IoT & Sécurité : vers une nouvelle culture du risque

Décryptages
Outils
TAILLE DU TEXTE

La technologie des objets connectés confronte leurs concepteurs à une responsabilité légale et sociétale inédite vis-à-vis des utilisateurs auxquels ils doivent garantir un usage en toute sécurité.

La popularité de l’Internet des objets (IoT) n’a de cesse de croître, les derniers chiffres publiés en la matière en témoignent :

- 50 milliards d’objets connectés en 2017,
- 52 % des français possèdent au moins un objet connecté en 2017 (sondage OpinionWay pour Distree#Connect),
- 151 milliards de dollars : l’opportunité de marché qu’offrirait l’Internet des objets aux fournisseurs de composants, équipements, logiciels et services en 2018, soit un bond de 37 % par rapport à 2017 selon le cabinet IoT Analytics.

Un objet connecté peut se définir comme suit : « des objets qui captent, stockent, traitent et transmettent des données, qui peuvent recevoir et donner des instructions et qui ont pour cela la capacité à se connecter à un réseau d’information. On peut distinguer les objets mettables (wearable), mobiles, domestiques ou de loisir, d’infrastructure ou de productivité.[1] »

Leur attractivité ? Un fonctionnement articulé entre un objet, son capteur et une plateforme permettant une analyse de données produite en quantité importante, en temps réel et personnalisée à l’utilisateur.

Cette multiplication de la data, dont beaucoup sont des données personnelles, comporte des enjeux forts en matière de sécurité et de responsabilité légale.

Quels sont les risques spécifiques à l’IoT ?

- L’accès illégal aux informations stockées ou échangées compromet le fonctionnement de l’objet, avec des conséquences diversement dommageables selon son domaine d’application, comme dans la santé, l’industrie, les smart véhicules, les smart cities, etc.

- Une faille de sécurité peut entraîner une perte massive de données. Cette perte économique et cette atteinte fondamentale à l’image de l’entreprise fragilisent tous les acteurs de l’IoT, des utilisateurs aux concepteurs.

- Les atteintes à la vie privée et à la personne peuvent survenir, par le détournement des données de comportement et de déplacement. C’est le cas des caméras et des enceintes connectées.

- La dépendance technologique, enfin, vis-à-vis des systèmes d’exploitation dominants, peut s’avérer particulièrement inconfortable pour les créateurs.

Sécuriser l’utilisation d’un objet connecté sur l’intégralité de son cycle de vie est la meilleure réponse à apporter

Un objet connecté soulève des enjeux juridiques dès sa conception. Sur un cycle de vie de l’objet qui peut varier entre 3 mois et 100 ans, des actions sont à prévoir à chaque étape :

artricle iot

- dès la conception, il faut (i) vérifier la légalité du projet IoT (droits fondamentaux, règles spécifiques, cadre légal applicable…), (ii) lever les éventuels freins juridiques (demandes d’autorisation nécessaires) et (iii) gérer la conformité au Règlement général de protection des données (RGPD) ;

- pendant l’exploitation, il faut sécuriser le projet (i) en interne par une politique de maîtrise des risques, une sensibilisation et une formation aux risques juridiques, une charte d’utilisation des objets connectés utilisés par l’entreprise, une organisation favorisant les audits réguliers ; (ii) avec les prestataires et partenaires au moyen d’une chaîne de contrats avec chacun des acteurs impliqués (objet, capteur, plateforme et réseaux) et (iii) vis-à-vis des utilisateurs avec les conditions générales de vente et d’utilisation (CGV et CGU) ;

- à la fin de vie de l’objet, il faut encore prévoir la réversibilité, la destruction, le remplacement…

En synthèse, l’Internet des objets révèle des potentiels d’exploitation inédits tant pour les particuliers que pour les entreprises. Si cette technologie recèle des failles de sécurité qui évoluent en permanence, elle est source d’anticipation et d’adaptation constante sur le plan juridique. Cette nécessaire maîtrise des risques vise à assurer, in fine, la protection des concepteurs et des utilisateurs.

Claudia WEBER, Avocat fondateur & Marine HARDY, Avocat responsable des pôles Innovations et Sécurité, ITLAW Avocats

_____________________________

NOTES 

1 - Le lexing du marketing – Mercator-publicitor


Lex Inside du 21 mars 2024 :

Lex Inside du 14 mars 2024 :

Lex Inside du 5 mars 2024 :