Diane Mullenex, Associée, Pinsent Masons, et expert ROOMn, propose sa vision des objets connectés et de la sécurité des données personnelles collectées par ceux-ci.
Les objets connectés sont à la mode, cela est indéniable. Mais peuvent-ils le demeurer ?
Il y a beaucoup d'effervescence autour de ces "petits objets inconnus" (ou pas…) qui, de plus en plus, investissent le quotidien de chacun en intégrant les voitures, les télévisions, les réfrigérateurs, les compteurs électriques, les outils de mesure, etc.
En effet, le marché des objets connectés est un marché en pleine évolution. Selon le cabinet d'étude français Idate, on compte aujourd'hui plus de 15 milliards d'objets connectés, soit près de 4 fois plus qu'en 2010. De plus, toujours selon les estimations du cabinet français, en 2020 on comptera 80 milliards d'objets connectés dans le monde.
C'est d'ailleurs pour cette raison que beaucoup d'acteurs du numérique misent sur le développement du marché des objets connectés. Aux cotés de ces acteurs privés, on constate que le Gouvernement français souhaite, lui aussi, saisir les opportunités qui se présentent. A cet égard, le 12 septembre 2013, le Président François Hollande a présenté le marché des objets connectés comme l'un des 34 plans de reconquête industrielle.
Selon le Gouvernement, "Cette évolution va transformer notre vie quotidienne en créant de nouveaux usages : dans le domaine de la santé, de l’éducation, du transport, de la sécurité des habitations, et dans de nombreux aspects de la vie quotidienne. Cette dynamique va également transformer radicalement notre industrie, en réduisant la durée des cycles d’innovation ou encore en améliorant la traçabilité".
Cependant, il convient de s'assurer que cela ne se fasse pas au détriment de la sécurité du consommateur et du respect de sa vie privée.
Il faut savoir que le fonctionnement de ces "objets de l'internet" repose sur le traitement d'un nombre conséquent de données, et notamment de données personnelles. Dès lors, ces objets intelligents soulèvent des problématiques d'ordre juridique, et plus particulièrement en matière de sécurité et de protection des données personnelles.
Une sécurité relative
Lorsque l'on parle d'objets connectés, on vise des objets utilisant des réseaux de communications pour leur fonctionnement (y compris hertzien). Cependant, les objets connectés ne disposent pas nécessairement d’antivirus ou de logiciels de protection comparables à ceux dont sont équipés les ordinateurs. Ainsi, le marché des objets connectés a vocation à devenir un immense terrain de jeux pour les hackers, ou autre cybercriminels.
A l'heure actuelle, il est difficile de recenser toutes les attaques sur ou via les objets connectés. Néanmoins, il est facile d'imaginer quelles pourraient être les futures attaques et leurs conséquences. Il pourrait s'agir de toute action visant à troubler la tranquillité de l'utilisateur, ou, chose plus inquiétante, visant à pénétrer frauduleusement un lieu privé. Le Washington Post, a par exemple soumis l'hypothèse intéressante du lave-vaisselle piraté qui inonderait la maison de l'utilisateur.
L'hypothèse du lave vaisselle, ou du frigo piraté peut faire sourire, mais à bien y réfléchir ce genre d'attaques peuvent être lourdes de conséquences tant pour le consommateur que pour l'industriel. En 2012, lors d'une conférence d'informaticiens, Barnaby Jack, un expert en sécurité informatique chez IO Active, a réussi à prendre le contrôle à distance d'un pacemaker. En 2013, d'autres experts informatiques ont démontré qu'il était possible de désactiver à distance les freins d’une voiture électrique. Ce genre d'exemples peut aisément conduire à la psychose, d'ailleurs, une théorie du complot, basée sur un piratage à distance de la voiture du journaliste Michael Hastings, s'est développée aux Etats-Unis en juin 2013.
Les industriels sont également exposés à des risques contre lesquels ils doivent se prémunir. Imaginons qu'un objet connecté puisse se transformer en véritable outil de concurrence déloyale. Un simple bug, ou une attaque généralisée des objets connectés d'une même marque pourraient fortement entacher l'image de l'entreprise. On peut alors imaginer de nouvelles attaques visant à neutraliser la concurrence…
Il ne s'agit pas d'engager un discours fataliste ou de dénoncer une guerre 2.0, mais il convient néanmoins de prendre en compte les problématiques relatives à la sécurité des utilisateurs, et notamment la sécurité des données personnelles de ces utilisateurs.
