En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
  • 30/01/2018
    3e édition du Congrès des DSI

    La troisième édition du Congrès des DSI se tiendra le 30 janvier prochain au Pré…

    en détail En détail...
Appels d'offres en cours
  • Développement d'une plateforme de mise en relation pour un assembleur de compétences au service des commerçants
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce Prestashop pour la vente de fournitures aux entreprises
    < 5 000 €
    > En savoir plus
  • Référencement naturel (SEO) d'un site internet WIX
    < 6 000 €
    > En savoir plus
ITrust_SOC_leaderboard

IoT et données personnelles

ITrust_SOC_pave

Objets connectés : Garance Mathias, avocat à la Cour, revient sur la collecte, le traitement et la conservation des informations personnelles qui y sont associés.

Les objets connectés existent depuis quelque temps déjà, seule leur médiatisation est nouvelle. En revanche, il n’existe toujours pas de définition officielle. Plusieurs appellations se rapportent à ce phénomène : objets communicants, objets intelligents ou bien encore internet des objets (littéralement traduit de l’anglais « Internet of Things » ou IoT).

Chacun d’entre nous constate l’intérêt croissant du public (ou des publicitaires) pour les objets connectés. Il suffit pour cela de prendre le métro ou de se rendre dans les grandes surfaces. On entend et on lit que ces objets ont vocation à faire partie intégrante de nos vies et qu’il s’en crée un nouveau pratiquement tous les jours. Pour les promouvoir, les distributeurs s’adressent à l’individu (vie privé), au travailleur (environnement professionnel) et au citoyen (espace public).

Or pour toute entreprise qui souhaite se lancer dans l’aventure des objets connectés, il est vivement conseillé d’anticiper l’application du droit existant et à venir. Le respect des règles en vigueur permet en effet une crédibilité auprès des consommateurs et auprès des éventuels investisseurs.

L’une des premières interrogations en ce qui concerne la collecte des données à caractère personnel est bien entendu la question de la manière dont la collecte elle-même est opérée mais aussi le traitement suivi. En premier lieu, le consentement est fondamental en matière de collecte de données. Cette condition est souvent rappelée dans les différentes législations ayant trait aux données à caractère personnel. Elle prend un relief particulier en présence d’un objet connecté dès lors qu’il se traduit par l’acceptation des conditions générales d’utilisation. Le consentement sera-t-il considéré comme éclairé lors que l’on sait que ces conditions générales sont peu lues ?

Limiter la collecte et la conservation

Les entreprises et administrations doivent par ailleurs limiter la collecte et la conservation des données de leurs consommateurs aux volumes et catégories nécessaires à l’exercice de leurs activités. En effet, la mise en œuvre de ce principe de minimisation est intéressante à deux titres. D’une part, un grand volume de données représente une cible bien plus attractive pour les cyberdélinquants et/ou cybercriminels. D’autre part, si une entreprise collecte et conserve d’importants volumes de données, le risque est que ces données soient un jour utilisées pour une finalité différente de celle pour laquelle elles ont été recueillies.

Ces données font parfois l’objet de transferts, transferts interdits en dehors de l’EEE (Union européenne, Lichtenstein, Islande et Norvège) lorsque le niveau de protection n’est pas adéquat. Certains pays sont reconnus comme ayant un niveau adéquat de protection des données personnelles des citoyens européens. Les Etats-Unis, avec le Safe Harbor, étaient considérés comme tels.

Pour rappel, le responsable du traitement doit également prendre toutes les mesures « pour préserver la sécurité des données », en vertu de l’article 34 de la loi du 6 janvier 1978 modifiée. (voir notre encadré).

Il est ainsi conseillé aux entreprises qui fabriquent des objets connectés de mettre en œuvre des éléments de sécurité raisonnable dans leurs produits et ce, de manière anticipée (« privacy by design »). Bien entendu, pour déterminer ce niveau de sécurité raisonnable, plusieurs critères seront pris en compte, parmi lesquels le volume et le caractère sensible des données collectées ainsi que les coûts prévisionnels des indemnités à verser en cas de failles de sécurité. Plus largement, les entreprises devront s’assurer de la conformité de leurs procédures, de leurs règlements et de leurs contrats avec la législation en vigueur (notamment leurs conditions générales d’utilisation).

Les enjeux juridiques des objets connectés vont bien au-delà de la problématique des données à caractère personnel (garantie, propriété intellectuelle, assurances, etc.). Ces objets susciteront beaucoup d’attention en cette fin d’année et pas seulement au pied des sapins.

Sécurité des données, que dit la loi ?

Le responsable du traitement doit également prendre toutes les mesures « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » en vertu de l’article 34 de la loi du 6 janvier 1978 modifiée. En cas de manquement, le responsable de traitement risque notamment une sanction financière pouvant aller jusqu’à 150 000 e. Si ces sanctions sont parfois jugées peu dissuasives, une publication de la sanction porterait toutefois atteinte à l’image de l’entreprise ou de l’administration.

IoT et données personnelles
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Cybersécurité : le projet de loi de transposition de la directive NIS adopté en 1ère lecture

    Présenté au Sénat par le secrétaire d’Etat au Numérique, Mounir Mahjoubi, le projet de loi…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • 5 grandes évolutions qui domineront et impacteront les 12 prochains mois en cybersécurité 

    Prédictions sécurité pour 2018 : Pierre-Yves Popihn, directeur Technique France chez NTT Security, liste 5…

    > En savoir plus...
Etudes/Enquêtes
  • La gestion des données et des risques compliquée par le Cloud et le RGPD

    Alors que les cyberattaques touchent toujours autant les entreprises, le Cloud et le Règlement sur…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Lean_skycraper
Agenda
livres blancs
Les Livres
Blancs
Ixia_RGPD_skycraper