Visioconférence Protection des objets connectés

Protection des objets connectésFrédéric Forster animera le 30 septembre 2020 un petit-déjeuner débat en visioconférence sur la protection des objets connectés.

La protection des objets connectés : un enjeu majeur

Certaines études estiment leur nombre à 22 milliards dans le monde en 2019 (Strategy Analytics, Internet of Things – IoT, May 2019), alors que certains analystes annoncent des chiffres plus modestes, compris entre 8 et 10 milliards en 2020.

Quoi qu’il en soit, les objets connectés continuent inexorablement leur développement et irriguent non seulement les activités personnelles mais aussi les activités professionnelles ; au point que les réseaux de future génération (« 5G ») ont été notamment conçus pour tenir compte des nouveaux usages qu’ils promettent.

Face à ces nouveaux usages, on ne peut éviter la question de la protection des données, encadrée en Europe par le Règlement général sur la protection des données (RGPD)

Les objets connectés sont omniprésents dans notre quotidien et traitent de nombreuses données à caractère personnel. Assistants personnels, enceintes, jouets, montres, dispositifs médicaux, capteurs sportifs, etc., tous ces objets collectent en permanence des données personnelles.

Le RGPD impose aux acteurs qui souhaiteraient exploiter des données personnelles, d’avoir une approche de protection des données dès la conception de leurs innovations (« Privacy by design ») sans compter les obligations générales en matière de sécurité. Les fournisseurs d’objets connectés doivent donc s’y conformer.

Faites le point en vous inscrivant à la visioconférence qui aura lieu mercredi 30 septembre 2020 entre 9h et 11h.

Inscription gratuite. Pour y assister, enregistrez-vous en renseignant les champs marqués d’un (*) :


Informations petit-déjeuner débat :
Date : 30-09-2020
Thème : « Protection des objets connectés »
Encadré par : Frédéric Forster
Domaine technique : Internet des objets
Domaine juridique : Communication Electronique
Format de conférence : Distanciel

Formulaire d'inscription
Civilité
Nom*
Prénom*
Fonction*
Organisme*
Adresse
Code postal
Ville
Tél mobile
Tél fixe
Mél*
Domaine d'activité*
Présentiel/Distanciel : Distanciel
S'abonner au petit-déjeuner débat
S'abonner à la lettre JurisTendances Télécoms, Informatique & Libertés
(*) Champs obligatoires

Le cabinet Alain Bensoussan Selas, responsable du traitement, met en oeuvre un traitement de données à caractère personnel ayant pour finalité la gestion des abonnements aux petits-déjeuners débats du cabinet. Le formulaire, ainsi que le traitement informatisé des données vous concernant, permettent de vous abonner aux petits-déjeuners débats du cabinet et d’accéder aux éléments documentaires associés, sur demande. Les réponses aux questions posées dans ce formulaire sont facultatives hormis celles accompagnées d’un astérisque. Leur défaut de réponse ne nous permets pas de traiter au mieux votre abonnement.

Conformément à la loi Informatique et libertés, vous disposez d’un droit d’interrogation, d’accès, de rectification et d’opposition pour motifs légitimes relativement à l’ensemble des données vous concernant qui s’exercent auprès du correspondant informatique et libertés par courrier électronique à l’adresse suivante : alain-bensoussan-cil@alain-bensoussan.com ou par courrier postal à l’adresse suivante, Alain Bensoussan Selas – 58 boulevard Gouvion-Saint-Cyr – 75017 Paris, accompagné d’une copie d’un titre d’identité.




Le réseau Lexing vous informe sur la sécurité de l’internet des objets

Ce numéro spécial international du réseau Lexing ® se penche sur la sécurité de l’internet des objets.

Aucun produit ou service TIC, et a fortiori aucun objet connecté, n’est totalement sécurisé sur le plan de la cybersécurité. En outre, la cybersécurité n’est pas qu’une question liée à la technologie. Il s’agit d’une question pour laquelle le comportement humain est tout aussi important.

Deux textes majeurs encadrent la sécurité des systèmes : le Règlement général sur la protection des données et le Règlement sur la cybersécurité.

Les citoyens, les organisations et les entreprises sont vivement encouragés par le législateur à adopter une « hygiène informatique ». Cette dernière consiste à prendre des mesures simples et de routine ;  lorsqu’elles sont mises en œuvre et effectuées régulièrement, elles renforcent la sécurité des objets connectés et atténuent les risques.

Dans ce numéro de « Lexing Insights », les membres du réseau Lexing ® dressent un tableau de la situation actuelle à travers le monde :

  • Quelles menaces font peser les objets connectés ?
  • Que peuvent, ou doivent, faire les fabricants pour prévenir, gérer et corriger les failles de sécurité ?
  • Quelles mesures sont prises par les pays dans le monde pour sécuriser l’IoT ?
  • Comment établir un cadre de confiance et développer des bonnes pratiques ?

Les membres du réseau Lexing dressent un tableau de la situation actuelle en Afrique du SudAllemagneBelgiqueFranceGrèce.

Lettre Juristendances Internationales « Lexing Insights » n°22 Juillet 2019




Classement Legal 500 2019 : Alain Bensoussan à l’honneur

Classement Legal 500 Alain Bensoussan à l’honneur

Alain Bensoussan est classé « Leading individual » dans la catégorie IT, télécoms & internet du classement Legal 500 2019

Legal 500 Paris vient de rendre public son classement EMEA 2019.

Alain Bensoussan y est classé « Leading individual » dans la catégorie IT, télécoms & internet.

C’est un honneur et une fierté pour le cabinet Lexing Alain Bensoussan Avocats, qualifié par Legal 500  » d’une des premières boutiques du marché à s’être historiquement spécialisée dans le secteur des nouvelles technologies  » et réputée pour  » son expertise s’agissant de la conduite de projets de transition numérique, du traitement de dossiers en matière de données personnelles, ainsi que pour ses compétences avancées sur les questions du droit des robots et de l’intelligence artificielle « .

The Legal 500 Paris est un ouvrage de référence pour des milliers de professionnels du droit des affaires, y compris de très nombreux juristes d’entreprises. Y sont classées près de 300 cabinets d’avocats opérant en France. The Legal 500 Paris offre une analyse détaillée de 45 domaines d’expertise juridique différents.

Le travail de recherche est effectué par une équipe de rédacteurs expérimentés qui s’entretiennent chaque année avec des centaines d’avocats et interrogent des milliers de clients. Ce sont sur ces bases que sont établis les classements.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Santé numérique: les enjeux du programme Hop’EN

Le programme Hop’ENLe programme Hop’EN, « Hôpital numérique ouvert sur son environnement », poursuit la politique du numérique en santé initiée par le Programme Hôpital Numérique (2012-2018).

Lancé par la DGOS et encadré par son instruction du 12 février 2019, il s’inscrit dans le cadre de la stratégie de transformation du système de santé (STSS) « Ma santé 2022 » et de son volet numérique. Il a pour objectif une modernisation nationale des systèmes d’information hospitaliers à cinq ans.

Il mobilise un budget de 420 millions d’euros dans le cadre du grand plan d’investissement (GPI).

Objectifs du programme Hop’EN

Les objectifs du programme Hop’EN sont les suivants :

  • capitaliser et poursuivre les efforts engagés dans le cadre du programme Hôpital Numérique ;
  • renforcer la structuration des données hospitalières pour en faciliter le partage ;
  • le programme Hop’EN, « Hôpital numérique ouvert sur son environnement », poursuit la politique du numérique en santé initiée par le Programme Hôpital Numérique (2012-2018).Lancé par la DGOS et encadré par son instruction du 12 février 2019, il s’inscrit dans le cadre de la stratégie de transformation du système de santé (STSS) « Ma santé 2022 » et de son volet numérique. Il a pour objectif une modernisation nationale des systèmes d’information hospitaliers à cinq ans.Il mobilise un budget de 420 millions d’euros dans le cadre du grand plan d’investissement (GPI).

Objectifs du programme Hop’EN

Les objectifs du programme Hop’EN sont les suivants :

  • capitaliser et poursuivre les efforts engagés dans le cadre du programme Hôpital Numérique ;
  • renforcer la structuration des données hospitalières pour en faciliter le partage ;
  • développer et simplifier les liens entre l’hôpital et ses partenaires, notamment la ville et le médico-social dans une logique de prise en charge décloisonnée, via le développement de la MS Santé, du DMP, et d’autres outils territoriaux appuyés par le niveau national (via le programme e-parcours notamment) ;
  • accélérer la transformation numérique des établissements de santé pour rapprocher les hôpitaux de leurs patients en offrant des services numériques adaptés et sécurisés (prise de rendez-vous, paiement en ligne, …) dans le cadre de la mise en place de l’espace numérique de santé ;
  • harmoniser les services numériques des hôpitaux sur un même territoire pour que le patient vive avec plus de facilité le passage d’un établissement à l’autre et bénéficie d’un même niveau de services (dans le contexte GHT notamment).

Le programme s’appuie sur plusieurs leviers opérationnels pour atteindre ces objectifs : la gouvernance, les compétences, les partenaires, le financement, l’accompagnement, le pilotage et la communication, la recherche et l’évaluation. Ces leviers doivent aider les établissements à atteindre le palier de maturité nécessaire pour permettre aux systèmes d’information hospitaliers (SIH) de répondre aux nouveaux enjeux de décloisonnement du système de santé et de rapprochement avec les patients.

Chaque ARS est tenue d’élaborer sa « feuille de route régionale » décrivant ses objectifs en matière d’informatisation ainsi que les modalités de déclinaison du programme Hop’EN sur son territoire. L’ARS gère l’enveloppe régionale de soutien financier qui lui a été déléguée pour le programme, sélectionne et instruit les dossiers des établissements, et rend compte de l’avancement des projets aux instances nationales.

