swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La nouvelle loi fédérale sur la protection des données à l’épreuve de l’Internet des Objets

Nicolas Capt et Fazil Kaan Sezen, le 17 mars 2021
L’Internet des Objets demeure un véri­table enjeu en termes de protec­tion des données.

Les citoyens sont confron­tés à la proli­fé­ra­tion expo­nen­tielle d’objets connec­tés préten­dant à accé­der à leur quoti­dien avec la promesse de le faci­li­ter. Mais la présence d’une forme de voile tech­nique sur leur fonc­tion­ne­ment intrin­sèque les fait demeu­rer mysté­rieux et la multi­pli­ca­tion effré­née de ces outils amène d’inévitables ques­tion­ne­ments sur l’efficacité de la protec­tion de notre sphère privée et intime.

Défini par l’Union Internationale des Télécommunications (UIT) comme une

« infra­struc­ture mondiale pour la société de l’in­for­ma­tion, qui permet de dispo­ser de services évolués en inter­con­nec­tant des objets (physiques ou virtuels) grâce aux tech­no­lo­gies de l’in­for­ma­tion et de la commu­ni­ca­tion inter­opé­rables exis­tantes ou en évolu­tion »,

l’Internet des Objets (IdO) s’inscrit de facto dans une réalité évolu­tive et permet une person­na­li­sa­tion à large échelle d’outils inter­con­nec­tés de diverses natures et qualités.

Les promesses sont évidem­ment aussi nombreuses qu’alléchantes : la famille est en mesure de mener son ménage selon ses besoins effec­tifs (l’ère du réfri­gé­ra­teur à court de soda et des lumières restées inuti­le­ment allu­mées est révo­lue), l’entreprise gagne en effi­ca­cité (les para­mètres de produc­tion sont opti­mi­sés, de même que la rela­tion client) et la société tout entière peut vivre exac­te­ment selon ses para­mètres de préfé­rences (la ville intel­li­gente gère en temps réel lampa­daires, poubelles élec­tro­niques et aide au station­ne­ment). Dès lors qu’il est fait usage de para­mètres objec­ti­vables et que des outils de mesures (capteurs, trans­met­teurs et récep­teurs) peuvent être instal­lés, toutes choses peuvent peu ou prou être (inter)connectées. Les possi­bi­li­tés d’application ne sont ainsi limi­tées que par l’imagination. De fait, il s’agit de trans­for­mer progres­si­ve­ment tous les objets en des ordi­na­teurs program­mables dans un scéna­rio qui concré­tise un rêve futu­riste pour certains et confine au cauche­mar tota­li­taire orwel­lien pour d’autres.

Une telle infra­struc­ture infor­ma­tique, ambi­tieuse dans son objec­tif de faci­li­ta­tion du quoti­dien, n’est évidem­ment pas sans soule­ver de sérieux ques­tion­ne­ments liés à la sécu­rité des données, notam­ment du fait des parti­cu­la­ri­tés des objets compo­sant le réseau. Chacun est, en effet, soumis à des contin­gences diffé­rentes : certains dispo­si­tifs, notam­ment ceux alimen­tés par batte­rie, n’auront pas un pouvoir de compu­ta­tion suffi­sant pour mettre en œuvre les mesures de sécu­rité dernier cri, par exemple. Ainsi, certains modes de sécu­ri­sa­tion riment avec une consom­ma­tion d’énergie impor­tante. Ce n’est évidem­ment là qu’un exemple parmi d’innombrables autres.

En tout état, le réseau est sans nul doute compro­mis par l’existence de maillons faibles et la multi­pli­ca­tion des points d’accès. L’avenir, à cet égard, s’annonce pour le moins sombre. Et ce n’est pas là un scéna­rio catas­tro­phiste futu­riste conçu dans un labo­ra­toire de pros­pec­tive. En 2017, un aqua­rium intel­li­gent qui avait pour voca­tion de contrô­ler et de régu­ler auto­ma­ti­que­ment la tempé­ra­ture et la propreté du bassin, de même que de pour­voir à l’alimentation de ses pois­sons, a permis une attaque infor­ma­tique de grande ampleur contre un casino améri­cain. La méthode : passer de l’aquarium à d’autres zones (plus sensibles) du réseau infor­ma­tique auquel il était connecté. Plus récem­ment, un cher­cheur en cyber­sé­cu­rité a réussi à modi­fier tempo­rai­re­ment – et en plein vol ! – la trajec­toire de l’aéronef dans lequel il avait pris place, en accé­dant sans trop de diffi­culté au système infor­ma­tique de guidage de l’avion, en passant primai­re­ment par le système de diver­tis­se­ment à bord (Inflight Entertainment System). Dans les deux cas, et sans entrer ici dans d’inutiles détails tech­niques, le problème était l’absence d’étanchéité du système sur lequel les objets connec­tés étaient bran­chés. Le cyber-meurtre et le cyber­ter­ro­risme, long­temps l’apanage un peu fantasque et baroque des auteurs de science-fiction, consti­tuent désor­mais une réalité glaçante dont rien ne dit que nous serons en mesure de la contrer aisément.

