Application du droit des données personnelles aux « objets connectés »
Dans une opinion adoptée le 16 septembre 2014 (n°8/2014 disponible uniquement en anglais), le G291 a souhaité fournir aux acteurs économiques exerçant leur activité dans le secteur des « objets connectés » des recommandations pratiques relatives à l’application du droit des données personnelles. Ce secteur, également appelé « Internet of Things » ou « Smart Things« , regroupe les objets du quotidien capables d’enregistrer des informations sur nos activités physiques et de communiquer avec nos maisons, voitures ou environnements de travail.
L’originalité du document réside dans le fait que le G29 y insiste sur les avantages concurrentiels que le respect du droit des données personnelles est susceptible de fournir aux professionnels qui feront le nécessaire pour garantir les principes de « privacy by design » et de « privacy by default » préconisés par la proposition de Règlement général sur les données personnelles . En effet, le groupe de travail souligne que les appareils, dispositifs et applications intégrant par défaut des paramètres de confidentialité et de protection des données conformes à la législation européenne seront les plus susceptibles de séduire les utilisateurs et de conserver leur confiance.
Sur cette base, le rapport se penche sur trois développements particuliers des « objets connectés », les plus fréquemment rencontrés à l’heure actuelle, à savoir le « Wearable Computing » (l’informatique portable)2, le « Quantified Self » (la mesure de soi)3 et le « Home Automation » (la domotique)4, étant entendu que ces trois domaines sont susceptibles de se recouper.
Concernant ces trois développements – et vraisemblablement les autres, émergents ou futurs -, le G29 identifie un certain nombre de risques au regard de la protection des données personnelles, résumés ci-après :
(i) le manque de contrôle de l’utilisateur, en particulier la difficulté à revoir ses données avant publication ou transfert puisque le format de celles-ci est souvent inintelligible, à activer ou désactiver la collecte et à gérer des flux de plus en plus nombreux et variés ;
(ii) la faible qualité du consentement de l’utilisateur, utilisé par de nombreux acteurs comme base légale du traitement de données, et dont la validité serait susceptible d’être remise en cause à défaut d’information claire ou en cas d’impossibilité de configurer effectivement les modalités de la collecte de données réalisée par le biais de l’équipement concerné ;
(iii) l’emploi des données a priori anodines dans le cadre de nouvelles finalités (par exemple leur analyse à travers des modèles statistiques) auxquelles l’utilisateur n’aurait pas consenti et serait en réalité opposé ;
(iv) la prolifération intrusive de capteurs dans l’intimité de l’individu, susceptible de l’amener à modifier ses habitudes pour éviter tout comportement dont il craindrait qu’il puisse être analysé comme « anormal » (dans une vision quelque peu « orwellienne » du développement de ces technologies) ;
(v) la difficulté pour l’utilisateur de faire le choix de l’anonymat ou d’empêcher une « ré-identification » de ses données, notamment avec le développement de la technique du Fingerprint5, présentée comme une alternative aux cookies mais sur lequel l’utilisateur ne peut exercer un contrôle que très limité ;
(vi) l’accroissement du risque de fuite et de piratage des données, consécutif à la multiplication des flux et des intermédiaires, et à l’utilisation de paramètres de sécurité faibles plus économes en énergie, ménageant ainsi les capacités limitées des batteries des « objets connectés ».
Au vu des préconisations du rapport, il appartiendra à tout responsable de traitement au sens de la loi Informatique et Libertés6, établi en France, ou encore en dehors du territoire de l’Union européenne mais utilisant des moyens de traitement sur le territoire français (le G29 souligne à cet égard que la collecte par le biais d’ »objets connectés » en France suffit à remplir cette dernière condition), de respecter les obligations imposées par ce texte. A ce titre, tout intervenant utilisant ou réutilisant les données pour ses finalités propres (fabricants ou développeurs d’applications fournissant leurs services respectifs, réseaux sociaux ré-exploitant les données publiées par l’utilisateur à des fins de marketing ciblé, etc.) doit être considéré comme un responsable de traitement.
Parmi les obligations du responsable de traitement, rappelons tout spécialement l’impératif d’une information claire et d’un accord de l’utilisateur s’agissant de « toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement » (article 32 de la loi Informatique et Libertés). Impératif qui peut se cumuler avec la nécessité de justifier systématiquement le traitement de données personnelles par le consentement de l’utilisateur, l’exécution d’un contrat à sa demande ou la poursuite de l’intérêt légitime du responsable de la collecte ou du destinataire des données (article 7 de la loi Informatique et Libertés).
Notes
1 Le G29 est un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales au niveau européen. Il se réunit à Bruxelles en séance plénière tous les deux mois environ.
2 Il s’agit des objets de la vie de tous les jours tels que montres ou lunettes, intégrant des détecteurs comme des caméras ou des microphones permettant d’étendre leurs fonctionnalités.
3 Le G29 évoque à cet égard tout objet ou toute application permettant à l’utilisateur d’obtenir des informations quant à ses habitudes de vie et activités, par exemple une mesure du poids, du pouls, du rythme cardiaque, etc.
4 Tout objet du quotidien présent au domicile ou sur le lieu de travail d’un individu, notamment thermostats, détecteurs de fumée, machine à laver ou four, enregistrant des informations sur les modes de vie des utilisateurs en vue par exemple d’en simplifier l’utilisation (éteindre automatiquement la lumière ou monter la température).
5 Le «Fingerprint» est la signature unique d’un appareil, générée à partir de différentes données envoyées par celui-ci à l’insu de l’utilisateur (adresse IP et MAC, versions du navigateur et du système d’exploitation de l’ordinateur de l’internaute, identifiant unique du navigateur et de l’appareil, etc.).
6 Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (version consolidée au 19 mars 2014)
ÂAuteurs
Anne-Laure Villedieu, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Julie Tamba, avocat en droit de la Propriété Intellectuelle et des Nouvelles Technologies.
Brève extraite de la Lettre Propriétés intellectuelles | Octobre 2014