Respect des prérequis et domaines fonctionnels

Le programme Hop’EN pose des prérequis et liste des domaines fonctionnels.

Les 4 prérequis sont :

  • identités – mouvements ;
  • sécurité ;
  • confidentialité ;
  • échange et partage ;

Les 7 domaines fonctionnels sont :

  • les résultats d’imagerie, de biologie et d’anatomo-pathologie ;
  • le dossier patient informatisé et interopérable ;
  • la prescription électronique alimentant le plan de soins ;
  • la programmation des ressources et l’agenda du patient ;
  • le pilotage médico-économique ;
  • la communication et l’échange avec les partenaires ;
  • les services aux patients ;

Pour chaque prérequis et chaque domaine fonctionnel, la DGOS a développé des indicateurs permettant de vérifier si l’objectif est atteint.

Par exemple, pour le prérequis « échange et partage », l’un des indicateurs est l’existence et l’utilisation dans l’établissement d’une messagerie intégrée à l’espace de confiance MS Santé.

De même, pour le domaine fonctionnel « informatiser la prescription alimentant le plan de soins », l’un des indicateurs est le taux de séjours disposant de prescriptions d’examens de biologie informatisées, sachant que le seuil d’éligibilité pour le programme Hop’EN est un taux de 80 % des séjours concernés.

L’ensemble des indicateurs, permettant aux établissements de vérifier leur conformité avec les prérequis et les domaines fonctionnels du programme, figurent à l’annexe 1 de l’instruction de la DGOS du 12 février 2019.

La dotation de 420 millions d’euros allouée au programme HOP’EN, sera distribuée du second semestre 2019 à l’année 2023 aux établissements ayant répondu aux exigences du programme, donc à ces indicateurs.

20 % de l’enveloppe est dédiée à l’amorçage soit 84 millions d’euros, et 80 % réservée à l’atteinte des domaines d’usage soit 336 millions d’euros.

Exigences relatives à la protection des données

Les indicateurs des prérequis intègrent des exigences issues du Règlement européen relatif à la protection des données (RGPD).

En effet, le 2ème prérequis porte sur la sécurité des systèmes d’information. Il s’agit évidemment d’une exigence au cœur du RGPD, figurant à son article 32 : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Le 3ème prérequis porte sur la confidentialité, laquelle constitue l’un des principes fondamentaux du RGPD (article 5.1.f)).

Parmi les indicateurs de ce prérequis se trouvent :

l’information des patients sur les traitements de leurs données (articles 13 et 14 du RGPD) ;

l’information des patients sur leurs droits à cet égard (articles 15 à 22 du RGPD) ;

à nouveau la sécurité des données (article 32 du RGPD) ;

l’existence d’une fonction DPO au sein de l’établissement (articles 37 à 39 du RGPD) ;

Ainsi, le financement alloué dans le cadre du programme Hop’EN est conditionné par la mise en conformité par les établissements de santé au RGPD.

Une date butoire au 30 juin 2019, sauf dérogation

Les établissements de santé ou GHT souhaitant soumettre un projet informatique à financer dans le cadre du programme Hop’EN doivent répondre à un appel à manifestation d’intérêt (AMI), ouvert jusqu’au 30 juin prochain, en renseignant un module de pré-candidature au sein de l’oSIS (observatoire des SI de santé).

Les établissements candidats doivent avoir atteint les prérequis Hop’EN avant le dépôt de leur dossier ou, de façon dérogatoire, avant le 1er janvier 2021, faute de quoi le montant alloué au titre de l’amorçage devra être remboursé.

Les ARS sont chargées de présélectionner les candidatures et de présenter à la DGOS leur programmation pluriannuelle prévisionnelle de financement au plus tard le 30 août 2019.

Les établissements et GHT seront informés de la sélection ou du rejet de leur candidature au plus tard le 30 septembre.

Exceptionnellement, les établissements qui n’auront pas fait part de leur souhait de candidater au cours de l’AMI pourront transmettre ultérieurement leur candidature jusqu’au 31 décembre 2021, si l’ARS et son enveloppe régionale le permettent.


M
arguerite Brac de la Perrière
Isabeau de Laage
Lexing Département Santé numérique




Juristendance Informatique et Télécoms n°195-2018

A signaler dans la Lettre Juristendance Informatique et Télécoms n°195, la 3ème édition de Technolex qui se tiendra à Paris, le 28 novembre 2018, en partenariat par le Groupe Serda Archimag (Bande-annonce).

Egalement à lire dans la Lettre Juristendance Informatique et télécoms du mois :

ARTICLES JURISTENDANCE :

INTERVIEWS ET VIE DU CABINET

Nos dernières publications :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendance Informatique et télécoms n°195, Novembre 2018




La sécurité des objets connectés : faites le point

sécurité des objets connectésLe cabinet organise le 14 novembre 2018 un petit-déjeuner débat sur la sécurité des objets connectés, animé par Frédéric  Forster et Nathalie Plouviet.

La sécurité des objets connectés : un enjeu majeur

Les objets connectés continuent inexorablement leur développement et irriguent non seulement les activités personnelles mais aussi les activités professionnelles, au point que les réseaux de télécommunication mobile de future génération (« 5G ») ont été conçus pour faire face aux nouveaux usages qu’ils promettent et qu’ils permettent déjà.

Dans ce contexte, le respect des impératifs de sécurité devient naturellement incontournable, qu’il s’agisse de la sécurité des accès physiques à ces objets, mais aussi de leur sécurité d’accès logique qui, si elle n’est pas – ou mal – prise en compte peut contaminer l’ensemble de l’écosystème technique auquel ils sont connectés.

En créant de nouveaux usages, ces objets révolutionnent la vie quotidienne y compris au sein de l’entreprise, rendant plus prégnantes les questions de sécurité.

A ce jour, le travail normatif peine quelque peu à faire émerger un référentiel commun et universel. En revanche, la législation contient déjà un certain nombre de pistes de résolution de ces problématiques sécuritaires, notamment au travers des dispositions du RGPD en application depuis le 25 mai. Ces objets servent en effet de source dans le processus de la collecte d’information.

Ce petit déjeuner sera donc l’occasion de faire le point sur ces questions et notamment sur les dernières nouveautés dans le domaine des normes et réglementations techniques et sur les impacts du RGPD et la loi Informatique et libertés française du 20 juin 2018 dans le domaine de la sécurité des objets connectés.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Alain Bensoussan au Workspace Expo pour présenter les impacts du RGPD

impacts du RGPDAlain Bensoussan était présent au salon Workspace Expo le 11 avril 2018 aux cotés de la Fédération EBEN. L’occasion, parmi les principales évolutions réglementaires, d’évoquer les impacts du RGPD à quelques jours de son entrée en application.

Alors que l’espace de travail devient de plus en plus intelligent (bureau avec écrans tactiles intégrés, chauffage et éclairage connectés, système de réservation des salles, etc.), que faire des données collectées par tous ces objets intelligents ?

A l’heure où les objets connectés génèrent un volume de données sans précédent, la question se pose de savoir quelles données l’on peut vraiment collecter. Peut-on les collecter alors qu’elles concernent des personnes et notamment les salariés d’une entreprise ?

Quel est le cadre juridique actuel ? Quels sont les enjeux : portabilité, réversibilité, propriété… ? Et enfin, quels sont les impacts du RGPD sur les métiers du design, à l’heure du big data, des algorithmes et de l’IA ?

Le Règlement général sur la protection des données (RGPD) entré depuis en application, le 25 mai 2018, va bouleverser en profondeur l’environnement digital des entreprises, avec notamment l’obligation d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits traitant de données personnelles.

La Fédération EBEN – Entreprises du Bureau et du Numérique – est le syndicat des entreprises de distribution de mobilier et fournitures de bureau, papeterie, solutions d’impression, informatique, réseaux et télécoms. Il représente plus de 10 000 entreprises et compte 2 000 adhérents sur l’ensemble du territoire français.

Isabelle Pottier
Directrice Études et Publications

Lieux : Paris Expo Porte de Versailles
Date : 10 au 12 avril 2018




Les jouets connectés : gare au risque d’espionnage

Les jouets connectésDans le numéro 50 de la revue PLANETE ROBOTS, Alain Bensoussan revient sur les jouets connectés et les risques d’espionnage.

Les robots jouets se développent de plus en plus. Ils ont des fonctionnalités plus ou moins larges allant du jouet éducatif au robot compagnon de jeu à forme animale.

S’agissant de produits utilisés par des enfants, une réglementation spécifique existe avec des obligations de sécurité et des restrictions d’importation essentiellement issues de la directive européenne 2009/48/CE du 18 juin 2009 relative à la sécurité des jouets.

Celle-ci impose le respect d’obligations préalables à sa mise sur le marché et des procédures de contrôle et de tests et prohibe un certain nombre de substances dans la composition du jouet.

Mais en plus de la réglementation relative à la sécurité, les jouets connectés posent d’autres questions comme l’émission de rayonnements qui expose les enfants aux radiofréquences ou encore la protection des données privées collectées et leur sécurité.

L’Agence nationale de sécurité sanitaire (Anses) a publié des recommandations en juin 2016. Elles visent à adapter les valeurs limites d’exposition réglementaires afin de réduire l’exposition des enfants aux champs électromagnétiques.

De son côté, la Cnil a dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 février 2017.

En novembre 2017, la Cnil a mis en demeure un fabricant de jouets de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE ». Cette mise en demeure ne constitue pas une sanction. Si la société se conforme sous deux mois, aucune suite ne sera donnée (1).

