Dans le cadre de la journée annuelle du « Sweep day », la CNIL ainsi que 24 autres autorités de protection des données ont réalisé et présenté un audit sur plus de 300 objets connectés grand public afin de déterminer leurs impacts sur la vie privée de leurs utilisateurs.
Il convient de rappeler que la CNIL est membre du Global Privacy Enforcement Network (GPEN – réseau d’organismes agissant au sein de l’OCDE pour la protection de la vie privée).
Afin de cerner les enjeux et les points à améliorer concernant l’offre des objets connectés en forte croissance, l’audit s’est focalisé sur trois thématiques :

• la qualité de l’information délivrée,
• le niveau de sécurité des flux de données,
• le degré de contrôle de l’utilisateur sur l’exploitation de ses données (consentement, exercice des droits, etc.).

Cet audit international révèle que sur les 300 objets connectés étudiés :

• 59 % ne fournissent pas une information claire et complète sur la collecte et les conditions d’exploitation des données à caractère personnel des utilisateurs ;
• 68 % ne donnent aucune information relative aux conditions de stockage des données;
• 72 % n’informent pas les utilisateurs des modalités de suppression de leurs données du dispositif connecté ;
• 38 % ne fournissent pas de coordonnées de contact permettant aux utilisateurs de se renseigner sur les modalités de traitement de leurs données à caractère personnel.

L’information est donc en grande majorité insuffisante.
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes sur :

• l’identité du responsable du fichier ;
• la finalité du fichier ;
• le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
• les destinataires des données ;
• leurs droits (droit d’accès, de rectification, et d’opposition) ;
• les éventuels transferts de données vers des pays hors UE.

Il convient de rappeler que cette information est préalable à la collecte des données. En l’espèce, l’audit relève que l’information est souvent trop générale etporte sur l’ensemble de la gamme des produits du fournisseur. Pour le CNIL, « cette information insuffisamment précise ne permet pas, par exemple, aux utilisateurs de connaitre le devenir des données collectées (transmission à des tiers, identification de ces derniers et finalité d’une telle divulgation, etc.) ».
Le droit d’être informé est l’un des droits fondamentaux de la personne fichée. Le non-respect de cette obligation d’information peut être sanctionné. Le responsable du traitement a une obligation d’information qui porte essentiellement sur le droit d’accès et de rectification (article 27 de la loi).
 
Cet audit, qui pointe des négligences et des manquements, se veut un avertissement à destination des fabricants et concepteurs d’objets connectés. En cas de défaillance, une entreprise peut donc voir sa responsabilité engagée en raison de sa qualité de responsable de traitement ou de sous-traitant pour l’atteinte aux données personnelles.
L’article 34 de loi Informatique et Libertés dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Il n’est donc pas inenvisageable que la CNIL, ainsi que l’ensemble de ses homologues européens, engage des missions de contrôle auprès des entreprises commercialisant des objets connectés sur la problématique du traitement de l’information et de la protection des données personnelles à partir du 25 mai 2018. En effet, cette date marquera l’applicabilité du règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui a été publié au Journal officiel de l’Union européenne le 4 mai 2016.
 
En conclusion, il convient de rappeler les conseils de la CNIL à destination des utilisateurs de ces objets connectés :

• Sécurisez le smartphone / tablette, l’objet lui-même s’il y a lieu ainsi que l’application liée à l’objet par un mot de passe fort. Les objets fonctionnent généralement avec une application dédiée, le smartphone jouant le rôle de « télécommande » et de hub des données ;
• Lorsque l’objet est associé à un compte en ligne, préférez l’utilisation d’un pseudonyme ;
• Ne partagez vos données qu’en direction de cercles de confiance, de personnes que vous connaissez et n’automatisez pas le partage avec d’autres services en particulier vers les réseaux sociaux ;
• Procédez à la suppression des informations et données enregistrées lorsqu’elles ne vous sont plus utiles.

 
Le cabinet HAAS Avocats intervient depuis plusieurs années, de manière transversale, sur les problématiques inhérentes aux objets connectés, que ce soit :

• la sécurité informatique,
• la sécurisation des bases de données (Big Data),
• la mise en conformité des traitements de données à caractère personnel ;
• l’encadrement juridique des objets connectés,…

Premier cabinet doublement labellisé par la CNIL, le Cabinet HAAS a toujours été précurseur dans la défense des données personnelles, et la valorisation des investissements effectués dans leur traitement, via une prévention des risques et l’élaboration d’une architecture contractuelle complète.
Nous intervenons ainsi plus particulièrement sur des audits Informatiques et Libertés, des tests d’intrusion, des consultations juridiques, ou l’élaboration de référentiels de sécurités
Pour tout renseignement complémentaire, n’hésitez pas à contacter le Cabinet HAAS avocats.