victime l’opérateur OVH pose clairement la question des réponses juridiques à apporter face à la vulnérabilité des objets connectés car, dans ce cas, il s’est agi d’une attaque sans précédent sur 145 607 caméras de surveillance5, objets connectés par excellence.

Si la notion même d'objet connecté n'est pas spécifiée dans notre droit actuel, on peut cependant affirmer qu’un objet connecté est en réalité un système de traitement automatisé de données (STAD), notion ancienne issue de la loi dite Godfrain de 1988 mais qui a très bien survécu au temps.

Le droit pénal peut donc s'appliquer dans le cas de cyberattaques qui viseraient l'IdO. Le Code pénal ne prévoit pas d'infraction spécifique aux objets connectés et il n'existe pas, de manière générale, de dispositions spécifiques à ces innovations. L'article 323-1 du Code pénal, qui prévoit l'interdiction de l'accès ou du maintien frauduleux dans tout ou partie d'un système de traitement automatisé de données, peut s’appliquer en l’espèce.

L'article 323-2 du Code pénal sanctionne le « fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données ». Cette disposition pourra trouver à s'appliquer dans le cadre de dépôt de virus, chevaux de Troie et autres bombes logiques dans le système d'information de l'IdO.

Ce texte sanctionne l'introduction sans titre ni autorisation dans un service quelconque du réseau pour, par exemple, perturber les dispositifs de sécurité ou fausser le fonctionnement du système. Les actes cybercriminels pourront également être réprimés sur le fondement de l'article 323-3 du Code pénal qui prévoit l'interdiction de l'introduction frauduleuse de données dans un système de traitement automatisé, de l'extraction, de la détention, de la reproduction, de la transmission, de la suppression ou de la modification frauduleuse des données qu'il contient. L'installation d'applications parasites au sein du réseau de l'IdO pourra par exemple être sanctionnée sur ce fondement

Les objets connectés concernés par le règlement général de la protection des données

Le règlement (UE) n° 2016/679 en date du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, s'appliquera directement à partir du 25 mai 2018. Il précise et clarifie la notion de données personnelles incluant désormais non seulement les identifiants en ligne, les données de géolocalisation des individus mais aussi les adresses IP, ce qui avait été contesté par la Cour de cassation.

Il met à la charge du responsable du traitement une obligation de sécurité du traitement. Ce dernier doit ainsi garantir un niveau de sécurité adapté aux risques, notamment avec des mesures techniques et organisationnelles appropriées.

Il peut s'agir de pseudonymisation et de chiffrement des données à caractère personnel ; des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; ou encore une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. Le responsable de traitement a en outre l'obligation de notifier la violation de données à caractère personnel à l'autorité de contrôle compétente, c’est-à-dire en France à la CNIL6. Les concepteurs d'objets connectés collectant des données à caractère personnel devront donc se soumettre à ces obligations accrues en matière de sécurité.

Les “CNIL” nationales pourront prononcer des sanctions pouvant atteindre 20 000 000 d'euros ou 4 % du chiffre d'affaires annuel global de l'entreprise.

Le principe de Privacy by Design

En l’état du droit actuel, avant la mise en œuvre du règlement, l'article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prévoit déjà que « le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Les opérateurs économiques vont se voir imposer une obligation de protéger la vie privée dès la conception, obligation communément désignée par l'expression Privacy by Design ; il s’agit d’intégrer la protection des données dès la conception des systèmes et des technologies informatiques et implique notamment que les développeurs s’imposent de ne pas recueillir de données sans lien avec le service rendu. Le règlement met à la charge des responsables de traitement une obligation d'anticipation de tous les risques liés au traitement de données à caractère personnel via l'adoption de mesures techniques et organisationnelles en amont de tout projet.

Les entreprises sont incitées à intégrer la protection des données dès la conception des outils techniques et favoriser des approches par analyse de risques pour la mise en place des mesures de sécurité, c’est-à-dire à promouvoir la Privacy by Design 7. Ces approches permettent d’adapter les mesures de sécurité aux risques réels8. Il désigne le fait. Il s’agit d’une application du principe de proportionnalité qui vise à limiter le type et la quantité de données collectées dès la conception des systèmes informatiques mais ce principe est complexe dans sa mise en œuvre9.

Le principe d’accountability 

Ce principe implique que le responsable du traitement de données personnelles doit veiller à la conformité de chaque opération de traitement et en apporter la preuve ; le règlement instaure sa responsabilité. Dans les entités publiques et dans les entreprises traitant des données personnelles à une échelle importante, ce responsable sera un DPO (Data protection officer), qui va remplacer, en France, le correspondant informatique et libertés ou CIL.

L’usage des objets connectés va aussi amener à interroger le droit de la responsabilité. Certains enjeux impliquent les accords contractuels en matière d’objets connectés, notamment en matière de champs de responsabilité10. C’est pourquoi une réglementation spécifique aux objets connectés n’est pas à exclure au plan au moins européen à l’avenir.

1 De l'anglais Internet of Things,
2 V. d'une manière plus générale, M. Touchard, Nous aurons à l'aube de 2020 près de 50 milliards d'objets connectés, une tendance à ne pas ignorer – 3 Questions à Me Thierry Piette-Coudol : JCP G 2015, 461
3 Source : Pierre Jean Benghozi, Sylvain Bureau et Françoise Massit-Folléa, L’Internet des objets. Quels enjeux pour l’Europe ?, janvier 2012, edition MSH
4 CNIL, Quantified self, m-santé : le corps est-il un nouvel objet connecté ? 28 mai 2014 : www.cnil.fr ; Comm. com. électr. 2014, alerte 49, note F. Meuris
5  http://www.mag-securs.com/news/articletype/articleview/articleid/34890/piratage-d-ovh-de-la-vulnerabilite-des-objets-connectes.aspx
6 Commission nationale de l'informatique et des libertés
7  Respect de la vie privée dès la conception ; voir C. Zolynski La Privacy by Design appliquée aux Objets Connectés : vers une régulation efficiente du risque informationnel ? –– Dalloz IP/IT 2016. 404
8  http://www.objetconnecte.com/cloud-security-alliance-guide-111016/
9 M ; Dary – L. Benaissa Privacy by Design : un principe de protection séduisant mais complexe à mettre en œuvre –– Dalloz IP/IT 2016. 476 https://www.inhesj.fr/sites/default/files/fichiers_site/les_publications/les_travaux_des_auditeurs/securite_objets_connectes.pdf
10  http://www.feral-avocats.com/fr/publication/objets-connectes-et-protection-des-donnees-personnelles-le-paradoxe

PrécédentAccueilSuivantPartager