Cette affaire n’est pas sans rappeler la poupée qualifiée de « Barbie Stasi » par la presse allemande, avec son comportement mi-internet connecté, mi-robot en devenir.

Alain Bensoussan pour Planète Robots, « Les jouets connectés : gare au risque d’espionnage », n°50, Mars-Avril 2018.

(1) Décision n° MED-2017-073 publiée sur Legifrance.fr.




L’ exploitation des données non personnelles : un défi pour les entreprises

exploitation des données non personnellesAlain Bensoussan évoque pour la Lettre des Juristes d’Affaires, les grands défis que pose l’ exploitation des données non personnelles issues des multiples capteurs des objets connectés.

Les objets connectés ou communicants, ce sont notamment les compteurs intelligents, les voitures, les maisons connectées, les villes connectées, etc. Selon le rapport d’information sur les objets connectés du 10 janvier 2017, citant le Gartner, 6,4 milliards d’objets sont déjà connectés en 2016, et il devrait y en avoir 30 milliards en 2020 (1).

L’essor des objets connectés associé à l’exploitation du Big data offre de vastes perspectives de création de valeur. Or, si les entreprises et les pouvoirs publics se focalisent sur les données personnelles, leur statut et leur protection, selon le dossier abordé par la LJA, la question majeure qui n’a pourtant pas encore trouvé de réponse serait : à qui appartiennent les données non personnelles issues des capteurs ?

Pour Alain Bensoussan, ceux capables d’apporter des pistes auront un avantage majeur sur la concurrence. (…)

Lexing Alain Bensoussan Avocats

Pour lire l’article :
« Données non personnelles : l’autre grand défi des entreprises », Gabriel Mikulfka, La Lettre des Juristes d’Affaires, publié le 7 février 2018.

(1) AN, Rapport d’information 4362 du 10-1-2017.




Enjeux de responsabilité des acteurs IoT, opportunités et contraintes

responsabilité des acteurs IoTFrédéric Forster apporte son éclairage sur les enjeux de responsabilité des acteurs IoT pour la rubrique « Paroles d’experts » du site de la société Apollo.

Spécialiste français du courtage en assurances pour le secteur Tech : digital, IoT, high-tech, médical, Apollo interroge des experts reconnus, avocats, experts, spécialistes du marché US, etc. sur les sujets concernant ces nouvelles technologies.

Paroles d’experts

Frédéric Forster est avocat à la Cour d’appel de Paris, directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats, auteur de l’ouvrage « Droit des objets connectés et télécoms », paru aux éditions Larcier (2017), il est spécialiste de l’internet des objets et objets communicants, c’est donc à ce titre qu’il a accordé une interview sur le thème « Les enjeux de responsabilité des acteurs de l’IoT ». 

L’internet des objets ou IDO en français, recouvre l’ensemble des objets connectés ainsi que des réseaux de télécommunication et des plateformes de traitement des informations collectées qui leur sont associés, étant entendu que les réseaux de télécommunication en question peuvent être l’internet, des réseaux de radiocommunication avec les mobiles  ou encore des réseaux spécialisés à faible débit (connexion Bluetooth, RFID, etc.).

Responsabilité des acteurs IoT

A la  première question : « Quels sont les principaux enjeux de responsabilité pour les acteurs IoT ? » , Frédéric Forster présente les aspects liés à la sécurité des produits et à la sécurité logique.

A la seconde : « Que recommandez-vous en priorité aux acteurs IoT pour se protéger juridiquement et financièrement ? », il explique les précautions qui doivent être prises en amont du lancement du projet puis une fois que le produit est conçu, sans oublier la couverture en garantie des risques encourus.

Enfin sur la problématique du RGPD pour les acteurs IoT : opportunité ou contrainte trop forte ? Frédéric Forster explique que les entreprises n’ont pas le choix et qu’elles vont devoir intégrer le RGPD dans leur quotidien. Le règlement européen sur la protection des données est incontournable et s’applique à toutes les entreprises. Sa prise en compte rapide peut être un avantage concurrentiel.

Pour le développement de ces questions, rendez-vous sur le site d’Apollo pour lire l’interview de Frédéric Forster : « Les enjeux de responsabilité des acteurs de l’IoT ».




Nouvelle mise en cause de jouets connectés : la Cnil se prononce

Nouvelle mise en cause de jouets connectésUne nouvelle mise en cause de jouets connectés est intervenue avant Noël. L’occasion pour la Cnil de rappeler les lignes directrices applicables.

Dans une délibération du 20 novembre 2017, la Cnil a mis en demeure un fabricant de jouets de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE » (1).

Jouets mis en cause et procédure

Dans cette affaire, étaient en cause des jouets connectés qui répondent aux questions posées par les enfants sur divers sujets. Ces jouets sont équipés d’un microphone et d’un haut-parleur. Ils sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette, la réponse à la question posée par l’enfant étant extraite d’internet par l’application et la réponse étant communiquée via le jouet.

À la suite d’une plainte de l’association UFC Que Choisir, la Cnil a réalisé des contrôles et a opéré des vérifications sur les mécanismes permettant le fonctionnement de ces jouets. Ces vérifications ont permis de démontrer plusieurs manquements à la loi Informatique et libertés.

Manquements constatés

Le non-respect de la vie privée des personnes en raison d’un défaut de sécurité a d’abord été constaté. Les contrôleurs de la Cnil ont découvert qu’une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment, pouvait connecter un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier (sans mot de passe ou identification préalable de l’utilisateur).

Ils ont également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques :

  • soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ;
  • soit en appelant le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.

La Cnil a considéré que l’absence de sécurisation des jouets, permettant à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants et des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical, méconnait l’article 1er de la loi Informatique et libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Le défaut d’information des utilisateurs des jouets a ensuite été constaté, les utilisateurs des jouets n’étant pas informés :

  • des traitements de données mis en œuvre par la société ;
  • du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.

Au regard de tous ces éléments, la Cnil a donc décidé de mettre en demeure le fabricant de jouets de se conformer à la loi Informatique et libertés dans un délai de deux mois et de rendre publique cette mise en demeure.

Effets de la mise en demeure

Cette mise en demeure ne constitue pas une sanction. Si la société se conforme à la loi dans le délai imparti, aucune suite ne sera donnée. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

En revanche, si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Cnil pourra désigner un rapporteur qui proposera le cas échéant à la formation de prononcer une sanction.

Lignes directrices de la Cnil

Afin de garantir la sécurité des utilisateurs des jouets et objets connectés, la Cnil diffuse des mises en garde s’agissant des jouets et plus généralement des objets connectés à travers plusieurs lignes directrices publiées sur son site (2).

La Cnil recommande ainsi aux utilisateurs d’objets connectés de (3) :

  • vérifier a minima que l’objet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou depuis Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe ;
  • changer le paramétrage par défaut de l’objet (mot de passe, code PIN, etc.) ;
  • sécuriser l’accès par un mot de passe l’écran de déverrouillage du smartphone (ou de la tablette) et le réseau WiFi utilisé avec l’objet connecté ;
  • être d’autant plus vigilants sur les aspects de sécurisation lorsque les objets produisent des données sensibles, sur la santé ou sur les enfants ;
  • être attentif concernant sa propre vie privée et celle des autres si l’objet connecté est associé à des réseaux sociaux, notamment en désactivant le partage automatique des données ;
  • s’assurer de la possibilité d’accéder aux données et de les supprimer ;
  • éteindre l’objet quand il ne sert pas ou pour éviter de capter des données sensibles.

La Cnil avait déjà dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 janvier 2017 (4).

Lexing Alain Bensoussan Avocats
Lexing Droit de l’internet des objets

(1) Décision de la Cnil n° MED-2017-073 du 20-11-2017 mettant en demeure la société Genesis Industries Limited.
(2) « Il était une fois l’ours connecté mal sécurisé », Infographie de la Cnil du 4-12-2017.
(3) « Objets connectés : n’oubliez pas de les sécuriser ! », Article de la Cnil du 4-12-2017.
(4) N. Plouviet et C. Van Mol, « Faut-il déconnecter les jouets connectés des enfants ? », Alain Bensoussan.com, 3-3-2017.




Quels scenarii pour l’ IoT en France dans les prochaines années ?

IoT en FranceNathalie Plouviet participe le 14 décembre 2017 à la conférence de restitution de l’Observatoire de la vie connectée 2017 sur l’ IoT en France.

De nombreuses études promettent une progression fulgurante des objets connectés, à telle enseigne qu’on parle même de 3ème Révolution Internet.

Quelle est la réalité du développement de l’ IoT en France ? Sur quelles hypothèses de développement devons-nous tabler ?

Dans l’ « Observatoire de la vie connectées 2017, l’ère de la cobotique », la Commission Objets et services connectés de l’Acsel, le Hub de la transformation digitale, et le Carrefour de l’Internet des Objets, ont posé les bases de 3 scenarii :

 

  • Internet of everything ?
  • La fin de l’utopie ?
  • L’ère de la rationalisation ?

Autant de thèmes qui seront abordés lors de la conférence de restitution de l’Observatoire le 14 décembre 2017 pour une vision partagée sur le marché, les tendances, la progression du rôle de l’IoT et de la Cobotique dans 18 secteurs d’usages, à laquelle participera Nathalie Plouviet, avocate au cabinet Lexing Alain Bensoussan Avocats, directrice du Département Internet des objets.

Lors de cette matinée, les résultats de la 6ème vague du « Baromètre Confiance des Français dans le numérique » Acsel et La Poste et ses partenaires la CCD et Orange sur la confiance dans les objets connectés seront présentés en avant-première.

