A l’ère du Big Data, la collecte massive de données à caractère personnelle s’opère notamment par les objets connectés. Que ce soit en matière de domotique, d’accessoires ou de moyens de transport, les applications de l’Internet des objets ne cessent de se diversifier, offrant des services toujours plus perfectionnés et adaptés aux utilisateurs. Partant, la question de la collecte des données inhérentes à leur fonctionnement trouve alors un écho particulier. En effet, la protection du droit à la vie privée, du droit à la non-discrimination et du droit à l’autodétermination informationnelle pourrait s’en trouver menacée. L’interaction croissante entre les individus et les objets, mais aussi entre les objets entre eux, génère inévitablement des flux importants de données qu’il sera plus difficile de contrôler.
L’encadrement nécessaire du traitement de données personnelles
Les données à caractère personnel, protégées en France par la Loi Informatique et Libertés du 6 janvier 1978, concerne toutes les informations relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement. La qualification de ces informations est essentielle puisque de cette qualification naîtra des droits et obligations pour les acteurs de l’écosystème. En conséquence, il faut veiller à ce que, en l’absence de data minimisation dans le cadre de l’Internet des objets, des informations qui, individuellement, ne seraient pas considérées comme des données à caractère personnel, soient protégées du fait de leur agrégation.
Le traitement de ces données collectées doit respecter les principes de finalité, de proportionnalité et de pertinence. Or, en matière d’objets collectées, c’est tout le modèle d’affaires qui risqueraient d’être bouleversés si ces principes devaient être appréciés strictement. À tout le moins, il faudrait prévoir que la personne concernée par le traitement puisse encadrer la collecte dans certaines circonstances et que la finalité poursuivie soit clairement identifiée. Ces objets sont effet de potentiels outils de surveillance massive grâce à une multitude de capteurs. Il est alors indispensable d’adopter une démarche proactive en incitant à garantir un niveau de protection élevé de la vie privée dès la conception (privacy by design) ou en permettant aux utilisateurs de définir les paramètres de la collecte de données personnelles (privacy by default).
La délicate mise en œuvre des droits des personnes concernées par le traitement
Pour être collectées et traitées, le consentement de la personne concernée doit être recueilli. Or, la qualité du consentement peut être altérée dans nombre d’hypothèses où l’utilisateur n’aura pas réellement conscience de l’étendue du traitement, à défaut d’informations suffisantes. En effet, le manque de transparence risque de faire obstacle à ce que l’utilisateur consente de manière exprès, libre, spécifique et éclairé.
En outre, il doit être en mesure d’exercer son droit d’accès, d’opposition et de rectification. En pratique, il est rare que la personne concernée puisse avoir accès aux données brutes, lui permettant de mesurer l’utilisation qui en est faite. De plus, la portée de ces droits perd de son efficacité lorsque la seule solution se traduira par la fin pure et simple de l’utilisation du dispositif. L’interopérabilité des données et la question de la création d’un droit à la désactivation de la puce ouvrira alors d’autres perspectives.
Les risques liés à la sécurité du traitement
Par ailleurs, étant reliés à Internet, les objets connectés sont particulièrement susceptibles de piratage ou de perte de données. Le responsable de traitement et les sous-traitants sont tenus de prendre toutes les précautions utiles pour éviter que des tiers non autorisés aient accès à ces données, qu’elles soient endommagées ou détruites. L’adoption du règlement européen sur la protection des données personnelles, applicable à partir du 25 mai 2018, qui promeut l'obligation de notifier les failles de sécurité, devrait conduire à renforcer les garanties apportées par les responsables de traitement et les sous-traitants.
Ainsi, que ce soit au stade de la collecte ou du stockage des données, une attention particulière doit être portée à la sécurisation des données puisque l'Internet des objets augmente indéniablement la vulnérabilité aux failles de sécurité. D’une part, les interconnexions permanentes fragilisent le réseau et, d’autre part, les données ainsi collectées sont souvent hébergés par des solutions telles que le cloud computing. Par conséquent, et d’autant plus s’il s’agit de données sensibles, il est recommandé de mettre en œuvre des mesures de sécurité telles que des mesures de cryptage et des solutions d’hébergement fiables.
Malgré le processus d’empowerment qui se développe, résidant dans la capacité des individus à conserver la maîtrise de leurs données, la collecte massive de données rend illusoire l’exercice d’un tel contrôle. Les individus seront tentés de sacrifier leur vie privée au profit de services qu’ils veulent de plus en plus personnalisés.