Internet des objets et vie privée: la nécessaire réconciliation

Article
Par · 24/10/2014

L’Internet des Objets pose un défi de taille pour l’application de certains principes de base inhérents à la vie privée et à la législation prévue en la matière. Prenons en exemple, le principe de proportionnalité – celle qui détermine l’envergure de collecte par rapport à l’objectif.

Problème: avec l’Internet of Things (IoT), la collecte est automatique et permanente et l’objectif au mieux imprécis, au pire à géométrie variable. Avec une visibilité nulle sur l’usage qui pourra être fait à terme par des prestataires qu’on ne soupçonne en partie pas encore.

En toute connaissance de cause

Le “sujet” de la collecte des données doit en outre être informé, afin d’avoir conscience de la collecte. Et il doit pouvoir prendre “en pleine connaissance de cause” la décision d’autoriser ou non un objet, une appli à collecter, communiquer avec tel(le) ou (tel)le autre… Il doit pouvoir donner un consentement “informé et éclairé”.

Comment faire? “On pourrait imaginer que lorsqu’il sort sa montre connectée de l’emballage, l’utilisateur doive accepter les conditions d’utilisation du logiciel, que l’interface soit simple et éloquente de telle sorte à lui permettre de décider ce qui peut être collecté et envoyé ou non… Tout cela relève du principe de privacy by design”, déclare Philippe Laurent, du cabinet juridique MVVP (Marx Van Ranst Vermeersch & Partners).

Mais… parce qu’il y a de multiples “mais”.

Quid dans le cas d’un objet que plusieurs personnes se partagent? “Chacun devra-t-il par exemple accepter les conditions avant de pouvoir démarrer la voiture de la famille ou une voiture partagée?”

Grégorio Matias (MCG): “Je suis convaincu que la législation n’est pas prête pour l’Internet des Objets et les risques qu’il fait peser sur l’utilisateur.” Quid si une société chinoise procède à du hacking d’objets connectés? Quel recours serait possible pour la victime? Idem si un un visiteur étranger de passage dérobe des données. “La législation existante n’est déjà pas prête pour le réseau de l’entreprise. Encore moins pour l’Internet des Objets.” Mais, ajoute-t-il, “comment est-il possible de définir un cadre pour quelque chose dont on ignore encore quel en sera le fonctionnement d’ici quelques années?”

Quid de la qualité, de la pertinence du consentement donné par un utilisateur? “A mes yeux, il ne suffit pas”, insiste Philippe Laurent. “Parce que ses termes ne sont pas forcément compris. Parce que le phénomène de monétisation du consentement brouille le jeu. L’utilisateur consent en quelque sorte à céder son identité pour de l’argent. Est-ce éthique? Il y a de gros risques de dérive.

Enfin, le consentement ne suffit pas parce qu’il est un leurre. Prenons deux exemples. On propose à une personne âgée de s’équiper d’une montre connectée parce qu’elle surveillera son rythme cardiaque et qu’elle pourra la prévenir 8 heures à l’avance de la survenance d’un problème cardiaque. Où est la liberté de consentement? Ou bien elle accepte les conditions générales ou bien elle accepte de ne pas sauver sa vie…

Autre exemple: a-t-on encore réellement le choix d’avoir ou non un compte Facebook à l’heure où de plus en plus de services ne sont utilisables que si on s’identifie d’abord automatiquement et exclusivement via un compte Facebook?”

Philippe Laurent: “Les grands acteurs du secteur IT – Google, Facebook et consorts – font tellement de choses avec leurs données, ajoutent sans cesse des applications, des fonctions, modifient tellement les règles du jeu en cours de route, qu’il est quasi impossible de savoir ce qu’ils en font en réalité.”

Qui est “propriétaire” des données?

 

Le non respect des règles de vie privée n’est pas seul en cause. Un autre risque réside dans l’attrait de la monétisation des données. Et pas uniquement dans le chef de l’éditeur de l’appli lqui pourrait revendre les données collectées. “Les développeurs mais aussi les prestataires de services sont souvent basés dans des pays où les règles de sécurité sont légères et les salaires fort bas”, rappelle Christophe Châtillon, patron de Tapptic. “Mal payés, les salariés n’hésiteront sans doute pas à se faire de l’argent en plus…” Or ces données vaudront de l’or: votre style de conduite, vos habitudes de vie, le type de sport que vous pratiquez, vos constantes biologiques…”

Rappelez-vous elles sont collectées, analysées et resservies, sous une forme ou une autre, par le concepteur du dispositif ou de l’application. Et ce dernier est peut-être américain ou chinois. Les données, elles, sont stockées, dans le cloud, sur ses systèmes (ou l’un de ses prestataires), dans des contrées qui ne respectent pas forcément la vie privée, la propriété intellectuelle et certainement pas la législation de notre pays.

Questions? Avez-vous un droit de regard sur ces données, sur leur précision, exactitude, sur la manière dont elles sont traitées, éventuellement revendues?

“L’accès à ses données par l’utilisateur est, en termes de vie privée, un important avantage qu’un fournisseur qui en tiendra compte pourra proposer à sa clientèle. Se différenciant ainsi de la masse”, indique Pascal Poty, consultant à l’AWT. Voir aussi notre article “Vie privée: épouvantail ou opportunité?”

Le pouvoir de monétisation des données, en d’autres termes, devrait tenir dans les mains de l’utilisateur et non dans celle du prestataire. Au client, à l’internaute, au citoyen de décider s’il monnaie ou non ses données. Et à qui.

Autre rêne qui devrait lui revenir: la garantie d’un service après-vente. Autrement dit, une possibilité de recours – et de support – si l’objet connecté connaît un problème.

Opt-out

Préserver sa vie privée implique d’avoir le pouvoir de dire non. Ou pour reprendre la formulation choisie par Pascal Poty, de pouvoir “exiger le silence des puces”. Selon lui, tous les concepteurs doivent, dès à présent, inclure cette possibilité dans le design des objets et applis. “Parce que les utilisateurs le voudront et parce que, s’ils ne le font pas, ils se retrouveront confrontés à une non conformité juridique.”

Gartner: “Tous ceux qui recourent à des modèles d’affaires reposant sur l’analyse d’informations venant de différentes sources devraient faire davantage attention à des sujets tels que l’opt-in, la formation des usagers et la sécurité des données. Les développeurs de produits devraient envisager de recourir à des audits externes pour évaluer l’utilisation qu’ils font [ou autorisent] de l’information.”

Les choses sont-elles ou seront-elles aussi simples que cela? Suffira-t-il d’un “just say no”, de dire “not in my name”? Quel poids aura réellement l’usager face aux puissantes machines venues d’ailleurs où le concept de vie privée est flou voire inexistant? Verra-t-on s’installer un univers des objets à deux vitesses, deux faces d’une même lune?

Rendez-vous dans quelques années pour voir quelle tournure auront pris les événements…