Liste  des intervenants :

  • David de AMORIM, Directeur de l’innovation DOCAPOST
  • Benjamin GRANGE, CEO – Président DENTSU CONSULTING
    COO – DG DENTSU AEGIS NETWORK FRANCE
  • Valérie NÉGRIER, DGA Prospective / Manager DENTSU CONSULTING
  • Nathalie PLOUVIET, Avocate CABINET ALAIN BENSOUSSAN AVOCATS LEXING
  • Benoît REGENT, Directeur du département Prospective DENTSU AEGIS NETWORK France
  • Cédric LECOLLEY, Directeur commercial & marketing GS1 France
  • Anne-Sophie BORDRY, Présidente TETRAMOS
  • Dimitri CARBONNELLE, Fondateur LIVOSPHERE
  • Karim LOURCI, Co-fondateur SMARTLY.AI
  • François SOREL, Journaliste NEXTRADIO TV

Pour plus d’informations sur le Baromètre Confiance de l’Acsel & La Poste, cliquez ici.
Il sera présenté dans son intégralité le 18 décembre prochain. Inscriptions ouvertes




Objets connectés : les spécificités télécoms de l’internet des objets

télécoms de l'internet des objetsLe cabinet a organisé le 19 décembre 2017 un petit-déjeuner intitulé : « Les spécificités télécoms de l’internet des objets », animé par Frédéric Forster.

Les spécificités télécoms de l’internet des objets

Les voitures autonomes, les villes intelligentes, l’usine 4.0 mais également la santé connectée…, l’internet des objets est partout et révolutionne de nombreux secteurs qu’ils soient industriels ou non.

La croissance phénoménale du nombre d’objets connectés et des usages qu’ils proposent induisent une consommation extrêmement importante de ressources, notamment dans le secteur des télécoms, sensible à une bonne gestion du spectre des fréquences ou des ressources en numérotation.

  • Quel est l’impact du de la multiplication des objets connectés sur le secteur des télécoms ?
  • Comment ce secteur s’est-il préparé à cette déferlante ?
  • Quelles conséquences organisationnelles, légales, réglementaires, cette multiplication des objets connectés et communicants a-t-elle ?

Ce petit-déjeuner débat était l’occasion de dresser un état des lieux des technologies, des objets et des services liés aux objets connectés et de présenter les grands enjeux de leur déploiement au regard de la réglementation sectorielle des communications électroniques.

Le petit-déjeuner s’est déroulé de 9h30 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Publication du rapport Belot sur l’avenir de la ville intelligente

rapport Belot

Le rapport Belot sur les smart cities propose des normes concernant les données, la cybersécurité et la gouvernance.

En avril dernier, a été publié le rapport sur l’avenir des smart cities qui avait été confié à Luc Belot, député de Maine-et-Loire. Ce rapport intitulé « De la smart city au territoire d’intelligence[s], l’avenir de la smart city » (1) formule plusieurs propositions au regard de la multitude des enjeux et de la diversité des projets de smart city.

Le rapport Belot définit tout d’abord la smart city comme « passer de la ville Informatique à la ville Numérique. Il s’agit de construire une ville collaborative, contributive, disruptive, inclusive, créative ».

Il distingue ensuite trois priorités pour mettre l’être humain au cœur des villes intelligentes :

  • organiser une réelle gouvernance pour avoir une politique transversale ;
  • assurer la souveraineté et éviter la privatisation de la ville (préalable de standardisation et de réversibilité) ;
  • garantir une ville inclusive en donnant une place aux citoyens.

Pour finir il énumère plusieurs propositions afin d’atteindre ou tout du moins tendre vers ces priorités.

Certaines propositions nous intéressent plus particulièrement du fait de leur possible impact sur la réglementation.

Propositions du rapport Belot sur la cybersécurité

Le rapport Belot rappelle l’importance de la cybersécurité dans le développement des smart cities. En effet, il est essentiel que les villes puissent offrir des infrastructures sécurisées lorsque 70% des objets connectés utilisés fréquemment présentent des vulnérabilités (2).

A ce titre la proposition n°5 propose « d’offrir des formations, accessibles aux élus locaux et à leurs services, pour évaluer les degré de sécurité des objets connectés et des systèmes d’information qui leur sont liés ».

Dans le même sens la proposition n°10 avance « d’offrir des formations, accessibles aux élus locaux et à leurs services, pour évaluer les degrés de sécurité physique et informatique des données ».

Par ailleurs, les propositions 6 et 10 visent à faire inclure dans les marchés liés à la digitalisation des collectivités des clauses sur la sécurité et la collecte des données.

Enfin, pour tous ces sujets de cybersécurité le rapport Belot recommande de travailler en collaboration avec l’Anssi.

Propositions du rapport Belot sur les données

Concernant les données, le rapport Belot souligne le besoin de standardisation des données, et indique qu’il faudrait faciliter la réutilisation des jeux de données (proposition n°2).

Cette standardisation pourrait se faire notamment par l’émergence de normes pour les données les plus utiles (transport, énergie et adresses) et par une modification du Code des relations entre le public et les administrations pour adopter une obligation de partage des données à travers une interface de programmation (API) lisible.

De plus, le rapport Belot entend dans sa proposition n°8 faire effectuer un recensement des données d’intérêt territorial disponibles produites par les entreprises ou associations non concernées par les lois transition énergétique et République numérique. Ce recensement réalisé il pourrait être opportun de créer un droit des collectivités à accéder à ces données, et ce afin de pouvoir mettre à disposition en open data toutes ces données.

En outre, dans sa proposition n°9 le rapport propose d’attribuer une nouvelle compétence aux établissements publics de coopération intercommunale ainsi qu’aux régions et aux départements pour :

  • la création d’une plateforme data territoriale, comprenant un volet open data au moins pour les données prévues par la loi ;
  • l’inventaire des données d’intérêt territorial ;
  • le recueil de l’ensemble des données auxquelles les communes membres de l’EPCI et l’EPCI lui-même ont légalement accès ;
  • la sécurisation de ces données ;
  • le stockage ;
  • l’anonymisation, si nécessaire, des données personnelles ;
  • l’adoption, après un large débat citoyen, d’une charte de la donnée.

Ces propositions ont pour objectif de proposer un nouveau service public de la donnée.

Propositions du rapport Belot sur la gouvernance

A titre d’exemple, le rapport Belot évoque le développement de plusieurs services au sein de la ville intelligente par des acteurs privés comme Uber ou Waze pour les transports et se pose la question de la gouvernance.

Dans sa proposition n°4, il engage les acteurs publics à favoriser les discussions et collaborations avec les grands acteurs du numérique pour garantir une meilleur complémentarité des services comme cela a déjà pu être réalisé par certaines villes comme Amsterdam ou New York qui ont passé des accords avec Airbnb et Uber.

Enfin, dans le même registre que la standardisation des données, le rapport indique dans sa proposition n°17 qu’il pourrait être opportun, pour permettre la compatibilité des différents projets de ville intelligente, de créer une clause « interopérabilité ». Il propose que cette clause figure par défaut au sein des contrats de commande publique des infrastructures numériques de la ville intelligente.

Ce rapport met en exergue les démarches pouvant être prises pour assurer au mieux le développement des villes et territoires intelligents tout en répondant aux enjeux de gouvernance, de souveraineté et de participation des citoyens.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’internet des objets

(1) Luc Belot, « De la smart city au territoire d’intelligence(s) – l’avenir de la smart city », Rapport au Premier ministre, avril 2017.
(2) Craig Smith and Daniel Miessler, “Internet of things HPE Security Research Study”, HPE Fortify, June 2014.




Cyberattaques : s’assurer est-elle la meilleure solution ?

Cyberattaques : s'assurer est-elle la meilleure solution ?Alain Bensoussan est interrogé par Challenges sur l’opportunité de s’assurer contre les cyberattaques.

« Cyberattaques : pourquoi s’assurer n’est pas la meilleure solution », c’est un titre assez provocateur qu’a choisi le site d’information Challenges.fr pour traiter des risques de cybercriminalité. Alain Bensoussan répond aux questions d’Astrid Landon sur la problématique assurantielle face au caractère exponentiel des cyberattaques.

Les questions que se posent les entreprises sont tout-à-fait légitimes. Va-t-on se diriger vers des assurances qui ne couvriraient que la moitié du risque ? Les risques devenant plus coûteux, cela entraînera-t-il une hausse des prix telle que les entreprises ne pourront plus s’assurer contre les cyberattaques ? L’assurance est-elle vraiment nécessaire lorsqu’une cyberprotection solide est installée en amont ? Plus simplement, la cyberassurance est-elle la meilleure solution à la cyberattaque ?

Les coûts assurantiels sont tels que bon nombre d’entreprises en arrivent à la conclusion que s’assurer n’est pas forcément la meilleure solution.

Sur ces questions, l’Europe accuse un sérieux retard par rapport aux Etats-Unis où la cyber-assurance a vu le jour dès 1998.

Un retard qu’il va bien falloir combler avec l’entrée en application le 25 mai 2018 du règlement européen sur la protection des données personnelles (RGPD). Cette réforme du cadre européen de la protection des données va obliger les professionnels à augmenter leur niveau de cybersécurité.

Alain Bensoussan rappelle qu’en France, la cyberdélinquance est de plus en plus présente.

Les technologies d’attaques sont disponibles en ligne ou sur le dark web. L’article 32 du RGPD oblige à mettre en place des systèmes de sécurité pour protéger les données personnelles. Quant à l’article 33, il contraint dorénavant à notifier à la Cnil les failles de sécurité , précise Alain Bensoussan.

