swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

La nouvelle loi fédérale sur la protection des données à l’épreuve de l’Internet des Objets

Nicolas Capt et Fazil Kaan Sezen, le 17 mars 2021
L’Internet des Objets demeure un véri­table enjeu en termes de protec­tion des données.

Les citoyens sont confron­tés à la proli­fé­ra­tion expo­nen­tielle d’objets connec­tés préten­dant à accé­der à leur quoti­dien avec la promesse de le faci­li­ter. Mais la présence d’une forme de voile tech­nique sur leur fonc­tion­ne­ment intrin­sèque les fait demeu­rer mysté­rieux et la multi­pli­ca­tion effré­née de ces outils amène d’inévitables ques­tion­ne­ments sur l’efficacité de la protec­tion de notre sphère privée et intime.

Défini par l’Union Internationale des Télécommunications (UIT) comme une

« infra­struc­ture mondiale pour la société de l’in­for­ma­tion, qui permet de dispo­ser de services évolués en inter­con­nec­tant des objets (physiques ou virtuels) grâce aux tech­no­lo­gies de l’in­for­ma­tion et de la commu­ni­ca­tion inter­opé­rables exis­tantes ou en évolu­tion »,

l’Internet des Objets (IdO) s’inscrit de facto dans une réalité évolu­tive et permet une person­na­li­sa­tion à large échelle d’outils inter­con­nec­tés de diverses natures et qualités.

Les promesses sont évidem­ment aussi nombreuses qu’alléchantes : la famille est en mesure de mener son ménage selon ses besoins effec­tifs (l’ère du réfri­gé­ra­teur à court de soda et des lumières restées inuti­le­ment allu­mées est révo­lue), l’entreprise gagne en effi­ca­cité (les para­mètres de produc­tion sont opti­mi­sés, de même que la rela­tion client) et la société tout entière peut vivre exac­te­ment selon ses para­mètres de préfé­rences (la ville intel­li­gente gère en temps réel lampa­daires, poubelles élec­tro­niques et aide au station­ne­ment). Dès lors qu’il est fait usage de para­mètres objec­ti­vables et que des outils de mesures (capteurs, trans­met­teurs et récep­teurs) peuvent être instal­lés, toutes choses peuvent peu ou prou être (inter)connectées. Les possi­bi­li­tés d’application ne sont ainsi limi­tées que par l’imagination. De fait, il s’agit de trans­for­mer progres­si­ve­ment tous les objets en des ordi­na­teurs program­mables dans un scéna­rio qui concré­tise un rêve futu­riste pour certains et confine au cauche­mar tota­li­taire orwel­lien pour d’autres.

Une telle infra­struc­ture infor­ma­tique, ambi­tieuse dans son objec­tif de faci­li­ta­tion du quoti­dien, n’est évidem­ment pas sans soule­ver de sérieux ques­tion­ne­ments liés à la sécu­rité des données, notam­ment du fait des parti­cu­la­ri­tés des objets compo­sant le réseau. Chacun est, en effet, soumis à des contin­gences diffé­rentes : certains dispo­si­tifs, notam­ment ceux alimen­tés par batte­rie, n’auront pas un pouvoir de compu­ta­tion suffi­sant pour mettre en œuvre les mesures de sécu­rité dernier cri, par exemple. Ainsi, certains modes de sécu­ri­sa­tion riment avec une consom­ma­tion d’énergie impor­tante. Ce n’est évidem­ment là qu’un exemple parmi d’innombrables autres.

En tout état, le réseau est sans nul doute compro­mis par l’existence de maillons faibles et la multi­pli­ca­tion des points d’accès. L’avenir, à cet égard, s’annonce pour le moins sombre. Et ce n’est pas là un scéna­rio catas­tro­phiste futu­riste conçu dans un labo­ra­toire de pros­pec­tive. En 2017, un aqua­rium intel­li­gent qui avait pour voca­tion de contrô­ler et de régu­ler auto­ma­ti­que­ment la tempé­ra­ture et la propreté du bassin, de même que de pour­voir à l’alimentation de ses pois­sons, a permis une attaque infor­ma­tique de grande ampleur contre un casino améri­cain. La méthode : passer de l’aquarium à d’autres zones (plus sensibles) du réseau infor­ma­tique auquel il était connecté. Plus récem­ment, un cher­cheur en cyber­sé­cu­rité a réussi à modi­fier tempo­rai­re­ment – et en plein vol ! – la trajec­toire de l’aéronef dans lequel il avait pris place, en accé­dant sans trop de diffi­culté au système infor­ma­tique de guidage de l’avion, en passant primai­re­ment par le système de diver­tis­se­ment à bord (Inflight Entertainment System). Dans les deux cas, et sans entrer ici dans d’inutiles détails tech­niques, le problème était l’absence d’étanchéité du système sur lequel les objets connec­tés étaient bran­chés. Le cyber-meurtre et le cyber­ter­ro­risme, long­temps l’apanage un peu fantasque et baroque des auteurs de science-fiction, consti­tuent désor­mais une réalité glaçante dont rien ne dit que nous serons en mesure de la contrer aisément.

À ce stade, reste que beau­coup d’applications IdO sont déployées au sein de circuits plus ou moins clos qui comptent sur la confiance des parti­ci­pants et l’abondance de ressources, comme dans les entre­prises ou les insti­tu­tions publiques. Le déploie­ment géné­ra­lisé de solu­tions IdO dépend de l’avancée tech­nique, tant en matière d’infrastructure que de sécu­rité. S’y ajoute la contrainte usuelle d’une limi­ta­tion des coûts.

