Guide pratique pour créer votre objet connecté
Selon le cabinet d'études de marché américain IoT Analytics, il y avait 11,7 milliards d'objets connectés à l'échelle mondiale fin 2020.
Les objets connectés sont développés pour des utilisations très diversifiées et sont présents aussi bien dans les domaines industriels et professionnels que sur des marchés grand public de consommateurs.
Voici quelques exemples de domaines d’application des objets connectés :
· La santé : avec un bracelet connecté par exemple, il est possible de réaliser des mesures à domicile et de suivre certaines données de santé, seul ou en collaboration avec un médecin.
· Le sport : il est possible de comptabiliser les kilomètres courus ou marchés et synchroniser ces résultats sur un smartphone ou une tablette.
· Les loisirs et la vie quotidienne : avec les montres connectées, il est possible de recevoir ses emails et SMS, accéder à sa musique ou photos et vidéos, calculer un itinéraire, etc.
· La domotique et la sécurité : les caméras de sécurité permettent par exemple de contrôler le domicile à distance et alertent en cas d'intrusion.
· Les économies d'énergie : les objets connectés permettent de connaitre, régler et optimiser la consommation énergétique.
Mais qu’est-ce qu’un objet connecté ? Comment peut-il être défini ?
La caractéristique technique essentielle des objets connectés est donc leur capacité à se connecter à un réseau de communication, mais également leur capacité à collecter des données en temps réel.
Quels sont donc les enjeux du développement d’un objet connecté et de son utilisation ?
Selon le ministère de l'Economie :
« Le développement des objets connectés expose principalement les consommateurs à deux types de risques : l'utilisation commerciale des données personnelles et le piratage ».
Ainsi, ces risques doivent être pris en compte par les développeurs d’objets connectés que ce soit au regard des exigences de contrôle des utilisateurs sur leur vie privée (information, consentement, exercice des droits, etc.) qu’au regard des potentiels incidents de sécurité et/ou violation de données.
Le corpus de règles applicables à la protection des données à caractère personnel, à savoir notamment le règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 (« RGPD ») et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifié (« Loi informatique et libertés »), a donc naturellement vocation à s’appliquer dès lors que l’utilisation d’objets connectés impliquent des traitements de données à caractère personnel.
Au stade du développement de votre objet connecté, vous devez donc prendre en compte les principes de Privacy by design (I), puis mettre en œuvre les autres principes essentiels de la règlementation en matière de sécurité et de respect des droits des utilisateurs (II).
I. Suivre les principes de Privacy by design
Les principes de la protection des données personnelles doivent être intégrés aux développements informatiques dès les phases de conception afin de protéger la vie privée des personnes concernées par les traitements, de leur offrir une meilleure maîtrise de leurs données et de limiter les erreurs, pertes, modifications non autorisées, ou mauvais usages de celles-ci.
1.1 Effectuer un état des lieux des traitements de données de votre objet connecté
Une fois que vous avez déterminé les caractéristiques de votre produit, il convient d’identifier les typologies de données que vous allez traiter, par exemple :
- Des informations sur l’utilisateur : prénom, date de naissance, genre, adresse électronique, numéro de téléphone
- Des données issues d’une application tierce (Twitter, Facebook, etc.), obtenues par lien avec le compte utilisateur
- Des données relevées grâce à votre objet connecté : textes/messages, sons, images, mouvements, température, humidité, ou encore des journaux d’usage de l’appareil, de l’application mobile et du service en ligne
- Des données calculées à partir des données relevées : réponses aux questions et identification des centres d’intérêts pour aider à la pertinence des réponses ou analyse des usages et publicités ciblées
Attention, des données dites sensibles pourront être identifiées, par exemple si vous collectez la voix (permettant des traitements biométriques) ou des données de mineurs si votre objet connecté est destiné à des enfants.
Dans ce cas, des obligations renforcées devront être appliquées (recueil du consentement exprès de la personne concernée, analyse d’impact obligatoire, procédure d’autorisation auprès de la CNIL etc. suivant les spécificités de votre projet).
