Droit des Objets connectés (IOT)

L’objet connecté est un objet intelligent qui est connecté en réseau et produit des données sur l’utilisateur.

L’objet connecté produit des données à caractère personnel et de façon plus générale des données d’usage.

Le risque zéro n’existe pas mais des contrats et des conditions générales d’utilisation peuvent prévenir des dangers de piratage ou de fraude. De même, les objets connectés doivent respecter les principes de Privacy by Design et Privacy by Default, ce qui nécessite donc des mesures de sécurité minimum.

Dans la plupart des cas, les objets connectés ne possèdent pas d’IA à défaut d’autonomie de décision. Ils sont capables de prendre des mesures et de produire des données sur vous mais ne prennent pas de décision à votre place. Le droit doit veiller à ce que le consentement de l’utilisateur de l’objet connecté soit toujours requis.

Cependant aujourd’hui émergent des objets connectés disposant d’une IA dite « spécialiste » qui dispose d’une autonomie de décision pour des tâches particulières. Ce type d’objet a des répercussions importantes en matière de responsabilité et nécessite un encadrement contractuel particulier.

Plusieurs responsabilités sont envisageables : la responsabilité du fabricant, la responsabilité de l’agrégateur de données, la responsabilité de l’utilisateur, tout dépend de la configuration du réseau.

Il est possible qu’un tiers non autorisé prenne le contrôle de votre objet connecté, soit par les connections wifi, soit par votre box internet de la maison. Ces objets sont le plus souvent transformés en « Botnet » afin de réaliser des attaques par déni de service (DDoS).

La faille de connexion est possible et dépendra de votre configuration au réseau et aux plateformes. La faille de connexion est à gérer par le fournisseur d’accès à internet ou par la plateforme.

Le régime juridique de responsabilité des FAI va certainement s’étoffer car les FAI ne seront plus des simples fournisseurs d’internet mais aussi des services attachés à la collecte de données produites par les objets connectés.

Il n’y a pas véritablement de gouvernance générale des objets connectés et celle-ci passera certainement par les grands fabricants et les grands acteurs de l’Internet (GAFA). Le risque est de voir surgir de multiples normes et que l’Europe soit dépendante d’une norme non européenne faute de moyens financiers.
Concernant les objets connectés de la E-santé, le Ministère de la Santé et les ARS (Agence régionale de santé) assurent une gouvernance à la fois Etatique et décentralisée.

La commercialisation des données via les technologies Big Data représente l’or du XXIème siècle. Il faut veiller à ce que l’utilisateur premier (l’acheteur) de l’objet connecté ait donné son consentement à la collecte de ses données et à leur exploitation par des tiers et quels tiers.

Ma vie privée entre dans la tourmente de l’ère numérique. Ce n’est plus la seule gestion de mon réseau social, cela va plus loin. Chacun devra gérer les éléments de sa vie privée (données de santé et données d’usage telle que la consommation d’énergie, consommation d’aliments, mes habitudes de consommateur, mes données financières, mes données de transport) qui parleront de moi de façon multiple et décuplée.

Il n’existe pas de coopération juridique internationale sur les objets connectés mais on peut y penser. Il existe un institut européen des télécommunications, l’ETSI (European Telecommunications Standards Institute) qui rassemble 64 pays avec 750 membres, des entreprises, des FAI, des fabricants, des usagers et des chercheurs.

L’évolution est inéluctable et l’objet connecté vient à vous pour faciliter votre quotidien. On estime qu’il y aurait à l’heure actuelle 15 milliards d’objet connectés à Internet contre 4 milliards seulement en 2010. Ce chiffre s’élèverait à quelques 70 milliards en 2020.

Nous entrons dans l’ère de la désactivation des objets connectés et techniquement les fabricants doivent d’ores et déjà y penser pour permettre un usage de l’objet hors réseau afin de protéger l’acheteur-consommateur et maintenant le salarié avec l’émergence d’un droit à la déconnexion consacré par la Loi El Khomri adoptée le 21 juillet 2016.