S’ils ne suivent pas les nouvelles directives, les grands groupes pourront être condamnés à une amende représentant jusqu’à 4 % de leur chiffre d’affaires ou 20 millions d’euros.
(…)

Isabelle Pottier
Directrice Études et Publications

Interview de Alain Bensoussan par Astrid Landon, « Cyberattaques: pourquoi s’assurer n’est pas la meilleure solution », parue dans Challenges.fr le 23 juillet 2017.




Un point sur l’état des normes de la ville intelligente

normes de la ville intelligenteFace aux besoins de standardisation des acteurs, l’état des normes de la ville intelligente est en cours d’évolution.

En 2014, l’organisation de standardisation internationale a publié la norme ISO 37120 pour le développement durable des collectivités. Comme nous l’avions dit à l’époque, cette norme permet à tout acteur intéressé par un projet en rapport avec la ville intelligente de s’appuyer dessus pour inscrire sa démarche durablement. En effet, elle propose des indicateurs pour les services urbains et la qualité de vie pour aider les acteurs à évaluer la performance et la progression de la ville afin d’améliorer la qualité de vie et le développement durable.

Cependant contrairement aux standards développés par la British Standard Institution (BSI), comme le PAS 180 « Smart cities. Vocabulary », qui propose des définitions spécifiques à la ville intelligente, la norme ISO 37120 ne vise pas uniquement la ville intelligente.

La tendance de la ville intelligente ne cessant de prendre de l’ampleur, il convient de se demander si des normes de la ville intelligente ont été développées dans ce domaine.

L’intérêt des normes de la ville intelligente

Les normes sont éditées par des organismes de normalisation officiels comme l’AFNOR (au niveau national) ou l’ISO (au niveau international). En tant que référentiel précisant les caractéristiques des produits et services qu’elle vise, une norme permet de garantir la qualité de ces derniers.

Concernant la ville intelligente, cette dernière vise à dépasser l’approche sectorielle qui existait auparavant pour atteindre une approche connectée et interdépendante des différents secteurs (énergie, bâtiment, transport, éducation, services aux personnes, etc.). Dès lors, la mise en œuvre d’un tel projet fait appel à de nombreux acteurs et touche plusieurs secteurs concomitamment. Une standardisation et un référentiel commun permettraient une meilleure communication entre les acteurs ainsi qu’une meilleure communication sur la ville intelligente à destination de ses usagers.

Les normes de la ville intelligente applicables

Dans la continuité de la norme ISO 37120 et dans le cadre de son travail sur l’aménagement durable des villes et des collectivités, l’AFNOR est entrain de concevoir une nouvelle norme ISO 37122 sur les villes et territoires durables et intelligents. Cette dernière a été inscrite le 28 mai 2015. Avant de pouvoir être publiée, elle devra faire l’objet d’une enquête publique. Cette norme a pour thématique : développement durable et résilience à toutes les échelles territoriales. Elle devrait permettre aux acteurs souhaitant développer l’aménagement des territoires de s’appuyer sur un référentiel afin de garantir un aménagement durable et intelligent.

Au niveau européen, la Commission européenne soutient la Charte Numérique Verte (Green Digital Charter) élaborée par Eurocities, le réseau des grandes villes européennes (plus de 250 000 habitants) en 2009. Cette charte engage les villes signataires à réduire les émissions de gaz à effet de serre à travers l’utilisation des TIC. Elle porte notamment trois engagements :

  • la création d’un partenariat entre villes signataires sur les TIC et l’efficacité énergétique ;
  • le déploiement de cinq projets pilotes à grande échelle par ville ;
  • la diminution de l’empreinte carbone des TIC de 30% par ville dans les 10 ans.

En 2015, les villes de Roubaix et de Rennes ont signé la charte et ont ainsi rejoint les villes de Nantes, Nice et Bordeaux dans le club des villes françaises signataires de la charte.

Si la standardisation est encore en cours de construction, il est constant qu’il existe un réel intérêt et une demande des acteurs de la ville intelligente pour bénéficier de normes de la ville intelligente.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’internet des objets

Pour en savoir plus :




Parution du Minilex Droit des objets connectés et télécoms

Droit des objets connectés et télécomsFrédéric Forster et Alain Bensoussan publient chez Larcier un ouvrage intitulé « Droit des objets connectés et télécoms ».

« Droit des objets connectés et télécoms » : c’est le titre de l’ouvrage qui vient de paraître aux Editions Larcier dans la collection des Minilex Lexing-Technologies avancées & Droit. Rédigé par Frédéric Forster, Directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats, et Alain Bensoussan, il aborde l’impact du droit des objets connectés sur le secteur des télécoms.

À n’en pas douter, nous sommes en train de connaître l’une des mutations les plus importantes de nos sociétés, depuis les grandes inventions qui ont marqué l’ère industrielle et l’émergence de l’informatique, et ce, grâce à la connexion, puis l’interconnexion, des différents éléments du monde qui nous entoure.

Après avoir d’abord cherché à nous connecter les uns aux autres, grâce à des moyens de transport de plus en plus performants et rapides, puis en réduisant le temps nécessaire à la circulation de l’information, grâce au remplacement quasiment généralisé maintenant de l’écrit papier et manuscrit par l’écrit numérique, c’est au tour des objets de se connecter, d’abord à nous, au moyen des outils de communication, et maintenant entre eux, au moyen des réseaux de communications électroniques et des algorithmes de plus en plus sophistiqués dont ils sont dotés.

Les objets deviennent capables de prises de décisions autonomes ; ils sont capables d’arbitrer entre plusieurs solutions possibles et, dans un certain nombre de cas et d’applications, de le faire mieux qu’un être humain placé dans la même situation qu’eux, soit parce qu’ils sont plus rapides dans l’analyse et les solutions à mettre en œuvre, soit parce qu’ils sont plus habiles que l’homme lui-même.

Or, toutes ces évolutions sont extrêmement gourmandes en ressources, notamment dans le secteur des télécoms.

Comment ce secteur s’est-il préparé à cette déferlante ? Quelles conséquences organisationnelles, légales, réglementaires, cette multiplication des objets connectés et communicants a-t-elle ?

C’est notamment à ces questions que cherche à répondre cet ouvrage préfacé par Sébastien Soriano, Président de l’Arcep.

Droit des objets connectés et télécoms
Editions Larcier, 1ère édition, mai 2017
117 p.

Eric Bonnet
Directeur du Département Communication juridique




Quels sont les enjeux juridiques de l’Internet des Objets ?

Internet des Objets - J. Bensoussan F. Forster -Master DESMA 2017Le point de vue de Frédéric Forster et Jérémy Bensoussan sur les aspects juridiques de l’ Internet des Objets (IoT). Avocats du cabinet Alain Bensoussan Avocats Lexing, Frédéric Forster, Directeur du pôle Télécoms, et Jérémy Bensoussan, Directeur du département Technologies robotiques, ont été interrogés par les élèves du master Desma de l’IAE de Grenoble sur les aspects juridique de l’IoT.

Les sujets abordés étaient les suivants :

1. Qu’en est-il de l’assurabilité des objets robots ? Où en est-on de la prise en charge par les assureurs des conséquences dommageables des actions des robots ?
2. Comment se prémunir, dans les contrats, contre les collectes ou les utilisations non souhaitées/non autorisées des données à caractère personnel ?
3. En tant qu’acheteur, quelles sont les clauses spécifiques à insérer dans les contrats avec des fabricants d’objets connectés ?
4. On pourrait envisager que, grâce à l’IoT, le crime parfait à distance existe ! Comment déterminer les responsabilités ? quelles sont les protections possibles ?
5. Comment appréhender la gestion de la propriété intellectuelle au travers des contrats conclus avec les éditeurs ou les fabricants d’objets ?

Retrouvez les réponses en vidéo sur notre chaîne Lexing Alain Bensoussan – Avocats à cette adresse.

L’interview a eut lieu en marge d’une conférence organisée par le master DESMA de Grenoble IAE et le Cabinet Alain Bensoussan Avocats le 12 avril 2017.

Eric Bonnet
Directeur du Département Communication juridique




La standardisation et les objets connectés

Sans standardisation, quel avenir pour les objets connectés?Les différents éléments des objets connectés doivent être interopérables, la standardisation est-elle nécessaire ?

Pour pouvoir connecter l’objet, les différents éléments doivent pouvoir se connecter entre eux et garantir une interopérabilité.

Les objets connectés font partie d’un vaste écosystème composé de capteurs, de connexions, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments ou composants doivent pouvoir s’interconnecter, s’intégrer, communiquer tout en étant compatibles et sécurisés dans leur utilisation et leur usage. Cette interconnexion est nécessaire pour leur environnement mais également pour les données qu’ils peuvent recueillir, conserver, stocker ou partager.

L’objet connecté s’intègre dans différents écosystèmes. Ces acteurs interviennent dans différents pays et l’objet peut, par conséquent, être soumis à différentes réglementations, tant au regard de sa fabrication que de sa commercialisation.

Au regard de l’hétérogénéité des objets connectés et des éléments qu’ils peuvent contenir, des réglementations spécifiques interviennent en fonction de la nature de l’objet connecté, de son utilisation, de sa localisation ou de la nature de l’innovation.

Si de nombreuses règlementations existent d’ores et déjà et trouvent à s’appliquer, elles sont amenées à évoluer pour s’adapter à des nouveaux usages ou à la transformation de la nature de l’objet en raison de sa connexion.

Néanmoins, il semble illusoire, au regard de l’emboîtement des règlementations, tant sectorielles que locales, de vouloir créer une règlementation unique des objets connectés.

Dès lors, d’un point de vue purement pragmatique, les fabricants ou les juristes intervenant dans une étude de faisabilité, par exemple, chercheront à légitimer l’objet connecté en utilisant des labels, des normes ou encore des standards.

