Données personnelles et internet des objets
L’arrivée des objets connectés, tels les compteurs intelligents, pose de nouveaux défis pour la protection des données personnelles. Savoir si quelqu’un est dans la maison, quel équipement est utilisé, à quelle heure… constitue un traitement de données à caractère personnel au sens de la réglementation Informatique et libertés.
Si le dispositif est mis en place dans le cadre d’activités exclusivement personnelles, il échappera à la réglementation Informatique et libertés. S’il est, en revanche, implémenté au sein d’une entreprise à des fins professionnelles cette dernière devra, en sa qualité de responsable de traitement, respecter les obligations issues de la réglementation Informatique et libertés.
Cette réglementation impose 6 obligations principales :
- réaliser les formalités préalables adéquates auprès de la Cnil ;
- informer les personnes concernées (salariés, clients…) des droits qu’ils tiennent de la loi informatique et libertés ;
- permettre aux personnes concernées d’exercer pleinement leurs droits ;
- conserver les données pendant un délai adéquat ;
- sécuriser les données exploitées
- encadrer les flux de données hors de l’Union européenne.
Il est également recommandé à l’ensemble des acteurs qui se lanceraient dans un projet d’IdO de « penser » données personnelles dès la conception du projet selon la démarche dite « Privacy by Design ».
La pratique du Privacy by Design en plus de permettre de s’assurer d’une parfaite conformité au cadre juridique, constitue un outil de différenciation face à la concurrence et un gage supplémentaire de qualité et de confiance pour les clients.
Cette tendance est appelée à se généraliser, dans la mesure où elle correspond à l’esprit du projet de règlement européen visant à réformer la directive n° 95/46/CE relative à la protection des données à caractère personnel. La Commission européenne prévoit ainsi de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption du Privacy by Design pour tous les produits, services et systèmes exploitant ce type de données.
Mais l’Internet des objets va sans doute bouleverser en profondeur un autre élément important du cadre juridique de la protection des données personnelles. Il existe en effet au sein de l’Union européen un mécanisme partagé par tous qui consiste à interdire l’exportation de données personnelles en dehors du territoire de l’Union.
Cette interdiction ne peut être levée que dans des cas précis : convention de flux, BCR, Safe harbor, niveau de protection adéquat ou encore exceptions légales.
Cette problématique des flux pose déjà de nombreux problèmes aux acteurs du cloud computing qui par nature correspondant à une dissémination de l’information à travers le monde.
Mais à la différence du Cloud computing, où il est possible de trouver des solutions de contournement comme de proposer un « Cloud EU », l’Internet des objets ne connaîtra pas de frontières et il ne sera pas possible, sauf à tuer dans l’œuf le développement d’un monde d’objets connectés, imposera une refonte du droit des flux de données.
Chloé Torres
Lexing, Droit Informatique et libertés