À ce stade, reste que beau­coup d’applications IdO sont déployées au sein de circuits plus ou moins clos qui comptent sur la confiance des parti­ci­pants et l’abondance de ressources, comme dans les entre­prises ou les insti­tu­tions publiques. Le déploie­ment géné­ra­lisé de solu­tions IdO dépend de l’avancée tech­nique, tant en matière d’infrastructure que de sécu­rité. S’y ajoute la contrainte usuelle d’une limi­ta­tion des coûts.

L’adéquation de la légis­la­tion sur la protec­tion des données est parti­cu­liè­re­ment impor­tante dans le cadre des tech­no­lo­gies IdO, étant donné que ces dernières génèrent et collectent, en masse, des données parfois sensibles et ceci en quan­ti­tés massives, lesdites données étant ensuite soumises au joug algo­rith­mique. En tant que tel, l’IdO pose simul­ta­né­ment l’entièreté des ques­tions essen­tielles en matière de protec­tion des données (sécu­rité, profi­lage, trai­te­ment auto­ma­tisé, inter­opé­ra­bi­lité et porta­bi­lité des données).  Sans oublier les prin­cipes de respon­sa­bi­lité et de transparence.

L’exemple des robots empa­thiques, ces compa­gnons maté­riels ou déma­té­ria­li­sés auxquels il est possible de se confier et qui sont desti­nés en première inten­tion aux personnes fragiles (personnes âgées, enfants, personnes souf­frant d’un handi­cap, etc.) appa­raît ici parti­cu­liè­re­ment perti­nent. Des exigences accrues de sécu­rité, d’anonymat et de trans­pa­rence dans la collecte et le trai­te­ment de données s’imposent pour de tels dispo­si­tifs, au risque de permettre, à défaut, une collecte à bas bruit et une exploi­ta­tion ulté­rieure de données sensibles parti­cu­liè­re­ment intimes.

La nLPD du 25 septembre 2020 avait pour objec­tif prin­ci­pal d’inscrire – juri­di­que­ment et poli­ti­que­ment – la Suisse dans les nouvelles exigences euro­péennes telles que déduites du (haut) stan­dard conti­nen­tal que consti­tue désor­mais le Règlement Général sur la Protection des Données. Plusieurs obli­ga­tions concré­ti­sant des prin­cipes euro­péens se retrouvent ainsi de façon quasi inchan­gée dans la nLPD (privacy by design, porta­bi­lité des données, etc.). Cela étant, dans le contexte de l’IdO, c’est bien la recon­nais­sance légale des procé­dures de certi­fi­ca­tion qui retient avant tout l’attention.

La certi­fi­ca­tion et la stan­dar­di­sa­tion permettent d’uniformiser les procé­dés tech­niques et sont mises à jour selon les évolu­tions métier. Elles font partie inté­grante de la respon­sa­bi­lité du déve­lop­peur et jouent un rôle impor­tant dans le bran­ding des produits. Des produits critiques tels que les robots empa­thiques déve­lop­pe­ront sans doute leurs propres stan­dards et certi­fi­cats. De façon plus géné­rale, on notera que c’est une chose qu’un réseau IdO soit déve­loppé par une entre­prise dans son ensemble, mais que c’en est indé­nia­ble­ment une autre de relier plusieurs outils distincts, chacun déve­loppé par une entre­prise indé­pen­dante, avec des risques éminem­ment accrus. Seule la stan­dar­di­sa­tion permet­tra l’interopérabilité, la sécu­rité et la porta­bi­lité des données de divers objets indé­pen­dam­ment déve­lop­pés, sachant toute­fois que, selon toute vrai­sem­blance, nombre d’entreprises seront réti­centes à procé­der de la sorte pour des raisons de concurrence.

Dans un futur proche, il faudra ainsi porter un regard atten­tif à la stan­dar­di­sa­tion en matière d’IdO, laquelle favo­ri­sera sans doute l’adoption et la prise en main de ces tech­no­lo­gies par des déve­lop­peurs indé­pen­dants. Cela aurait d’ailleurs comme vertu de main­te­nir en vie la concur­rence ainsi que ses béné­fices avérés pour les consom­ma­teurs. Certains stan­dards concer­nant l’interopérabilité ont été publiés au cours de l’année passée, d’autres sont en déve­lop­pe­ment. Les stan­dards ISO/​IEC rela­tifs aux systèmes de sécu­rité dans le contexte des IdO seront en prin­cipe publiés en 2022.

En conclu­sion, la protec­tion des données demeu­rera sans doute au cœur d’un débat central de l’ère cyber faisant inter­ve­nir le besoin de sécu­rité des citoyens, la course écono­mique des entre­prises pour l’adoption géné­ra­li­sée de leurs produits et les failles concep­tuelles dans le déve­lop­pe­ment de certains produits. Pour les citoyens, il semble qu’une certaine circons­pec­tion soit de mise, pour l’heure à tout le moins. Si prudence est mère de sûreté dans le monde analo­gique, elle l’est à plus forte raison dans un monde numé­rique où les échanges de données sont le plus souvent parfai­te­ment invi­sibles à l’utilisateur.



Proposition de citation : Nicolas Capt / Fazil Kaan Sezen, La nouvelle loi fédérale sur la protection des données à l’épreuve de l’Internet des Objets, 17 mars 2021 in www.swissprivacy.law/63


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
  • Données personnelles : une approche dynamique, contextuelle et pragmatique
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law