Dans un second temps, vous devez déterminer les finalités de vos traitements c’est-à-dire à quoi vont servir les données ainsi collectées. Ces finalités (c’est-à-dire les objectifs de traitement) doivent déterminées, légitimes et explicites. Aussi, il ne sera pas possible d’utiliser les données issues de votre objet connecté pour d’autres objectifs que ceux fixés dans votre registre des activités de traitement et qui auront été communiqués à la personne concernée (dans le cadre de votre obligation d’information).
Le principe de finalités permet également d’évaluer la pertinence des données que vous recueillez – conformément au principe de minimisation, les données doivent être strictement nécessaires, adéquates et pertinentes au regard des finalités – mais aussi de fixer des durées de conservation desdites données – conformément au principe de limitation des durées de conservation, les données ne peuvent pas être conservées indéfiniment.
Par ailleurs, il est très important, au stade de votre projet, d’identifier les prestataires auxquels vous souhaitez confier des traitements de données à caractère personnel (par exemple, votre prestataire d’hébergement) afin d’évaluer leur conformité au RGPD et à la Loi informatique et libertés. En signant avec vos prestataires, un accord de protection des données, vous encadrerez ainsi les traitements confiés et circonscrirez votre responsabilité. Aussi, vous pourrez vous assurer, par exemple en cas de transfert de données en dehors de l’Union européenne, que des garanties appropriées et suffisantes sont mises en place (clauses contractuelles types de la Commission européenne, code etc.)
1.2 Utiliser l’outil méthodologique d’analyse d’impact (AIPD) pour limiter les risques sur la vie privée
L’analyse d’impact relative à la protection des données (« AIPD ») est une méthodologie d’analyse de risque en matière de protection des données à caractère personnel.
Elle peut être obligatoire dans certains cas et reste fortement recommandée dans le cadre du développement de nouveaux projets intégrant par exemple une forte volumétrie de données ou des données sensibles ou ayant des impacts potentiels forts sur les individus car elle permet la construction de vos traitements conformément aux attendus de la règlementation, et ce, dès la conception de celui-ci.
Elle se déroule comme suit :
Elle permet ainsi d’identifier les zones de risques pour la protection des données à caractère personnel et de mettre en place les moyens pour les limiter.
Pour plus d’informations, sur l’analyse d’impact, nous vous invitons à consulter notre article sur le sujet.
La Commission nationale de l’informatique et des libertés (« CNIL ») a d’ailleurs publié un guide d’analyse d’impact dédiée aux objets connectés.
Développer et commercialiser un objet connecté implique de se conformer à d’autres principes essentiels de la règlementation.
I. Respecter les autres principes essentiels de la règlementation
Dans le cadre du Privacy by design, à savoir de la prise en compte de la protection des données dès la conception mais également au stade de la commercialisation de votre objet connecté, vous êtes tenus notamment à une obligation de sécurité des données et vous devez garantir les droits des personnes concernées, c’est-à-dire les droits des utilisateurs de votre objet connecté.
2.1 Les exigences de sécurité et de confidentialité des données
L’article 32 du RGPD dispose que :
« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] »
Pour votre objet connecté, la sécurité doit être assurée à deux niveaux : au niveau de l’architecture et des fonctionnalités de votre objet connecté et au niveau des outils que vous utilisez et de vos pratiques.
Au niveau de l’architecture et des fonctionnalités de votre objet connecté, la CNIL recommande :
- « D’intégrer les exigences de sécurité des données dès la conception de votre objet connecté (d’où l’intérêt de réaliser une analyse d’impact au stade de votre projet). Ces exigences doivent orienter les choix d’architecture (par exemple décentralisée ou centralisée) ou de fonctionnalités (par exemple anonymisation à bref délai, pseudonymisation). Le paramétrage par défaut de l'application doit respecter les exigences minimales de sécurité (par exemple, les règles sur la complexité des mots de passe).