Par conséquent, on constate ,avec le développement des objets connectés, de nombreuses initiatives de standardisation, généralement issues d’acteurs privés.

Conception : Normes, labels et certifications

Une norme est un référentiel qui précise les caractéristiques spécifiques de services ou de produits. La norme a pour fonction de garantir une qualité constante des produits et services considérés. Elle est régulièrement actualisée ( ). Les normes sont éditées par des organismes de normalisation officiels comme l’AFNOR (au niveau national) ou l’ISO (au niveau international), elles sont d’application volontaire. Certaines ont néanmoins été rendues obligatoires par les pouvoirs publics.

Un label est un signe distinctif, une étiquette ou une marque spéciale créée par un syndicat professionnel ou un organisme parapublic et apposé sur un produit destiné à la vente. Il en certifie l’origine, la qualité et indique que les conditions de fabrication sont en conformité avec les normes préétablies ( ).

Une certification est une activité par laquelle un organisme tierce partie atteste qu’un produit, un système de management de la qualité ou un service, est conforme aux exigences spécifiées dans un référentiel. La certification est réalisée par le biais d’audit ( ) d’un organisme tiers indépendant. La démarche n’est pas obligatoire mais, parce qu’elle s’accompagne d’un logo, elle offre, le plus souvent, une meilleure visibilité aux bonnes pratiques. Au sens strict, une certification s’appuie sur un référentiel qui a été conçu par un organisme certificateur et publié au Journal officiel.

Un label, une norme, ou une certification adapté peuvent apporter un gage de qualité ou de sécurité aux objets connectés. Toutefois, il ne faut pas que cela soit parcellaire.

L’appréciation de ces aspects devra prendre en compte l’objet connecté dans son écosystème, car ces démarches tendent à garantir la qualité de l’objet connecté, sans nécessairement prendre en compte son utilisation par les consommateurs ou sa communication avec d’autres objets.

Utilisation et traçabilité

Sous l’angle de l’utilisation de l’objet connecté, la standardisation permet de mettre en œuvre, de manière indépendante et consensuelle, un langage global, ouvert et interopérable entre les acteurs économiques d’un écosystème.

Elle permet également d’identifier et de tracer l’objet, ce qui, en cas de défaillance dudit objet, permettra plus facilement d’identifier les responsabilités.

Les objets connectés doivent pouvoir communiquer entre eux dans des standards communs. A titre d’exemple, une voiture autonome devra être en mesure de pouvoir communiquer en toute sécurité avec des capteurs installés sur une route ou sur des feux de circulation.

Il est indispensable que les standards de tel ou tel objet connecté puissent reconnaître d’autres standards et ce, pour toutes les différentes couches contenues dans l’objet.

L’harmonisation par des standards communs

L’utilisation et le passage à l’échelle, l’industrialisation d’un objet et sa réussite commerciale, induisent qu’il puisse être utilisé en toute sécurité et qu’il puisse communiquer en dehors de son écosystème.

La création de standards universels pourrait, en conséquence, être une réponse à l’impossibilité pratique de créer un droit de l’Internet des Objets.

Cette standardisation nécessite, néanmoins, que l’indépendance des organismes puisse être garantie et ne pas être issue d’une seule entité privée qui pourrait contrôler indirectement tout ou partie d’objets connectés.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Les normes sont régulièrement actualisées. C’est un principe que l’on trouve dans le Guide des métiers du centre Inffo, Dunod, 2006
(2) Définition Larousse
(3) Norme FD X 50-751




Le droit des objets connectés dans la ville intelligente

Le droit des objets connectés dans la ville intelligente

L’intégration des objets connectés dans la ville intelligente entraîne une réflexion sur leur encadrement légal.

La ville intelligente se distingue des autres villes par les interactions que peuvent avoir entre eux ses différents composants (transport, infrastructure, bâtiments, énergie). Jusqu’alors autonomes, les composants de la ville intelligente se connectent, et ce en grande partie grâce aux objets connectés.

Ces nombreux objets innovants, ayant pour particularité de s’intégrer à la ville intelligente, amènent une réflexion sur leur encadrement légal.

Les objets connectés dans la ville intelligente

Les objets connectés sont des objets capables de recevoir et de transmettre des données via des systèmes d’identification électronique normalisés sans fil. Il en existe un grand nombre dans le domaine de la santé, de l’industrie, des loisirs ou de la domotique mais le plus connu reste le smartphone.

Si beaucoup d’objets connectés, dont les smartphones, sont utiles et permettent le développement de la ville intelligente, d’autres sont spécifiquement conçus et développés pour la ville intelligente. Ces objets, réverbères, poubelles, capteurs de pollution, routes, parkings permettent de faciliter l’accès de l’information pour les usagers et les collectivités, de détecter des places de voirie, d’optimiser la relève des déchets et la distribution d’énergie, de simplifier la mobilité et d’apporter bien être et sécurité aux usagers.

L’une de leurs particularités réside dans le fait qu’étant développés pour intégrer l’infrastructure et les bâtiments de la ville, ils font appel à une multitude d’intervenants, ce qui entraîne des conséquences juridiques.

L’encadrement légal des objets connectés dans la ville intelligente

Le grand nombre d’intervenants soulève notamment les questions de la propriété et de la responsabilité des objets connectés dans la ville intelligente.

Propriété intellectuelle des objets connectés dans la ville intelligente

Tout d’abord, en termes de propriété intellectuelle, si un logiciel ou une base de données est intégré à l’objets il faudra savoir qui est titulaire des droits d’auteur et si une cession ou une licence doit être mise en place.

De même, pour les puces, les capteurs ou encore la technologie de communication sans fil (hors logiciel), l’étude d’un dépôt de brevet peut se poser. Il convient alors d’étudier l’opportunité d’un tel dépôt et s’il y a un risque d’atteinte au droit d’un tiers.

Vient ensuite la question de la propriété matérielle des objets connectés dans la ville intelligente, ces derniers peuvent relever de la catégorie des biens meubles ou des biens immeubles (cas des bâtiments intelligents). Dans l’hypothèse où l’objet connecté est affecté, soit à l’usage direct du public, soit à un service public, et a fait l’objet d’un aménagement indispensable à l’exécution de ce service public, il peut entrer dans le domaine public de la communauté(1), sinon il sera une propriété privée.

L’enjeu est alors de prévoir les contrats de cession, de garantie, d’entretien et de maintenance de l’objet et de sa technologie.

Par ailleurs, l’objet connecté recueille des données, si ces données répondent à la qualification de données à caractère personnel, la loi Informatique et libertés (2) et le règlement européen sur la protection des données personnelles (3) doivent être respectés par les intervenants, sauf cas d’anonymisation directe. De plus, l’objet connecté étant rattaché à la ville intelligente il peut aussi recueillir des données publiques comme les données de trafic, et ces données devront, a priori, pouvoir être partagées, en application de la loi pour une République numérique.

L’enjeu est alors de prévoir, dès la conception de l’objet, les pratiques qu’il conviendra de respecter, c’est le privacy by design.

En fonction des différentes propriétés qui auront été mises en exergue, il conviendra d’évaluer les responsabilités qui pourront être mises en cause.

Responsabilité du fait des objets connectés dans la ville intelligente

A titre d’exemple, la responsabilité du fait des dommages causés par les objets, responsabilité de la collectivité en charge de l’infrastructure mais également du fournisseur ou de l’opérateur télécoms, risque de chaîne de responsabilité entre les différents intervenants.

Ainsi, comme tous les objets connectés mais encore plus du fait de leur intégration à la ville, les objets connectés dans la ville intelligente doivent faire l’objet, dès leur conception, d’une étude de la réglementation applicable et des obligations et responsabilités mises en jeu. Une fois cette étude préalable réalisée, pourront être rédigés, de la manière la plus appropriée, les contrats conclus par la personne publique pour le développement et la mise à disposition des objets connectés, leur maintenance, ainsi que les conditions d’utilisation des objets connectés par les usagers.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Code général de la propriété des personnes publiques, art. L.2111-1
(2) Loi 78-17 du 6-1-1978
(3) Règlement 2016/679 du 27-4-2016




Class action aux Etats-Unis sur des objets connectés

Class action aux Etats-Unis sur des objets connectés

Une class action d’envergure a été lancée aux Etats-Unis contre une société commercialisant des objets connectés.

Class action aux Etats-Unis sur des objets connectés

Les objets connectés se multiplient sur le marché mais des risques existent pour les données à caractère personnel.

Une multitude d’objets connectés

La révolution numérique touche tous les secteurs et le marché du plaisir connecté est en pleine expansion.

Ces objets ou gadgets connectés, qui vont du vibromasseur au préservatif, permettent généralement d’obtenir des statistiques sur ses ébats amoureux et de publier ses performances sur internet.

Le litige à l’origine de la class action

Fin 2016, une société canadienne, commercialisant des objets connectés destinés au plaisir de leurs utilisateurs, a été mise en cause, au regard de ses pratiques relatives à la collecte de données à caractère personnel des utilisateurs de ces gadgets.

En effet, cette société n’avait pas révélé que les produits commercialisés permettaient de collecter les données à caractère personnel de leurs utilisateurs à leur insu.

Il s’est avéré que cette société collectait certaines données sensibles, telles que l’heure et la date de chaque utilisation du sextoy, l’intensité de la vibration sélectionnée, la température du produit et le niveau de batterie du produit.

Malgré leurs côtés pouvant paraître étonnants et drôles, ces objets devenaient de véritables outils portant atteinte à la vie privée.

Une class action avait été initiée par une cliente américaine qui avait déposé une plainte en septembre 2016.

