Plus d'informations ici

réglementation des objets connectés

Un vide juridique .. ?

- > extrait de la page : le monde 3.0 enjeux et questions des objets connectes

du site internet : le stanc avocats

29/06/2015

Clémence BALLET

" Il n’existe pour l’instant aucune réglementation spécifique applicable aux objets connectés, mais contrairement aux idées reçues il n’est pas indispensable de légiférer sur toutes les nouveautés de ce monde.

Le droit commun est précisément conçu de façon suffisamment large pour pouvoir généralement englober les innovations.

Dans son ouvrage [18], paru en 2015 aux éditions LexisNexis, Thierry Piette-Coudol propose de s’intéresser à deux grands concepts du droit civil : la responsabilité et le principe de précaution.

Concernant la responsabilité, en application de l’article 1382 du code civil (« Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ») et de l’article 1384 (« On est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l’on a sous sa garde »), nous sommes responsables des choses que l’on a sous notre garde. Or, un objet connecté est une chose que l’on a sous sa garde.

La communication autour de ce principe dans le cadre de l’utilisation des objets connectés permettrait de responsabiliser les utilisateurs. Effectivement si par le biais de leur objet connecté ils causent un dommage à autrui alors ce dernier pourra agir contre le propriétaire de l’objet pour obtenir réparation.

Le principe de précaution, issu de la Charte de l’environnement [19] énonce en son article 5 : « lorsque la réalisation d’un dommage, bien qu’incertaine en l’état des connaissances scientifiques, pourrait affecter de manière grave et irréversible l’environnement, les autorités publiques veillent, par application du principe de précaution et dans leurs domaines d’attributions, à la mise en œuvre de procédures d’évaluation des risques et à l’adoption de mesures provisoires et proportionnées afin de parer à la réalisation du dommage ».

On comprend bien à la lecture de cette disposition qu’en matière d’objets connectés les risques pour l’environnement existent (surexposition aux ondes), même si l’on ne connaît pas pour l’instant les effets à long terme de leur utilisation.

Même s’il semble important de défendre ce principe de précaution, dans les faits c’est en vain puisque l’économie liée à l’innovation prévaut bien souvent sur ledit principe.

En dehors de ces principes de droit commun, le droit au respect de la vie privée et le droit relatif à la gestion et à la protection des données personnelles ont été considérés comme des points cruciaux par le ministère de l’économie et des finances et le ministère du redressement productif [20].

Vigilance accrue pour la protection de la vie privée et des données personnelles

Contrairement à d’autres pays, la France reste encore très sensible à la protection de la vie privée et des données personnelles, ce qui d’ailleurs peut poser une difficulté d’un point de vue concurrentiel.

Cependant entre efficacité économique et protection du consommateur les cœurs balancent, et la préservation des droits de ces derniers prime.

Bien que le droit français ne vise pas spécifiquement les objets connectés, la loi informatique et libertés est suffisamment large pour englober cette innovation puisque celle-ci règlemente les traitements de données personnelles.

Or, les objets connectés collectent des données personnelles au sens de l’article 2 (« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement »).

Quant au droit européen, les directives 95/46/CE et 2009/136/CE s’appliquent à l’internet des objets.

De nombreuses problématiques se posent avec l’internet des objets.

Cependant, pour prendre l’exemple du quantified-self, la plupart des utilisateurs n’ont qu’une conscience limitée des problématiques relatives à la protection de leurs données personnelles.

Pourtant, on constate un réel manque de contrôle des informations par l’utilisateur de l’objet connecté qui ne peut pas nécessairement vérifier les données avant qu’elles soient publiées sur internet, entraînant un risque d’exposition excessive.

De plus les objets peuvent être interconnectés et donc transférer des données des uns aux autres sans que l’utilisateur n’en soit informé.

