Michel Leclerc & Arthur Millerand, associés fondateurs du cabinet Parallel Avocats (www.parallel.law).

Pour appréhender juridiquement une réalité aussi protéiforme et complexe que les objets connectés, l’approche par les données est particulièrement utile.

D’une part, elle nous permet de souligner l’importance de la protection des personnes comme condition d’un développement sain de l’internet des objets. D’autre part, elle identifie l’importance des enjeux de sécurité et de protection des informations comme enjeux clés du développement à long terme d’une industrie des objets connectés.

 
C’est une impression qui nous gagne à la lecture des autres contributions à ce numéro de la revue Third : les objets connectés désignent une réalité très diverse, qui va de la montre connectée au capteur destiné à mesurer le taux de remplissage d’une cuve de gasoil en passant par le smartphone.

Chacun de ces exemples nous semble pourtant avoir un point commun avec les autres : ce que ces objets réussissent à faire, c’est capter, traiter, rendre intelligible et transmettre des informations (qui sont aujourd’hui communément appellées « données »). Et c’est l’ensemble de ces « opérations » qui constituent la richesse et le potentiel des objets connectés. Sans captation, sans traitement, sans transmission et sans analyse de données, un objet n’est plus connecté.

Ce qui nous intéresse tout particulièrement pour analyser juridiquement la révolution des objets connectés, c’est le rôle d’interface joué par l’objet. Nous proposons donc de définir l’objet connecté comme une interface physique qui utilise l’ensemble des moyens de connectivité disponibles pour faire circuler des informations (des données) entre une source et un destinataire d’informations. Nous identifions donc trois éléments clés qui structurent le fonctionnement d’un objet connecté :

‒ d’une part, la source, c’est-à-dire l’objet, qu’il soit humain ou non humain, où est puisée l’information ;

‒ d’autre part, l’outil qui permet de capter l’information et la traiter pour la rendre intelligible et intéressante ;

‒ enfin, le destinataire de l’information auquel sont transmises les données ainsi puisées et traitées.

Ce schéma général se décline selon la complexité de la technologie utilisée et la diversité des situations appréhendées par l’objet connecté. Ce qui est au cœur de l’IoT et qui est invariable, ce sont les données qui sont captées, traitées et analysées à grande échelle, de sorte que seule une analyse « en droit de la donnée » nous semble idoine pour appréhender juridiquement les objets connectés.
 

Connecter les objets exige de protéger les personnes

 
Les informations qui sont traitées par les objets connectés peuvent être personnelles, c’est-à-dire qu’elle se rapportent à une personne identifiée ou identifiable. Dans une pareille situation, il est impératif de s’interroger sur la responsabilité des acteurs qui traitent des données et sur la protection de la vie privée à l’ère numérique.
 
Responsabilisation des entités qui traitent des données : privacy by design et accountability
 
Les objets connectés sont en train de réussir leur entrée dans notre imaginaire et notre quotidien, qu’il s’agisse d’une meilleure connaissance de son activité physique ou de son taux de cholestérol. Ce faisant, les objets connectés participent à la « mise en données » des personnes par des acteurs privés ou publics. Il s’agit d’un objet de droit particulièrement réglementé, en particulier par la loi informatique et libertés¹ et le RGPD², le tout étant garanti par la charte des droits fondamentaux de l’Union européenne³.

La notion de privacy by design introduite par l’article 25 du RGPD est à cet égard très intéressante : elle repose sur l’exigence pour les entités qui traitent des données personnelles d’intégrer la protection des données personnelles dès le stade de la conception des produits ou services qu’elles mettent sur le marché.

Appliquée à un fabricant ou sous-traitant dans la chaîne de valeur des objets connectés, cette exigence pourrait par exemple se matérialiser par l’intégration de techniques de pseudonymisation et de restriction d’accès aux données collectées dans le design même de l’objet concerné. Cette obligation, si on la lit conjointement avec l’exigence d’accountability, qui impose d’être en mesure de rendre compte de sa conformité aux règles de protection des données personnelles, fournit un cadre contraignant pour les acteurs de l’industrie des objets connectés puisqu’ils doivent intégrer cette dimension dans leur fonctionnement.

