Objets connectés : gare à vos données personnelles !
En février 2018, Christiane Féral-Schuhl titrait un article « Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur »1. Il semblerait que cette équation soit encore loin d’être résolue.
Des objets connectés de plus en plus présents
De nos jours, rares sont les personnes qui parviennent à se passer de tout objet connecté. Ces objets sont définis par la CNIL comme étant des « objets dotés de moyen de communication avec ou sans fil (Wi-Fi, Bluetooth, 3G, etc.) ». Ils peuvent être autonomes ou fonctionner avec un smartphone ou une tablette, qui sert alors de relais pour échanger des données sur le Cloud. Ces objets font partie intégrante de notre vie quotidienne : montres, enceintes, matelas, frigos, thermostats, balances, ampoules et autres lunettes connectés envahissent aujourd’hui nos foyers. S’ils peuvent paraître inoffensifs, une problématique majeure est cependant liée à leur utilisation : celle du traitement de nombreuses données personnelles. En effet, ils sont amenés à traiter de nombreuses données telles que des informations de profil, des données liées à l’environnement et à la localisation de l’utilisateur, messagerie intégrée, données bancaires… impliquant un nécessaire contrôle du partage et de l’accès à ces dernières.
L’alliance la plus dangereuse semble être celle des objets connectés et des programmes d’intelligence artificielle. Les premiers récoltent des données personnelles dans le cadre de leur utilisation et les seconds peuvent utiliser ces données pour se développer2. L’exemple type d’une telle union est celui des enceintes connectées qui assument les fonctions d’une enceinte classique, peuvent répondre à diverses commandes et questions grâce à un assistant à commande vocale et qui peuvent être connectées à divers autres objets. Une telle enceinte peut interagir avec son utilisateur quand celui-ci lui pose une question, lui demande l’heure, l’achat de billets, la lecture de telle ou telle musique… Dans ce cadre, de nombreuses données personnelles peuvent être dévoilées et conservées sur l’ « Internet des objets »3 et par les entreprises conceptrices des produits. De la même manière qu’une requête écrite faite sur Google reste enregistrée, une requête vocale le sera également. C’est notamment ainsi que le profil publicitaire des utilisateurs d’assistants à commande vocale peut être élaboré par les entreprises, et revendu à des entreprises tierces.
Le 20 décembre dernier, le magazine allemand C’t a rapporté qu’Amazon avait envoyé par erreur 1 700 fichiers sonores – recueillis par l’usage de l’appareil Echo, l’enceinte connectée vendue par Amazon et sur laquelle opère Alexa, l’assistant personnel intelligent – d’un client à un autre. Le client en cause avait exercé son droit d’accès aux données personnelles détenues par l’entreprise, offert par le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018. Ce dernier s’est finalement retrouvé en possession des données… d’une autre personne, également cliente du géant du e-commerce ! Selon ce même magazine, les fichiers en cause permettent d’entendre des voix dans un salon, une chambre à coucher, une salle de bain4. Le client ayant reçu ces données en a informé Amazon, qui n’a pas jugé bon d’avertir la victime de cette fuite de données, contrairement à ce qu’impose le RGPD. C’est donc le client destinataire qui s’est chargé de retrouver l’utilisateur lésé, d’après les fichiers qui lui avaient été transmis. Le fait qu’il y soit parvenu montre bien qu’il est essentiel d’assurer la protection des données détenues par les entreprises telles qu’Amazon, celles-ci permettant de rapidement retrouver l’identité d’une personne.
Une ignorance encore trop importante des utilisateurs
Cette défaillance relance le débat portant sur les objets connectés et le traitement des données personnelles récoltées par leur utilisation, qui peuvent être utilisées à des fins publicitaires mais également être détournées par une personne mal intentionnée, notamment à des fins d’escroquerie, d’usurpation d’identité ou encore de harcèlement. Ceci d’autant plus que les données détenues par les entreprises du fait de l’utilisation de ce type d’objet relève de plus en plus de l’intime, et peuvent représenter des données sensibles5 au sens du RGPD. On peut prendre l’exemple des données récoltées par certains bracelets connectés, qui sont parfois des données de santé, de ce fait considérées comme extrêmement sensibles.