- De garder la maîtrise de votre système, et de préférer des systèmes simples aux systèmes complexes. »
- De mettre en place des mesures de sécurité à toutes les portes d’entrée de votre système et de ses périphériques, et d’empiler les mesures afin de protéger les données même en cas de défaillance des premières barrières de sécurité. Ainsi, dans le cas de la sécurisation d’un objet connecté, vous devez penser à la sécurité du Wifi (notamment au chiffrement et au stockage du mot de passe Wifi) et/ou à la sécurisation des certificats, stockés sur l’appareil ou le smartphone, utilisés pour authentifier et chiffrer les connexions.
Au niveau des outils que vous utilisez et de vos pratiques, la CNIL recommande :
- D’utiliser des normes de programmation prenant en compte la sécurité. « Souvent, des listes de normes, bonnes pratiques ou guides de codage améliorant la sécurité de vos développements sont déjà disponibles. Des outils annexes peuvent également être intégrés dans vos environnements de développement intégrés (« IDE » en anglais) afin de vérifier automatiquement que votre code respecte les différentes règles faisant partie de ces normes ou bonnes pratiques. Vous trouverez facilement sur internet des listes de bonnes pratiques pour votre langage de programmation favori. Pour le développement d’application web, des guides de bonnes pratiques spécifiques existent, tels que ceux publiés par l’OWASP »
- De faire des choix technologiques adaptés, à savoir d’utiliser un langage ou une technologie le plus adapté à votre domaine application ou à votre fonctionnalité, d’utiliser des langages et technologies éprouvés et d’éviter de coder sa solution définitive dans un langage tout juste appris et pas encore maîtrisé
- De mettre en place un environnement de développement sécurisé et permettant le versionnage du code, en suivant la fiche dédiée du guide ».
(Source CNIL ).
En tant que responsable de traitement et abstraction faîte des mesures de sécurité de votre objet connecté, vous êtes également tenu à une obligation de sécurité et de confidentialité des données dans le cadre du fonctionnement interne de votre entreprise (notamment concernant la sécurité de votre système d’information, la limitation des accès physiques et informatiques, etc.).
Par ailleurs, il est essentiel de garantir les droits de vos utilisateurs eu égard au traitement de leurs données.
2.2 Les droits des personnes concernées
Nous allons aborder plus spécifiquement le droit à l’information sur les traitements réalisés.
L’information des personnes est fondamentale car elle permet aux personnes de comprendre l’objectif du traitement et l’utilisation de leurs données. L’information rend apparent ceux en charge du traitement et permet aux personnes de savoir vers qui faire une demande en lien avec leurs données, par exemple pour exercer ses droits.
L’information doit être fournie au moment de la collecte de données ou bien lorsqu’il y a un changement dans les modalités du traitement.
Ainsi, si l’utilisation de votre objet connecté implique la création d’un compte utilisateur, l’information sur les traitements de ses données peut être délivrée sous le formulaire d’inscription, avant la confirmation d’inscription.
Dans certains cas, un traitement de données peut se fonder sur le consentement de la personne concernée. par exemple, c’est obligatoire lorsque la personne concernée est un particulier prospect : vous devez recueillir son consentement si vous souhaitez lui envoyer des emails de prospection commerciale.
Enfin, il est très important, au stade de la conception de votre objet connecté et au stade de sa commercialisation, de garantir aux personnes concernées le respect de leurs droits (droit d’accès, de rectification, d’opposition, à l’effacement etc.). Au stade de la conception, vous pouvez envisager de créer dans l’espace personnel de l’utilisateur, des fonctionnalités lui permettant d’avoir un contrôle sur ces données. Il est également très important de mentionner, au moment de l’information (dans votre politique de protection des données par exemple), la procédure à suivre pour que les utilisateurs puissent exercer leurs droits.
Pour des idées de parcours utilisateurs respectueux de la règlementation, concernant l’information, le consentement ou l’exercice des personnes concernées, nous vous invitons à consulter le site du laboratoire d'innovation numérique de la CNIL (« LINC »).
Si vous choisissez de développer et/ou de commercialiser un objet connecté, n’hésitez pas à vous faire accompagner par La Robe Numérique : www.orianalabruyereandco.law/contact
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr
Par Caroline DEMANGEON, pour le blog La Robe Numérique