Les objets connectés: quels enjeux pour la protection des données personnelles ?

De nouveaux objets dits « intelligents » se répandent sur le marché, à tel point que d’ici 2020, 80 milliards d’objets connectés circuleront dans le monde, selon certaines études. Les plus célèbres sont la montre connectée Apple watch et les lunettes Google glasses.

April 28, 2015

De nouveaux objets dits « intelligents » se répandent sur le marché, à tel point que d’ici 2020, 80 milliards d’objets connectés circuleront dans le monde, selon certaines études. Les plus célèbres sont la montre connectée Apple watch et les lunettes Google glasses.

La voiture connectée, capable d’alerter automatiquement les secours en cas d’accident ou d’envoyer des données relatives à la conduite à une compagnie d’assurance afin de proposer une police adaptée, ou encore le réfrigérateur effectuant vos courses à votre place, seront bientôt présents dans notre quotidien.

Aussi, ces objets intelligents collectent des données et les transmettent, par exemple, à un supermarché ou une compagnie d’assurances. Parmi ces données, certaines permettent d’identifier des personnes physiques et constituent donc des données personnelles. Le traitement de ces données personnelles soulève des questions juridiques.

Les règles relatives à la protection des données personnelles s’appliquent aux personnes responsables des traitements de telles données dans le cadre de l’Internet des objets. Il peut s’agir du fabricant du dispositif connecté, des réseaux sociaux utilisant ces données personnelles, des développeurs d’applications mobiles, et toute autre personne susceptible d’utiliser les données récoltées par l’objet connecté, e.g. une compagnie d’assurance santé qui utiliserait des données relatives aux habitudes sportives des détenteurs d’objets afin de leur proposer l’assurance la plus adéquate.

Les responsables des traitements de données entrepris dans le cadre de l’Internet des objets doivent respecter un certain nombre de règles, dont les principales sont exposées ci-après.

La qualité des données traitées

Les données personnelles des utilisateurs d’objets connectés ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes.

Dans le contexte de l’Internet des objets, plusieurs personnes peuvent traiter des données personnelles pour différentes finalités. Par exemple, les données relatives à l’activité physique d’une personne collectées par un smartphone ou autre équipement spécifique peuvent être traitées par un réseau social à des fins publicitaires et par une compagnie d’assurance à des fins commerciales.
Chacun de ces responsables de traitement devra définir clairement les finalités de son traitement de données et veiller à ne collecter que les données strictement nécessaires eu égard à la finalité du traitement. Par ailleurs, le responsable du traitement ne pourra pas réutiliser ultérieurement les données concernées pour d’autres finalités incompatibles.

La légitimité du traitement de données

Un traitement de données personnelles doit être basé sur une raison légitime. Dans le contexte de l’Internet des objets, plusieurs bases de légitimité semblent pertinentes, notamment (i) le consentement de la personne concernée, (ii) la nécessité des données pour l’exécution d’un contrat, ou encore (iii) la nécessité du traitement de données pour la réalisation de l’intérêt légitime poursuivi.
Dans de nombreux cas, le consentement de la personne concernée sera requis. Une attention particulière devra être accordée à l’analyse juridique du traitement de données sensibles, telles que les données de santé. A titre d’exemple, les traitements de données collectées par un outil d’auto-mesure (quantified self device) visant à mesurer des données relatives à l’activité d’une personne, telles que le nombre de pas qu’elle fait dans la journée, sa capacité de récupération après l’effort ou son nombre d’heures de sommeil, peuvent constituer des traitements de données de santé.

Un consentement valide est un consentement libre, spécifique et éclairé. Afin d’obtenir un tel consentement, le responsable du traitement doit préalablement informer l’utilisateur de l’objet connecté du traitement de données en cause.

L’obligation d’information de l’utilisateur de l’objet connecté

Toute personne dont les données personnelles font l’objet d’un traitement doit recevoir certaines informations, telles que l’identité du responsable du traitement, les finalités du traitement, les destinataires des données ainsi que les droits d’accès et de rectification des données concernées. La clause d’information sur la base de laquelle le consentement de la personne concernée est recueilli doit être claire et compréhensible.

D’un point de vue pratique, ces informations peuvent être communiquées via un code « QR ». Pour ce qui est des applications mobiles, une privacy policy devra être consacré aux données personnelles, permettant à la personne concernée d’avoir accès, de modifier ou de supprimer ses données.

La sécurité des systèmes

Il est naturellement important que les fabricants d’objets connectés et autres responsables du traitement veillent à la sécurité technique de tels objets, ceci également pour éviter la fuite, la perte ou le vol de données personnelles.

En conclusion, la question de la protection des données personnelles dans le cadre des objets connectés mérite une attention particulière de la part des acteurs impliqués.

En photo : Me Bock, Partner, IP, Communication & Technology – Arendt & Medernach SA

Watch video

In the same category