Depuis plusieurs années, en particulier l’entrée en application du RGPD, on assiste à une prise de conscience collective sur l’importance de la protection des données personnelles. Cependant, la révolution des objets connectés pourrait faire craindre une perte de contrôle des données collectées, qui sont massivement collectées et disséminées chez plusieurs acteurs, de sorte que les individus ne semblent pas en mesure de maîtriser leur « empreinte numérique ». Il est impératif que tous les citoyens et les responsables de traitement oeuvrent ensemble à la constitution d’un socle commun de protection pour assurer le développement de l’IoT.
 
Protection de la vie privée des personnes concernées : un impératif
 
La protection des personnes dont les données sont captées par des objets connectés ne se joue pas seulement sur le terrain du droit des données personnelles mais également sur celui du respect de la vie privée. Le passage de l’un à l’autre se fait aisément puisque, si l’objet est connecté aux individus, il peut naturellement avoir accès, par construction ou par accident, aux pans les plus intimes et privés de leur vie.

La vie privée est un droit protégé par diverses sources juridiques comme le code civil⁴, la loi informatique et libertés⁵, la directive européenne dite « E-Privacy »⁶, la charte des droits fondamentaux de l’Union européenne⁷ et la convention européenne des droits de l’homme⁸. La jurisprudence européenne la définit comme « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures »⁹ et le code pénal¹⁰ réprime les atteintes volontaires à l’intimité de la vie privée d’autrui.

À titre d’exemple, en 2017¹¹, la CNIL a mis en demeure une société qui commercialisait des jouets connectés pour enfants afin que soit modifié le fonctionnement technique de ses produits sous peine de sanctions. Cette mise en demeure était notamment fondée sur des manquements à l’obligation de respecter la vie privée et les libertés individuelles. Les jouets concernés, des poupées connectées, permettaient effectivement à toute personne équipée d’un système de communication Bluetooth de s’y connecter à l’insu des personnes et d’avoir accès aux discussions échangées dans un cercle familial ou amical, en présence d’enfants.

Pour que vive une société connectée jusque dans ses objets, la protection de la vie privée est un impératif que tous les acteurs de la société numérique doivent intérioriser.
 

Protéger les informations permet de réussir la révolution de l’IoT

 
Alors qu’elles étaient jusqu’à présent méconnues et/ou mal exploitées, les données sont désormais capitales pour piloter les activités économiques car elles permettent de créer une stratégie adaptée à la réalité opérationnelle de l’activité tout en tenant compte de son environnement extérieur. Ce faisant, il est devenu capital pour toute organisation de sécuriser et protéger ses données.
 
La sécurité : enjeu clé de la révolution des objets connectés
 
Au-delà de la protection des personnes qui sont « captées » par des objets, se pose naturellement la question de la sécurité de ces objets et de leurs canaux de communication.

Étant donné son importance, la question de la sécurité des réseaux et des systèmes d’information a été identifiée par la Commission européenne comme un enjeu clé du fonctionnement du marché intérieur, ainsi qu’en témoigne la directive « Network and Information System Security » du 6 juillet 2016¹² qui a été transposée en France à compter de 2018. De même, le droit des données personnelles¹³ met la sécurité informatique au cœur des mesures de protection des informations des personnes concernées.

Nous considérons qu’un objet connecté est caractérisé par sa capacité à capter des données depuis un point A (une personne, un objet ou une machine), de les transmettre à un point B (un logiciel ou un serveur) dans le but de les traiter ou les analyser pour les mettre à disposition sur un point C (un objet, une machine ou un serveur). On trouve donc la question de la sécurité à plusieurs niveaux : à chaque point (A, B ou C) mais également pendant les trajets (A vers B, B vers C et C vers A).

En pratique, on peut résumer la problématique de la sécurité autour de l’intégrité de l’objet, la sécurité de l’éventuelle liaison objet-serveur (ou service numérique) et les éventuels outils disponibles en ligne (par exemple, un tableau de bord de suivi et d’analyse). Derrière ces raisonnements, on devine deux grandes situations : (i) celle où les données restent sous le contrôle de l’usager (elles sont collectées, enregistrées et traitées dans l’objet) et (ii) celle où les données sont transmises à l’extérieur (elles sont collectées par l’objet mais transmises hors de l’objet pour être analysées et traitées).

Plus la chaîne des acteurs est complexe, plus les données circulent, plus les risques de fuites ou de cyberattaque sont élevés. Lorsqu’on est un fabriquant d’objet connecté ou un client/utilisateur, la préoccupation est la même : il faut assurer la sécurité des données. Ainsi, il nous semble nécessaire d’appréhender cette question de la sécurité en termes de flux de données afin d’établir des scenarii de fuite dans le but de comprendre le fonctionnement des produits ainsi que leurs vulnérabilités. C’est sur cette base qu’il est possible d’évaluer les garanties offertes à la protection des données (personnelles ou non) et d’utiliser ces produits avec confiance.
 