L’adéquation de la légis­la­tion sur la protec­tion des données est parti­cu­liè­re­ment impor­tante dans le cadre des tech­no­lo­gies IdO, étant donné que ces dernières génèrent et collectent, en masse, des données parfois sensibles et ceci en quan­ti­tés massives, lesdites données étant ensuite soumises au joug algo­rith­mique. En tant que tel, l’IdO pose simul­ta­né­ment l’entièreté des ques­tions essen­tielles en matière de protec­tion des données (sécu­rité, profi­lage, trai­te­ment auto­ma­tisé, inter­opé­ra­bi­lité et porta­bi­lité des données).  Sans oublier les prin­cipes de respon­sa­bi­lité et de transparence.

L’exemple des robots empa­thiques, ces compa­gnons maté­riels ou déma­té­ria­li­sés auxquels il est possible de se confier et qui sont desti­nés en première inten­tion aux personnes fragiles (personnes âgées, enfants, personnes souf­frant d’un handi­cap, etc.) appa­raît ici parti­cu­liè­re­ment perti­nent. Des exigences accrues de sécu­rité, d’anonymat et de trans­pa­rence dans la collecte et le trai­te­ment de données s’imposent pour de tels dispo­si­tifs, au risque de permettre, à défaut, une collecte à bas bruit et une exploi­ta­tion ulté­rieure de données sensibles parti­cu­liè­re­ment intimes.

La nLPD du 25 septembre 2020 avait pour objec­tif prin­ci­pal d’inscrire – juri­di­que­ment et poli­ti­que­ment – la Suisse dans les nouvelles exigences euro­péennes telles que déduites du (haut) stan­dard conti­nen­tal que consti­tue désor­mais le Règlement Général sur la Protection des Données. Plusieurs obli­ga­tions concré­ti­sant des prin­cipes euro­péens se retrouvent ainsi de façon quasi inchan­gée dans la nLPD (privacy by design, porta­bi­lité des données, etc.). Cela étant, dans le contexte de l’IdO, c’est bien la recon­nais­sance légale des procé­dures de certi­fi­ca­tion qui retient avant tout l’attention.

La certi­fi­ca­tion et la stan­dar­di­sa­tion permettent d’uniformiser les procé­dés tech­niques et sont mises à jour selon les évolu­tions métier. Elles font partie inté­grante de la respon­sa­bi­lité du déve­lop­peur et jouent un rôle impor­tant dans le bran­ding des produits. Des produits critiques tels que les robots empa­thiques déve­lop­pe­ront sans doute leurs propres stan­dards et certi­fi­cats. De façon plus géné­rale, on notera que c’est une chose qu’un réseau IdO soit déve­loppé par une entre­prise dans son ensemble, mais que c’en est indé­nia­ble­ment une autre de relier plusieurs outils distincts, chacun déve­loppé par une entre­prise indé­pen­dante, avec des risques éminem­ment accrus. Seule la stan­dar­di­sa­tion permet­tra l’interopérabilité, la sécu­rité et la porta­bi­lité des données de divers objets indé­pen­dam­ment déve­lop­pés, sachant toute­fois que, selon toute vrai­sem­blance, nombre d’entreprises seront réti­centes à procé­der de la sorte pour des raisons de concurrence.

Dans un futur proche, il faudra ainsi porter un regard atten­tif à la stan­dar­di­sa­tion en matière d’IdO, laquelle favo­ri­sera sans doute l’adoption et la prise en main de ces tech­no­lo­gies par des déve­lop­peurs indé­pen­dants. Cela aurait d’ailleurs comme vertu de main­te­nir en vie la concur­rence ainsi que ses béné­fices avérés pour les consom­ma­teurs. Certains stan­dards concer­nant l’interopérabilité ont été publiés au cours de l’année passée, d’autres sont en déve­lop­pe­ment. Les stan­dards ISO/​IEC rela­tifs aux systèmes de sécu­rité dans le contexte des IdO seront en prin­cipe publiés en 2022.

En conclu­sion, la protec­tion des données demeu­rera sans doute au cœur d’un débat central de l’ère cyber faisant inter­ve­nir le besoin de sécu­rité des citoyens, la course écono­mique des entre­prises pour l’adoption géné­ra­li­sée de leurs produits et les failles concep­tuelles dans le déve­lop­pe­ment de certains produits. Pour les citoyens, il semble qu’une certaine circons­pec­tion soit de mise, pour l’heure à tout le moins. Si prudence est mère de sûreté dans le monde analo­gique, elle l’est à plus forte raison dans un monde numé­rique où les échanges de données sont le plus souvent parfai­te­ment invi­sibles à l’utilisateur.



Proposition de citation : Nicolas Capt / Fazil Kaan Sezen, La nouvelle loi fédérale sur la protection des données à l’épreuve de l’Internet des Objets, 17 mars 2021 in www.swissprivacy.law/63


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Enquête contre Digitec Galaxus : les recommandations du Préposé sont justifiables, mais sont-elles justes ?
  • Une nouvelle loi adaptée aux défis de l'ère numérique
  • Regards croisés sur la Loi 25 : un pas vers la conformité européenne pour le Québec ?
  • Documentation externe et interne aux entreprises en matière de protection de données
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law