L’un des éléments qui pose problème au regard du droit français et européen est le consentement de l’utilisateur. Le rapport 8/2014 du G29 consacre une étude approfondie sur ce point. Il met en lumière le fait que dans la majorité des cas l’utilisateur d’un objet connecté n’est pas informé du traitement des données résultant de l’utilisation de l’objet, donc a fortiori s’il n’est pas au courant il n’a pas non plus consenti à un tel traitement.

Or le consentement est au centre du droit des contrats français et européen.

L’article 1108 du code civil pose le consentement comme l’une des conditions essentielles à la validité d’un contrat. Par conséquent il est nécessaire de mettre en place un mécanisme valide pour obtenir le consentement des individus au traitement de leurs données personnelles, et cela passe avant tout par une information complète.

En ce sens, l’article 5(3) de la directive 2002/58/CE sur la e-vie privée vient faire peser certaines obligations sur les acteurs de l’internet des objets. Cet article prévoit effectivement que les fabricants des objets, les acteurs qui veulent avoir accès aux données, ainsi que les contrôleurs de données obtiennent le consentement libre et éclairé des utilisateurs.

Ils doivent donc s’assurer que ce dernier a donné son consentement à un tel stockage de ses données après avoir obtenu une information claire et compréhensible de la part du contrôleur sur les raisons du traitement.

Une autre difficulté est que la collecte de données peut permettre de créer des profils-types, ensuite utilisés pour réaliser du ciblage comportemental autrement dit de la publicité ciblée.

Effectivement, bien que les différents objets collectent des pièces isolées d’informations sur l’utilisateur, une quantité suffisante de données collectées et les analyses qui seront effectuées par la suite peuvent révéler les habitudes, les goûts et les comportements d’un individu. Or cela pose un problème quant à la légitimité du traitement des données collectées via les objets connectés.

L’article 7 de la directive 95/46/CE pose trois conditions pour que le traitement soit qualifié de légitime : le consentement ; le caractère nécessaire du traitement dans le cadre de l’exécution d’un contrat auquel l’utilisateur de l’objet est partie ; la réponse à un intérêt légitime poursuivi par le contrôleur des données.

A la lecture de cette disposition on distingue la difficulté que posent la collecte et le traitement de données afin d’effectuer un profilage, puisque dans ce cas aucun des trois critères précités ne semble rempli.

Les objets connectés sont également susceptibles de collecter des données dites « sensibles ». Dans ce cas, tant la loi informatique et libertés du 6 janvier 1978 que l’article 8 de la directive 95/46/CE vient imposer au contrôleur l’obtention du consentement explicite de l’utilisateur, sauf si celui-ci a rendu lui-même ces données publiques.

Toujours en application de la loi informatique et libertés et de la directive 95/46/CE (articles 12 et 14), il est important d’informer les utilisateurs des objets connectés, en tant que « sujets de données », de leurs droits.

En effet, ils disposent d’un droit d’accès et d’un droit d’opposition au traitement de leurs données. Cependant, dans les faits on peut constater qu’il n’est pas possible d’accéder aux données brutes collectées par les objets connectés puisque nous n’avons accès qu’aux données analysées / traitées.

De la même façon la possibilité de faire opposition au traitement semble impossible lorsque que l’on utilise l’objet connecté. La seule manière d’y mettre fin est de cesser d’utiliser l’objet. Il sera donc nécessaire de mettre en place des moyens accessibles et efficaces pour permettre à l’utilisateur de s’opposer à un tel traitement.

Ainsi, afin de redonner le pouvoir aux utilisateurs sur leurs données personnelles, les objets connectés devront pouvoir se « déconnecter » dès que l’utilisateur le souhaite.

Pour conclure, le monde 3.0 offre des perspectives fascinantes en termes de croissance économique et d’amélioration de la vie quotidienne, mais il convient d’en maîtriser pleinement les risques. Les utilisateurs doivent ainsi prendre conscience de ces risques et être informés de leurs droits pour qu’ils puissent contrôler leurs données à tout moment ."

Par Clémence BALLET

Lire l'article en entier

le monde 3.0 enjeux et questions des objets connectes