Domotique et nécessaire éthique des données personnelles
L’adoption d’une éthique des données personnelles par le domoticien est un gage de sécurité pour les consommateurs. Si l’innovation du domoticien est protégeable par le droit d’auteur, une telle protection ne garantit pas nécessairement une conformité aux règles Informatique et libertés.
En effet, face aux affaires de ces dernières années, les consommateurs ont besoin d’avoir confiance dans la domotique. Cette confiance passe par la certitude que leurs données personnelles sont protégées.
Dans ce contexte, le domoticien doit se prémunir contre d’éventuelles dérives liées à la protection insuffisante des données personnelles des consommateurs.
Une telle mise en conformité au regard de la loi Informatique et libertés au travers de l’adoption d’une éthique des données personnelles constitue un levier commercial fondamental pour le domoticien.
Une nécessaire éthique des données personnelles
La loi informatique et libertés (1) doit être considérée comme un levier pour le domoticien afin de garantir aux consommateurs un sentiment de sécurité autour de la collecte et du traitement de ses données.
Le laboratoire d’innovation numérique de la Cnil (2) s’est déjà intéressé au sujet (3). Les consommateurs sont de plus en plus attentifs à la conformité de leur domotique et notamment au sort réservé à leurs données personnelles.
Ce constat est d’autant plus flagrant que les objets connectés s’installent dans des lieux intimes de l’habitat, tel que la chambre à coucher ou la cuisine .
Récemment, dans le cadre d’une étude menée par Proofpoint (4), a été mise à jour l’existence d’un réseau de pirates qui agit contre les télévisions dernier cri, des routeurs, et un réfrigérateur dans le but d’envoyer des spams. Plus de 750 000 spams ont ainsi été envoyés entre le 23 décembre 2013 et le 6 janvier 2014 selon les experts de Proofpoint.
Par ailleurs, le récent lancement par Apple d’une enceinte « intelligente » à l’aide d’une reconnaissance vocale (5) tient compte des expériences passées de ses concurrents, plusieurs incidents avaient défrayé la chronique à l’instar de Google Home (6) et Amazon Echo (7).
Face à de telles dérives, le domoticien doit mettre en œuvre tous les moyens pour se prémunir contre ces risques notamment par l’adoption d’une éthique des données personnelles afin de conserver la confiance du consommateur et son image de marque.
Ethique des données personnelles et mise en conformité
La première étape de la mise en conformité nécessaire pour le domoticien résulte de l’adoption du RGPD (Rég. UE 2016/679 du 27-4-2016) (8).
Sont à souligner les nouvelles exigences de « privacy by design » visant à intégrer dès la conception d’une solution les problématiques de la protection des données personnelles les exigences de vie privée dans le paramétrage initial de celle-ci.
A défaut de respect de ces exigences, le RGPD porte les sanctions jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires.
En attendant l’entrée en vigueur du RGPD en mai 2018 , la loi pour une République Numérique dite « loi Lemaire » (9) accorde un pouvoir de sanction accru au profit de la Cnil, laquelle peut prononcer des sanctions allant de 150 000 euros d’amende à 3 millions d’euros.
Le domoticien qui contreviendrait à ces nouvelles exigences s’exposerait donc à de graves sanctions qui peuvent nuire à son image commerciale, voire à son activité globale.
Il apparaît donc que la protection des données est la « clé de voûte de l’innovation » selon la Cnil (10).
Le domoticien doit adopter une éthique de données personnelles dès la conception de ses produits mais aussi tout au long de leur cycle de vie.
Eric Le Quellenec
Arthur Benchetrit
Lexing Informatique conseil
(1) Loi n° 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(2) Commission nationale de l’informatique et des libertés.
(3) Olivier Desbiey, « L’IoT peut rimer avec vie privée », un article du LINC Laboratoire d’innovation numérique de la CNIL 15-12-2016.
(4) Didier Sanz, « Apple veut avoir le dernier mot à la maison », Le Figaro 5-6-2017.
(5) Jean-Baptiste Gaudey, « Six raisons de ne pas acheter le Google Home », Ouest-France.fr.
(6) Anthony Morel, « Quand l’Amazon Echo passe des commandes entendues à la télé », BFM Business BFM TV 17/01/2017
(7) “Your Fridge is Full of SPAM: Proof of An IoT-driven Attack”, ProofPoint.com 16-1-2014 ; “Your Fridge is Full of SPAM, Part II: Details”, ProofPoint.com 21-1-2014.
(8) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(9) Loi n° 2016-1321 du 7-10-2016 pour une République numérique.
(10) « Enjeux 2015 (2) : la protection des données, clé de voûte de l’innovation », Cnil 16-4-2015.
.