Si ce type d’affaire interpelle les lecteurs des articles les relatant, on peut constater qu’il existe une ignorance encore trop importante, par les utilisateurs d’objets connectés, des risques que leur utilisation peut représenter pour leur vie privée. Ils ne prennent ainsi pas les précautions nécessaires à leur propre protection. Aussi, certaines mesures sont mises en place, notamment par la CNIL6 . Sur son site internet on peut trouver une rubrique « Comment protéger ses données personnelles dans cet « internet des objets » ? », dans laquelle elle met en garde sur les risques existants et les mesures qui peuvent être prises pour les limiter. Elle est également en contact avec les fabricants de certains produits connectés, réalise des tests, mène des réflexions sur les moyens d’informer efficacement les utilisateurs des types de données collectées et de l’usage qui peut en être fait, etc. En 2017, la Présidente de la CNIL avait par exemple mis en demeure la société GENESIS INDUSTRIES LIMITED de procéder à la sécurisation de deux jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE ». Cette dernière avait en effet constaté le non-respect de la vie privée des personnes en raison d’un défaut de sécurité ainsi que le défaut d’information des utilisateurs des jouets 7. L’Institut National de la Consommation intervient également, notamment par le biais de vidéos informatives 8. Toutes ces mesures sont cependant loin d’être suffisantes pour assurer une protection optimale des particuliers.
La nécessaire vigilance des entreprises
On aurait pu penser que l’entrée en vigueur du RGPD – qui a pour but d’assurer une meilleure protection des données clients détenues par les entreprise notamment – aurait renforcé efficacement cette protection des données. Mais au regard de l’affaire impliquant Amazon, on ne peut que constater un paradoxe majeur : c’est dans l’exercice même du droit d’accès offert par ce règlement que les données personnelles d’un utilisateur d’Alexa ont été transmises à un tiers. Les entreprises, particulièrement les géants du commerce en ligne, devraient être plus vigilantes quant à leurs réponses aux demandes d’accès des clients et à la manière de traiter les données recueillies par l’usage des objets connectés qu’ils commercialisent. Comme l’a récemment mentionné Mathilde Nilsson dans son article « LE RETENTISSEMENT MONDIAL DU RGPD », publié sur ce blog : « De nouvelles contraintes naissent alors pour les entreprises, qui doivent repenser leur rapport aux données personnelles des utilisateurs de leurs sites ou applications » 9. C’est ce que les entreprises auraient déjà dû faire depuis le mois de mai dernier, mais il semblerait qu’elles doivent encore approfondir la question.
Au regard de ces différentes considérations, on comprend qu’il y a encore un long chemin à parcourir pour que la vie privée des utilisateurs d’objets connectés soit efficacement protégée. De nouvelles solutions doivent encore être trouvées pour que soit assurée une meilleure défense des données personnelles. Cet impératif est même de plus en plus prégnant aujourd’hui. Ces objets gagnant en efficacité de jour en jour, ils sont par conséquent amenés à collecter davantage de données. Ce cercle vertueux de l’innovation ne doit pas devenir un cercle vicieux mettant en péril les droits des utilisateurs d’objets connectés !
Marion Dennequin
Sources :
1- http://www.feral-avocats.com/wp-content/uploads/2018/02/180212-Edition-Multimedi@-Objets-connectés-vie-privée-et-données-personnelles-une-équation-difficile-pour-protéger-lutilisateur.pdf
3- https://www.objetconnecte.net/histoire-definitions-objet-connecte/
4- Donnée sensible : “Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes” (CNIL).
5- https://www.numerama.com/tech/450138-enceinte-echo-amazon-envoie-par-erreur-1-700-fichiers-sonores-a-la-mauvaise-personne.html?utm_medium=twitter&utm_source=dlvr.it&utm_campaign=450138
6- https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie- privee
7 – https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-atteinte-grave-la- vie-privee-en-raison-dun-defaut-de?fbclid=IwAR1EtcWYT-R0i_VcC5jHSZUvkUcGQf-hCyBOUag9TG_qZ4Bs-0JsRcX2aP
8 – https://www.inc-conso.fr/content/jouets-connectes-et-securite-des-donnees-personnelles- avec-lunaf?fbclid=IwAR3gDkOmha5OywH39Ojat0VQTzCRSs0- Z2h5gtIUqoQZ_m8B2WDDelX7rYI
9 – http://master-ip-it-leblog.fr/le-retentissement-mondial-du-rgpd/`