Si la société mise en cause a toujours nié les faits qui lui étaient reprochés et sa responsabilité, elle a reconnu qu’un procès serait long, coûteux et risqué. Les parties ont donc pris la décision de résoudre le litige à l’amiable, en suivant un procédé de médiation privée.

L’accord transactionnel signé

L’accord qui a été signé aux mois de février et mars 2017 entre les parties au litige, constitue une transaction et n’établit pas de violation de la réglementation relative à la protection des données à caractère personnel de la part de la société canadienne.

Cet accord a permis la constitution de deux fonds d’indemnisation pour les plaignants totalisant 5 millions de dollars canadiens : l’un pour les personnes ayant simplement acheté un objet connecté de plaisir, l’autre pour les personnes ayant téléchargé une application permettant de contrôler ces objets connectés.

Par ailleurs, la société s’est engagée notamment :

  • à supprimer les informations collectées sans l’accord des utilisateurs ;
  • à ne plus mettre en œuvre de processus d’enregistrement des utilisateurs sur l’application;
  • à ne plus collecter les adresses mails des utilisateurs, sauf s’ils souhaitent s’abonner à une newsletter ;
  • à mettre à jour sa politique de confidentialité ;
  • à communiquer sur cet accord, afin que les utilisateurs soient informés de leurs droits d’obtenir des dommages-intérêts.

A noter, le Privacy Act (1) est le principal cadre juridique protégeant les données à caractère personnel détenues par les agences gouvernementales américaines, puisqu’à la différence du système européen, les Etats-Unis n’ont pas de cadre général de protection des données dans le secteur privé mais des lois sectorielles.

Aux Etats-Unis, il existe une régulation volontaire par l’élaboration par les entreprises de leurs propres « privacy policies », ou régulation contractuelle par le biais, notamment, de conventions entre les entreprises et les consommateurs.

Risques sur les données personnelles

Cette affaire est l’occasion de souligner les dérives qui peuvent apparaître dans l’univers des objets connectés.

La protection des données à caractère personnel doit être une priorité pour tous les fabricants d’objets connectés, que ce soit dans leur collecte ou leur traitement, notamment lorsque des données sensibles sont en jeu.

Il faut rappeler que les fabricants ont une obligation de sécuriser les informations collectées.

L’article 34 de la loi Informatique et libertés, applicable en France, prévoit que le fabricant « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Dernièrement, une gamme de jouets connectés commercialisée, par une société américaine, a été piratée et la Commission nationale de l’informatique et des libertés a émis des recommandations, le 28 février 2017, pour la sécurisation des jouets connectés (2).

Afin d’encadrer la collecte des données à caractère personnel, les concepts de « privacy by design » et « privacy by default », ou protection dès la conception, doivent être mis en œuvre.

Ces concepts ont été consacrés par le règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 (3), qui entrera en application le 24 mai 2018, et implique que les responsables de traitements mettent en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. En pratique, ils devront veiller à limiter la quantité de données traitées dès le départ.

Le mécanisme de la class action à la française

Si la class action commentée a eu lieu aux Etats-Unis à l’encontre d’une société canadienne, le mécanisme est également transposable en France.

En effet, il faut rappeler que la loi de modernisation de la justice du XXIe siècle, du 18 novembre 2016, a introduit une action de groupe en matière de protection des données personnelles.

Le nouvel article 43 ter de la loi Informatique et libertés précise, en effet, que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente ».

Cette action devra tendre exclusivement à la cessation de ce manquement et seules pourront exercer cette action :

  • les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel;
  • les associations de défense des consommateurs représentatives au niveau national et agréées, en application de l’article L. 811-1 du Code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
  • les organisations syndicales de salariés ou de fonctionnaires représentatives, au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du Code du travail ou du III de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Les risques pesant sur les fabricants doivent donc être pris en compte dès la conception de l’objet et ce, peu importe sa destination.

Lexing Alain Bensoussan Avocats
Lexing Droit de l’Internet des objets

(1) Privacy Act, 5 U.S.C. § 552a, 1974.
(2) « Jouets connectés : quels conseils pour les sécuriser ? », Conseils de la Cnil du 28-2-2017.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).




Internet des objets et propriété intellectuelle interdépendant

Internet des objets et propriété intellectuelle, une interdépendance réussieVirginie Brunot interviewée par Claire Aubé sur Internet des objets et la propriété intellectuelle dans un dossier spécial publié par l’INPI.

Virginie Brunot explore les clés d’une interdépendance réussie entre l’ Internet des objets (Ido) et la propriété intellectuelle.

Pour Virginie Brunot, l’objet connecté devient un allié pour la protection de la propriété intellectuelle. Grâce aux technologies RFID (identification par radiofréquence), les objets connectés sont aujourd’hui utilisés en gestion de stock et en traçabilité. Demain, ces « étiquettes » RFID pourraient ainsi servir de moyen d’authentification.

On voit un intérêt grandissant sur cette question, notamment pour les produits de luxe qui subissent la contrefaçon. C’est par exemple la solution retenue par la maison Vivianne Westwood qui a fait appel à la société TexTrace pour concevoir des étiquettes RFID tissées et intégrées aux produits.

Même si cela reste encore du domaine de la théorie, ces technologies pourraient bien permettre de supplanter la marque. Comme le souligne Virginie Brunot, ces technologies remplissent une fonction d’identification d’origine du produit, ce qui est précisément l’objet de la marque. Mais elles ne pourront pas remplacer la part de rêve et de désir générée par le marketing. Comme le montre d’ailleurs l’étiquette adoptée par Vivienne Westood : RFID oui, mais pas question d’abandonner le nom ni le logo.

Pour l’heure, on constate surtout une augmentation exponentielle de dépôts de brevets sur les technologies utilisées, en particulier aux États-Unis. Il s’agit avant tout d’une stratégie de dépôts de brevets de barrage.

Mais attention, au-delà du dépôt de brevets sur la technologie, l’objet connecté lui-même doit faire l’objet d’une protection pour ce qui concerne ses dessins, ses modèles et sa marque. (…)

Voir l’interview sur le site de l’INPI.

Cette interview fait écho à un dossier spécial consacré par l’INPI à la propriété intellectuelle dans l’économie numérique : Virginie Brunot, « L’Ido (Internet des objets) au secours de la propriété intellectuelle et réciproquement : les clés d’une interdépendance réussie ?« , Dossier INPI mars 2017.




Internet des objets, une normalisation est-elle à espérer ?

Internet des objets, une normalisation à espérer ?La connectivité des objets connectés est dominée par des technologies propriétaire hors de toute normalisation.

Ceci est tout particulièrement le cas pour les connexions réalisées par voie radio, pour lesquelles les connexions utilisent très fréquemment des protocoles propres à chaque fabricant d’objet.

Ainsi, pour un type de connexion radio donné, par exemple par Wi-Fi, il existe quasiment autant de protocoles de transmissions que de fabricants, rendant l’interopérabilité des objets « inter-fabricants » complexe.

Par voie de conséquence, la diffusion de pratiques sécuritaires et de technologies de protection en sont d’autant plus difficiles, par absence de base commune ou, à tout le moins, hétérogénéité des technologies déployées par les industriels.

IoT et interopérabilité

Cette situation a conduit à une estimation étonnante selon laquelle un peu plus de la moitié seulement de la valeur dégagée par les objets connectés serait exploitable, en raison de la trop faible interopérabilité de ceux-ci entre eux et avec leur écosystème d’utilisation.

C’est pourquoi des réflexions sont en cours pour mettre en place une normalisation ayant pour objectif d’améliorer cette interopérabilité, à un niveau qui serait positionné au-dessus des objets eux-mêmes.

Cette interopérabilité serait gérée grâce à des API (Application Programming Interfaces) positionnées sur une plateforme transversale à laquelle les objets se connecteraient indépendamment de la technologie que chacun d’eux utilise.

Plutôt que d’avoir une normalisation des interfaces pour la communauté des objets, l’idée est donc de ne pas gommer les spécificités technologiques de ces derniers mais de les contraindre à se connecter à une plateforme gommant ces hétérogénéités pour réintroduire une couche protocolaire minimale et commune, notamment au plan sécuritaire.

Cette plateforme pourrait également créer un ensemble homogène au plan sémantique, par exemple pour la réutilisation des données générées par les objets connectés en vue de les mettre à disposition d’autres objets connectés ou de les exploiter indépendamment de leur source de production.

Tel est le projet mis en avant par les huit principaux organismes de normalisation dans le secteur des TIC que sont Arib (Japon), Atis (Amérique du Nord), CCSA (Chine), Etsi (Europe), Tia (Amérique du Nord), TSDSI (Inde), TTA (Corée du Sud) et TTC (Japon).

Ce projet, intitulé oneM2M, a pour ambition de fournir un cadre technique commun à l’ensemble des acteurs de l’internet des objets, au moyen d’une norme qui serait reconnue mondialement, tout en cassant la fragmentation des technologies qui est, aujourd’hui, la règle.
Ce projet n’est pas le seul puisque des industriels ont également pris des initiatives de même nature. Citons, par exemple, Qualcomm avec son projet open source ALLJoyn, qui aurait réussi à rassembler une centaine d’industriels comme LG, Sony, Canon ou Microsoft.

IoT et sécurité

Si on se concentre davantage encore sur la sécurité de ces objets connectés, il apparaît que, là encore, force est de constater que les industriels se sont plus penchés sur les applications offertes, leur ergonomie et les usages (réels ou supposés) que sur la sécurité des objets eux-mêmes.