La protection : assurer la défense de ses données
 
Rappelons d’abord que l’information, en tant que donnée non nécessairement personnelle, est un véritable actif pour les entités qui les détiennent (qu’elles soient des entreprises ou des entités publiques). À ce titre, la donnée doit être protégée et son détournement est un risque majeur contre lequel chaque acteur qui en possède doit lutter.

Si certaines situations venant à l’esprit pourraient être appréhendées par le droit civil et commercial (par exemple, la vente à un tiers d’informations obtenues à l’occasion d’une collaboration), le droit pénal est l’outil juridique naturel pour assurer la protection des données.

Parmi les diverses qualifications pénales potentiellement utilisables pour réprimer les atteintes à l’intégrité d’un système d’information connecté¹⁴, les suivantes sont particulièrement intéressantes : (i) la livraison d’informations ou de données à une entreprise ou puissance étrangère¹⁵, (ii) l’accès ou le maintien frauduleux dans un système de traitement automatisé de données¹⁶ et (iii) l’entrave ou l’altération du fonctionnement d’un système de traitement automatisé de données¹⁷. Ces textes spécifiques permettent de protéger l’entreprise dans des cas précis et sous certaines conditions mais ils n’offrent pas une protection générale.

Bien qu’elle ne crée pas d’infraction pénale dédiée, la récente loi sur le secret des affaires¹⁸ instaure des règles qui protègent les informations relevant du secret des affaires et prévoit des mesures de protection. Sont ainsi protégées au titre du secret des affaires les informations qui ne sont pas généralement connues ou aisément accessibles, qui revêtent une valeur commerciale du fait de leur caractère secret et qui font l’objet de mesures de protection raisonnables pour conserver leur caractère secret¹⁹.

En l’absence de dispositif juridique assurant la protection générale des données de l’entreprise et au regard du risque critique que représentent les atteintes aux informations, il est primordial que toutes les organisations détenant des données prennent conscience de leur valeur et mettent en place des mesures informatiques, organisationnelles et juridiques pour les protéger.

1 | Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles). (Retour au texte 1)
2 | Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). (Retour au texte 2)
3 |Charte des droits fondamentaux 2000/C364/01,art.8 : « Toute personne a droit à la protection des données àcaractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. Le respect de ces règles est soumis au contrôle d’une autorité indépendante ». (Retour au texte 3)
4 | Code civil, art. 9 : « Chacun a droit au respect de sa vie privée ». (Retour au texte 4)
5 |Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 1. (Retour au texte 5)
6 |Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. (Retour au texte 6)
7 |Charte des droits fondamentaux 2000/C 364/01, art. 7 : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ». (Retour au texte 7)
8 | Convention européenne des droits de l’homme (CEDH), art. 8 : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». (Retour au texte 8)
9 | CEDH, 29 avril 2002, Pretty c/ Royaume-Uni, req. n°2346/02. (Retour au texte 9)
10 | Code pénal, art. 226-1. (Retour au texte 10)
11 | Décision CNIL n°2017-073, 20 novembre 2017 mettant en demeure la société Genesis Industries Limited. (Retour au texte 11)
12| Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union. (Retour au texte 12)
13| À titre d’illustration, l’obligation de prendre des mesures de nature à préserver la sécurité des données à caractère personnel est centrale dans la Loi informatique et libertés (article 121) et dans le RGPD (article 32). (Retour au texte 13)
14| Nous limitons ici notre analyse au droit spécial et n’aborderons pas le détournement d’information sous le prisme du droit pénal général (en particulier, les débats autour des qualifications de vol, d’abus de confiance et de recel). (Retour au texte 14)
15| Code pénal, art. 411-6 et s. (Retour au texte 15)
16| Code pénal, art. 323-1. (Retour au texte 16)
17 | Code pénal, art. 323-2. (Retour au texte 17)
18| Loi n°2018-670 du 30 juillet 2018 relative à la protection du secret des affaires. Il s’agit de la déclinaison en droit français de la directive (UE) 2016/943/UE du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulguées (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites. (Retour au texte 18)
19| Code de commerce, art. L. 151-1. (Retour au texte 19)