Édition internationale
Radio les français dans le monde
--:--
--:--

Internet des objets : quelles sécurité et confidentialité

oit internet vie privéeoit internet vie privée
Pixabay @jeferrb
Écrit par Pirola Pennuto Zei & Associati
Publié le 10 décembre 2019

La révolution technologique entraîne des risques évidents pour la sécurité et la confidentialité de nos données. Tour d’horizon des dispositions censées protéger notre vie privée.

Les dispositifs intelligents sont de plus en plus présents dans notre vie quotidienne. Des scénarios qui pouvaient paraître futuristes il y a seulement une vingtaine d’années sont devenus réalité aujourd’hui. Un monde d’objets connectés qui s’échangent des informations et des données pour nous offrir plus de confort en révolutionnant nos usages et nos interactions. Mais c’est un monde dans lequel des exigences de sécurité et protection de la confidentialité s’imposent. Ce qui implique une attention croissante de la part des législateurs et des autorités de tutelle.

Internet des objets : c’est quoi ?

L’internet des objets (« Internet of Things » en anglais ou abrégé « IoT ») désigne l’ensemble des systèmes technologiques pouvant mettre en communication entre eux des dispositifs connectés au réseau internet (généralement en wi-fi ou en bluetooth) sans intervention humaine. Les objets sont ainsi en mesure de produire et communiquer en temps réel une très grande quantité de données de façon automatique et indépendante également en interagissant avec les personnes.
Les champs d’application de l’IoT sont aujourd’hui très nombreux : soin de la santé (dispositifs médicaux portables pour le monitoring des patients) ; sécurité (vidéosurveillance, détecteurs de fumée) ; villes intelligentes (transports, gestion de l’électricité) ; industrie (production, logistique) ; maison (domotique, gestion de construction) ; agriculture et élevage (gestion de la quantité et de la composition des intrants, analyse du comportement des animaux) ; services financiers et légaux (moyens de paiement et contrats intelligents) ; temps libre (dispositifs d’auto-mesure, smartwatch). Presque tous les objets qui nous entourent peuvent donc se connecter à l’internet, mais cette révolution technologique entraîne des risques évidents pour la sécurité et la confidentialité de nos données.

IoT et sécurité des données

Dans ce contexte il est fondamental d’assurer la sécurité des flux d’informations pour se protéger des risques de vol et utilisation illicite des données collectées, des attaques pouvant altérer et manipuler les systèmes informatiques qui traitent ces données ainsi que des atteintes physiques au cas où des personnes malveillantes parviendraient à impartir des instructions à distance aux objets.
Au niveau européen, le cybersecurity act (entré en vigueur le 27 juin 2019) est la dernière étape dans la création d’un marché unique de la sécurité cybernétique visant à accroître la confiance des consommateurs dans les technologies digitales à travers l’introduction d’un système européen de certification (remplaçant ceux existants au niveau national comme en Italie) de la sécurité des produits et services du secteur numérique. La certification – qui sera délivrée par des organismes agréés – pourra être demandée par les entreprises sur base volontaire (à moins que des règlementations de secteur n’en disposent autrement).
Cet instrument intègre la directive dénommée « NIS » de 2016 sur la sécurité des réseaux et des systèmes d’information (transposée en Italie par le D.Lgs. 65/2018), qui a imposé (i) des mesures de préparation, réponse et récupération des services concernés (énergie, banques, marchés financiers, eau potable, transports, santé, infrastructures digitales, moteurs de recherche, cloud, plateformes de commerce électronique) suite à des accidents informatiques, (ii) la définition d’un plan d’évaluation des risques et (iii) des programmes de formation et sensibilisation. Cette directive a également prévu la création d’équipes nationales de réaction aux accidents de sécurité informatique (le décret d’application contenant les règles sur l’organisation et le fonctionnement de l’équipe italienne a été publié le 8 novembre 2019).

IoT et confidentialité des données personnelles

Jouets, téléviseurs, aspirateurs, réfrigérateurs, montres, portables, appareils photos, serrures : tous intelligents et tous un peu indiscrets. Des oreilles et des yeux étrangers qui peuvent pénétrer notre vie privée et nous observer, en collectant des informations sur nos habitudes et nos préférences. Si cela peut susciter l’inquiétude – et sans doute faut-il rester vigilant –, au plan juridique, le règlement européen n. 679/2016 sur la protection des données personnelles (GDPR) et l’Autorité de contrôle italienne (Garante per la protezione dei dati personali), qui avaient déjà eu l’occasion d’intervenir sur le sujet, nous aident à nous défendre.
D’un côté, le principe de « privacy by design » (art. 25 du GDPR) prévoit en effet que la protection des données soit intégrée dans le cycle de vie complet de la technologie, dès la conception jusqu’à la distribution, l’utilisation et l’élimination finale. De l’autre côté, celui de « privacy by default » prévoit que les paramètres de confidentialité garantissent par défaut un niveau maximal de protection des données.

En outre, avant toute introduction et installation d’un objet intelligent il faudra établir une analyse d’impact relative à la protection des données.

Enfin, le règlement E-privacy (pas encore adopté) traitera directement de l’internet des objets et (probablement) de l’échange automatisé d’informations entre les appareils mobiles. Mais pour cela il faudra attendre encore un peu.
En attendant, prudence, nous sommes observés…

 

internet vie privée

En collaboration avec Nicola Lattanzi, avocat au barreau de Milan, Pirola Pennuto Zei & Associati

 

Flash infos

    Pensez aussi à découvrir nos autres éditions