RGPD IoT
9 janvier 2018

Les enjeux du RGPD pour l’IoT !

Si le marketing des bases de données explose, l’air du big data n’en est pourtant qu’à son balbutiement… Les protections du consommateur se devaient d’évoluer avec son temps et la mise en application du RGPD vient bouleverser les entreprises et startups de demain, d’autant plus, dans le secteur de l’IoT où la donnée est reine ! Pourquoi ce règlement général sur la protection de nos informations personnelles se révèle être un enjeu crucial ? Comment ? Pour qui ? Marie-Pierre L’Hopitalier, avocat associé responsable du département propriété intellectuelle et digital chez Parthema, nous éclaire sur les enjeux.

Le RGPD, c’est quoi ?

Le Règlement Général sur la Protection des Données (RGPD) désigne le nouveau texte de référence européen en matière de protection des données personnelles et « c’est une réforme que l’on peut considérer comme une vraie révolution » précise Marie-Pierre L’Hopitalier.

Pour resituer le cadre, nos données personnelles étaient jusqu’à maintenant protégées par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. D’une manière générale, les entreprises devaient déclarer auprès de la CNIL lorsqu’elles gardaient des informations sur un individu dans leur base de données. Désormais, la façon de les considérer et de les utiliser va complètement changer.

Bien que le RGPD existe depuis 2016, le texte sera en application à partir du 25 mai 2018 et les déclarations auprès de la CNIL auront disparu. Les entreprises doivent désormais s’autoréguler, être au clair sur les données possédées et faire en sorte que les conditions du traitement qu’elles souhaitent réaliser soient conformes aux principes posés en particulier en terme de sécurité des données. .

Même si le RGPD est d’application directe, la France s’apprête à opérer un toilettage de son droit, afin de mettre à jour certains textes, le législateur européen ayant laissé pour certaines matières une certaine marge de manœuvre aux États membres.

Les données privées, l’or noir du numérique

La définition paraît au premier abord quelque peu complexe… « Les données évoquées sont celles à caractère personnel et non brutes (comme la météo), mais il ne s’agit pas non plus de données personnelles anonymisées utilisées, par exemple, dans le cadre de statistiques. »

Si l’adresse IP, MAC, la voix, le numéro de sécurité sociale ou le visage sont étiquetés donnés à caractère personnel, ce n’est en général pas la nature de la donnée qui entre en jeu, mais avant tout le traitement que l’entreprise va en faire.

« La localisation d’une maison individuelle, peut par exemple, devenir une donnée à caractère personnel si je la croise avec d’autres informations. À l’inverse, une base de données de noms patronymiques communs et portés par un grand nombre de personnes sur toute la France ne rentre pas dans le cadre, car il est impossible de reconnaître un M. Martin d’un homonyme. »

Avoir le consentement de la personne reste un véritable sésame pour les entreprises et pour le citoyen. Mais, il existe également d’autres fondements comme le contrat ou encore l’intérêt légitime. Aussi, au-delà du recueil du consentement des personnes, cette réforme introduit une attention particulière concernant le profilage, les directions marketing n’ayant que quelques mois pour se mettre en règle.

Selon notre experte, la CNIL va donc se transformer pour passer d’un organisme réglementaire à une institution de contrôle amenée à donner des conseils et recommandations et aussi, infliger des sanctions administratives.

Si elle a communiqué sur son intérêt pour les données de santé et financières, un e-commerçant sujet à de multiples plaintes ne sera pas à l’abri d’un contrôle dès 2018. Les amendes pourraient atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.

RGPD - IoT

Marie-Pierre L’Hopitalier, avocat associé responsable du département propriété intellectuelle et digital chez Parthema

De nouvelles contraintes pour le secteur de l’IoT

Les porteurs de projet IoT se voient forcément impactés. Ils doivent en particulier prendre en compte un principe du RGPD, appelé « Privacy by design » qui suggère de considérer le traitement des données personnelles dès le début de la construction de la base de données. Des questions doivent se poser en amont de tout projet IoT, souligne Mme l’Hopitalier.

« Les données sont-elles bien protégées ? Sont-elles minimales ? Autrement dit, n’en collectez-vous pas trop par rapport aux finalités poursuivies ? » c’est l’autre grand principe fondateur : le “Privacy by default” !

Respecter cette réforme avant le 25 mai 2018 implique donc des préalables.

La première étape passe par la réalisation d’un audit du type de données que l’on possède et des traitements que l’on en fait. Comment sont-elles collectées ? Utilisées ? Interrogées ? C’est indispensable, bien que quelque peu fastidieux, précise l’avocate.

S’ensuit une phase d’auscultation de la base de données pour effacer les informations inutiles.

La mise en place d’un registre des traitements permettra de délimiter les différentes personnes ayant accès à la base de données et de vérifier la licéité de son traitement. Y a-t-il contrat ? Une autorisation ? Un intérêt légitime à posséder ces données ? L’objectif étant d’avoir le maximum de fondements juridiques assurant une protection aux yeux de la loi.

La protection des utilisateurs en ligne de mire

Concernant en particulier le monde de l’IoT, le RGPD prévoit l’exercice direct de certains droits, tels que des droits d’information, d’accès, de rectification, d’effacement des données et le fameux droit à la portabilité.

Les entreprises devront anticiper sur les différentes étapes de traitements des données en visant le résultat à atteindre sans que les moyens pour l’atteindre ne leur soient imposés. Un contrôle a posteriori restant en vigueur.

Ainsi les fabricants et les concepteurs IoT devront penser à l’impact que le traitement des données pourrait avoir sur la vie privée des utilisateurs et mettre en place des « cahiers de développement » faisant état de toutes les mesures de protection des données de l’utilisateur, ce durant toutes les phases de création et développement de l’objet. Il faut par ailleurs intégrer d’emblée la notion de service auquel un objet connecté est souvent lié, et donc penser son usage en respectant le concept de Privacy by design.

La traçabilité des données devra également être garantie par des mesures techniques et organisationnelles adéquates. En cas de dysfonctionnement, les fabricants devront en informer la CNIL voire même dans certains cas, les personnes concernées elles-mêmes et ce, dans les 72 heures.

Le RGPD prévoit également que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir du responsable du traitement et/ou de son sous-traitant la réparation du préjudice subi, une responsabilité solidaire liant les responsables de traitement et leurs sous-traitants… Mais contrairement à d’autres produits dont les non-conformités ou les vices cachés sont traités en demandant le rapatriement des objets en cause (ex : une voiture), la fuite de données causée par une faille de sécurité d’un objet connecté est irrécupérable. Cette mise en situation révèle exactement combien la sécurité des données est fondamentale dans un projet IoT.

Marie-Pierre L’Hopitalier et Emmanuelle Leclerc

Marie-Pierre L’Hopitalier et Emmanuelle Leclerc