L’actualité sur les piratages de systèmes informatiques ayant utilisé, comme porte d’entrée, tel ou tel objet mal protégé montre que les failles de sécurité sont nombreuses, exploitées, voire privilégiées, par les pirates en raison de la croissance exponentielle des objets connectés et de la non-croissance, tout aussi exponentielle, de leur sécurisation.

Ces objets constituent, à n’en pas douter, le nouveau maillon faible pour la pénétration des réseaux auxquels ils sont raccordés.

Ainsi, l’absence de normalisation induit la possibilité, non seulement que des tiers aient accès à des données, notamment à caractère personnel, qui auraient dû rester protégées et confidentielles, mais aussi que ces données soient détournées des finalités pour lesquelles elles ont été collectées. Elles viennent alors alimenter des bases de données totalement occultes, autorisant dès lors toutes les dérives imaginables.

Selon le Gartner, 80% des objets connectés présentent de telles failles ce qui, à quelques mois de la prise d’effet des dispositions du Règlement européen sur la protection des données personnelles, est évidemment hautement problématique, notamment au regard du niveau d’exigences posé par ce règlement et mis à la charge des responsables de traitement, que des sanctions prévues.

En l’absence de normalisation sur les aspects sécuritaires des objets connectés, la démarche consiste à sécuriser les infrastructures réseaux auxquels ces objets sont raccordés, au moyen, par exemple, d’antivirus, de firewalls, de politiques de mots de passe robustes et de tests réguliers d’intrusion.

Frédéric Forster
Lexing Droit Télécoms




Faut-il déconnecter les jouets connectés des enfants ?

jouets

Quels sont les critères pour que les jouets connectés respectent la sécurité de vos enfants et votre vie privée ?

La réglementation applicable aux objets connectés peut dépendre de la typologie de l’objet et des innovations qu’il apporte.

Les objets connectés évoluent dans un vaste écosystème composé de capteurs, de connexion, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments doivent s’interconnecter, s’intégrer tout en étant compatibles et sécurisés dans leur utilisation, leur usage, leur environnement mais également pour les données qu’ils peuvent recueillir, conserver ou transférer.

Pour le jouet, comme pour tout objet connecté, cela se complexifie avec notamment la question de la connexion.

En effet, si le secteur des jouets bénéficie d’une réglementation protectrice, leur connexion à des réseaux et le stockage des données récoltées, dans le cloud posent des problématiques complémentaires.

Réglementation applicable aux jouets

Les jouets sont réglementés en France par le décret n° 2010-166 du 22 février 2010 et son arrêté d’application du 24 février 2010. Ces textes transposent la directive européenne 2009/48/CE relative à la sécurité des jouets.

La réglementation prévoit que les jouets ne doivent pas être alimentés par une tension supérieure à 24 volts (Très Basse Tension de Sécurité), par conséquent ils ne peuvent être alimentés que par des piles ou par un transformateur très basse tension.

Or, la connexion au réseau du jouet-objet connecté est très énergivore, et un fabricant par conséquent peut être tenté d’augmenter son autonomie.

Jouet connecté : les précautions de mise sur le marché

Avant de mettre un jouet sur le marché, le fabricant doit procéder à une analyse des dangers que le jouet peut présenter, notamment, en matière chimique, physique, mécanique, électrique, d’inflammabilité, de radioactivité et d’hygiène.

Ainsi, le fabricant doit soumettre son jouet à une procédure d’évaluation de sa conformité.

Selon le type de jouet, il applique, en fonction de la réglementation, une procédure d’autocontrôle ou de contrôle par un tiers, du modèle initial, associé à un contrôle de la production (1).

La procédure de contrôle par un tiers est exigée dans les cas suivants (2) :

  • lorsque des normes harmonisées couvrant toutes les exigences de sécurité requises pour le jouet n’existent pas ;
  • lorsque le fabricant n’a pas appliqué ou a appliqué seulement en partie les normes harmonisées ;
  • lorsqu’une ou plusieurs normes harmonisées ont été publiées assorties d’une restriction ;
  • ou lorsque le fabricant estime que la nature, la conception, la construction ou la destination du jouet nécessitent une vérification par un tiers.
Le contrôle de conformité par un tiers

Un fabricant de jouets connectés aura, par conséquent, intérêt en l’absence de normes couvrant toutes les exigences de sécurité de se soumettre à ce type d’examen auprès d’un organisme notifié.

Néanmoins, la connexion du jouet peut entraîner d’autres risques qui ne seront pas automatiquement appréhendés dans le cadre de ces contrôles de conformité.

Or, ces risques doivent être pris en compte par un fabricant tant au regard de la réglementation qu’en termes d’image de marque.

Ces risques sont, par exemple, l’exposition aux ondes ou encore la sécurité des données collectées à partir des jouets connectés.

L’exposition aux ondes

A ce titre, l’Agence nationale de sécurité sanitaire (Anses) a publié en juillet 2016 un rapport  (3) concernant l’exposition des enfants aux radiofréquences suite à sa saisie par les pouvoirs publics.

Cette étude visait à vérifier si les dispositions réglementaires actuellement en vigueur pour la mise sur le marché des appareils radioélectriques à destination des enfants, étaient suffisamment protectrices en matière de santé et de sécurité.

Elle a ainsi émis une série de recommandations visant à adapter les valeurs limites d’exposition réglementaires afin de réduire l’exposition des enfants aux champs électromagnétiques.

Une évolution de la réglementation est également préconisée :

  • pour que l’ensemble des dispositifs radioélectriques, et notamment ceux destinés aux enfants (tablettes tactiles, veille-bébés, jouets connectés, etc.), soit soumis aux mêmes obligations réglementaires, en matière de contrôle des niveaux d’exposition et d’information du public, que celles encadrant les téléphones mobiles ;
  • afin que le respect des valeurs limites d’exposition réglementaires soit assuré, quels que soient les dispositifs émetteurs mobiles utilisés, selon des conditions raisonnablement prévisibles d’utilisation (par exemple positionnement au contact du corps).
Protection de la vie privée et données personnelles

En décembre 2016, l’association UFC-Que choisir (4) a, quant à elle, interpellé la Cnil et la DGCCRF suite à une enquête réalisée par son homologue norvégien, Forbrukerradet (5).

Cette enquête souligne que deux jouets de marques différentes ne garantissent pas le respect de la vie privée et de la sécurité des données personnelles des enfants.

Ont ainsi été mis en évidence :

  • des failles de sécurité du Bluetooth intégré permettant la connexion de tiers situé à 20 mètres du jouet et la prise de contrôle de ce dernier ;
  • des conditions contractuelles autorisant sans consentement exprès, à collecter les données vocales enregistrées par lesdits jouets, et ce pour des raisons étrangères au strict fonctionnement du service et pouvant être transférées sans le consentement des parents ;
  • la promotion de produits par certaines phrases programmées de ces jouets.

Dès lors, UFC-Que choisir souhaite que :

  • la Cnil diligente sans délai un contrôle du respect de la protection des données personnelles des utilisateurs d’une poupée et d’un jouet robot ;
  • les services de la DGCCRF enquêtent sur le niveau de sécurité des jouets connectés et sanctionnent tout manquement aux dispositions légales et réglementaires.

Cette affaire fait suite au piratage en octobre 2015 d’un fabricant d’ordinateurs et d’outils pour enfants par lequel des données personnelles de presque cinq millions de parents, et de plus de 6 millions d’enfants avaient été piratées.

Par ailleurs, la commercialisation, aux Etats-Unis, d’une poupée intelligente en 2016, a également mis en exergue les failles d’un tel jouet. En effet par sa connexion à Internet la poupée envoie les demandes de l’enfant dans le cloud. Celles-ci sont ensuite analysées via de l’intelligence artificielle afin d’y apporter une réponse rapidement.

De plus, des failles dans les applications iOS et Android fonctionnant avec la poupée ont également été détectées.

Il a été également constaté que les mots de passe pour vérifier les certificats étaient identiques pour toutes les poupées.

Des piratages peuvent, par conséquent, intervenir à plusieurs niveaux :

  • par la prise de contrôle du jouet via, par exemple, une connexion non sécurisée ;
  • par l’accès, le maintien ou l’extraction de données dans des serveurs en cloud.

En complément, la Cnil a dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 janvier 2017 (6),

Elle recommande notamment d’effectuer régulièrement les mises à jour de sécurité et d’utiliser des mots de passes et identifiants spécifiques à l’utilisation du jouet et de communiquer le minimum d’information lors de l’inscription et de la mise en route du jouet.

Pour finir, elle préconise d’éteindre le jouet quand il ne sert pas, de désactiver le partage sur les réseaux sociaux et d’effacer les données lorsqu’on ne se sert plus du jouet.

En conclusion, la réglementation des jouets doit rapidement, à l’instar d’autres réglementations applicables à certains objets, s’adapter et évoluer pour se conformer aux nouveaux usages et surtout à l’écosystème dans lequel l’objet connecté évolue.

A cette occasion, on peut également se demander ce que deviennent les questions que nous ou nos enfants posons à notre jouet préféré : l’assistant vocal de notre smartphone ?

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) La procédure dite « d’examen CE de type » (module B de l’annexe II de la décision 768/2008/CE), combinée à la procédure de « conformité au type sur la base du contrôle interne de la fabrication » (module C de l’annexe II de la décision 768/2008/CE).
(2) Direction générale des entreprises, Article « La réglementation applicable aux jouets », 16-3-2016.
(3) Anses, Avis sur l’exposition aux radiofréquences et santé des enfants, Rapport d’expertise collective, 6-2016
(4) Quechoisir.org, Article « Jouets connectés – Alerte sur la sécurité et les données personnelles ! », 6-12-2016
(5) Forbrukerradet.no
(6) Cnil, Conseils du 28-2-2017