Un traitement conséquent des données personnelles
Cette nécessité se fait d'autant plus sentir au regard de l'ampleur que prennent les "Quantified Self", ces petits objets qui calculent la température de votre corps, votre rythme cardiaque, ou votre tension. Selon la CNIL, ces objets qui vacillent entre bien- être et santé, reposent sur la collecte et le traitement de données dites "sensibles" qui, à cet égard, doivent faire l'objet d'une protection renforcée. Les raisons de leur caractère sensible sont facilement imaginables. Il suffit de s'interroger sur les conséquences de leur communication à des tiers, tels que les assureurs par exemple. 500052332.1\HT08 3
D'autres données, même si elles ne sont pas "classées sensibles", doivent également faire l'objet d'une vive attention, ce sont notamment les données conduisant à la géolocalisation des individus.
En effet, certaines applications intégrées aux voitures, aux compteurs électriques ou encore aux simples brosses à dents permettent de savoir où se situe un individu, et surtout de savoir qu'il n'est pas à son domicile. Ces informations, si elles font l'objet d'un détournement, pourraient être très utiles aux cybercriminels ou autres personnes malveillantes.
Cette potentielle géolocalisation fait l'objet de toutes les craintes. Cette crainte a d'ailleurs été en partie alimentée par la loi relative à la géolocalisation qui prévoit que, dans le cadre d'une enquête et sous l'autorité d'un juge, les enquêteurs peuvent avoir recours à "tout moyen technique destiné à la localisation en temps réel" d'une personne, "d'un véhicule ou de tout autre objet".
L'ASIC (Association des Services Internet Communautaires) regrette le caractère large de cette disposition et souligne à bon escient que la création d’un mécanisme de géolocalisation de tous ces objets est sans doute prématurée, d'autant plus que la France a décidé de faire de ce secteur une des priorités de son redressement productif. En effet, il semblerait que la législation soit en inadéquation avec les objectifs que la France s'est elle-même fixée.
Une nécessaire sécurisation
Pour assurer le développement du marché des objets connectés, il est nécessaire, voire indispensable d'assurer aux individus le respect de leurs droits et, par là, de rassurer le consommateur. A cet égard, selon une étude de la société Havas, alors que la plus part des consommateurs interrogés reconnaissent les avantages des objets connectés, 78% craignent néanmoins un risque accru pour leur vie privée.
Dès lors, les industriels doivent nécessairement se pencher sur les questions de sécurité tant pour l'intérêt des utilisateurs que pour leur propre intérêt (protection de leur responsabilité à l'égard des utilisateurs). Ce travail doit se faire dès la conception du produit, ce qui n'est pas toujours le cas aujourd'hui.
En effet, la concentration des investissements sur la production d'un produit "grand public" peuvent conduire les industriels à mettre de coté les questions relatives à la sécurité. Dans d'autre cas, ce délaissement peut à lié à une méconnaissance des obligations règlementaires en matière de données personnelles. Cependant, l'approche "Security by design" offrirait aux industriels une plus grande sécurité juridique et réduirait justement les coûts auxquels ils doivent faire face.
En effet, selon IBM Systems Sciences Institute Statistics, si le coût de correction d'une faille de sécurité est de 1 en phase de conception, il sera de 8 en développement, 16 en test et 60 en production.
De plus, conformément à l'article 226-17 du Code pénal, le non-respect de l’obligation de sécurité imposée à tout traitement de données à caractère personnel est sanctionné de 5 ans d'emprisonnement et de 300.000 € d'amende. Lorsque c'est une personne morale qui est en cause, l'amende peut être multipliée par 5 et atteindre jusqu'à 1.500.000 €.
En d'autres termes, pour garantir le développement de ce marché encore faut-il trouver, une fois de plus, un juste équilibre entre sécurité des données et développement des nouvelles technologies. D'autant plus qu'à l'occasion du CES qui s'est tenu à Las Vegas en janvier 2014 le "made in France" a fait sont petit effet…
Diane Mullenex, Associée, Pinsent Masons, et expert ROOMn