Le réseau Lexing vous informe sur la sécurité de l’internet des objets

Ce numéro spécial international du réseau Lexing ® se penche sur la sécurité de l’internet des objets.

Aucun produit ou service TIC, et a fortiori aucun objet connecté, n’est totalement sécurisé sur le plan de la cybersécurité. En outre, la cybersécurité n’est pas qu’une question liée à la technologie. Il s’agit d’une question pour laquelle le comportement humain est tout aussi important.

Deux textes majeurs encadrent la sécurité des systèmes : le Règlement général sur la protection des données et le Règlement sur la cybersécurité.

Les citoyens, les organisations et les entreprises sont vivement encouragés par le législateur à adopter une « hygiène informatique ». Cette dernière consiste à prendre des mesures simples et de routine ;  lorsqu’elles sont mises en œuvre et effectuées régulièrement, elles renforcent la sécurité des objets connectés et atténuent les risques.

Dans ce numéro de « Lexing Insights », les membres du réseau Lexing ® dressent un tableau de la situation actuelle à travers le monde :

  • Quelles menaces font peser les objets connectés ?
  • Que peuvent, ou doivent, faire les fabricants pour prévenir, gérer et corriger les failles de sécurité ?
  • Quelles mesures sont prises par les pays dans le monde pour sécuriser l’IoT ?
  • Comment établir un cadre de confiance et développer des bonnes pratiques ?

Les membres du réseau Lexing dressent un tableau de la situation actuelle en Afrique du SudAllemagneBelgiqueFranceGrèce.

Lettre Juristendances Internationales « Lexing Insights » n°22 Juillet 2019




Le Costa Rica accueille la Conférence 2019 du réseau Lexing

La prochaine conférence annuelle du réseau international Lexing® se tiendra le 13 juin 2019 au Costa Rica. Au programme : protection des données, Internet des objets, innovation et technologie en droit comparé.

Cette année, le réseau Lexing®, premier réseau international d’avocats dédié au droit du numérique et des technologies avancées réunira ses membres à San Jose, Costa Rica, pour offrir une expérience unique sur le cadre juridique de l’innovation et des technologies.

Le Costa Rica accueille la conférence annuelle Lexing 2019

Le Costa Rica est un pays de tradition démocratique qui a choisi d’abolir l’armée en 1949 et de délaisser les armes au profit du développement social et économique.

Traditionnellement, l’activité économique au XIXe et à la fin du XXe siècle a reposé sur le commerce du café et de la banane.

Dans les années 80, l’économie costaricienne s’est ouverte aux investissements étrangers directs (IED) et le pays récolte les fruits de ses investissements dans la sécurité sociale et l’éducation.

La politique menée se concrétise par la paix en Amérique centrale et le prix Nobel de la paix en 1987.

En 1997, Intel s’installe au Costa Rica et génère au cours des années suivantes un afflux d’investissements qui dynamise aujourd’hui son économie et constitue un important centre d’investissement étranger en technologie et innovation.

Une conférence annuelle autour de la data, de l’IoT et de l’innovation

Programme 

9h00-9h15

  • Accueil et présentation du réseau Lexing, par Frédéric Forster, Vice-président, et Gabriel Lizama Oliger, Lexing Costa Rica.

9h15-10h00

  • Droit des Objets connectés et télécoms, par Frédéric Forster, Alain Bensoussan Avocats Lexing, et Daniel Preiskel, Preikel & Co.

10h00-10h15 – Pause café

10h15-11h15

  • La Nouvelle Loi Californienne sur la Protection des Données, par Francoise Gilbert, Greenberg Traurig, Etats Unis,  
  • Le Cadre juridique de la Fintech en Australie, par Dudley Kneller, Madgwicks Lawyers, Australie,
  • Les perspectives juridiques des véhicules autonomes, par Raffaele Zallone, Studio Legale Zallone, Italie.

11h15-12h15

  • Les technologies de l’information dans le secteur public mexicain,par Joaquín Mendoza Brik, Carpio, Ochoa, Martínez, Brik, Mexique,
  • l’impact de la technologie sur la transformation des services juridiques, par Miklós Orbán, Orban & Perlaki Law Firm, Hongrie.

12h15-1h15 – Déjeuner

13h15-14h15

  • Le responsable de la protection des données en Europe, par  Marc Gallardo, Lexing Espagne, et Jean-François Henrotte, Lexing Belgique.

14h15-15h15

  • Les Enjeux Juridiques du Commerce Électronique en Asie, par Koki Tada, Hayabusa Asuka Law, Japon, et Jun Yang, Jade & Fountain PRC Lawyers, Chine.

15h15-16h15

  • Les défis du cadre juridique pour l’innovation dans les entreprises, par Gabriel Lizama Oliger, Lexing Costa Rica, et Ignacio Guzmán, G&D Asesores Jurídicos.

16h15 – Conclusions et clôture des travaux

Date et lieu : le 13 juin 2019, Hotel Crowne Plaza Corobici, San José. 




Robotique : Lexing Alain Bensoussan Avocats présent au 5ème SIDO

SIDOLe cabinet participera, les 10 et 11 avril 2019 à Lyon, au salon SIDO seul événement européen combinant IoT, IA et Robotique.

Les 10 et 11 avril 2019 à Lyon (Cité internationale), se tiendra la 5ème édition du salon SIDO, évènement incontournable rassemblant trois écosystèmes technologiques convergents, des labos et start-ups aux fournisseurs et intégrateurs de solutions IoT, IA & Robotique pour accompagner le progrès vers l’innovation et ses marchés.

SIDO : the place to be

Le SIDO, auquel participera le cabinet Lexing Alain Bensoussan Avocats, réunit 400 exposants experts IoT, IA, Robotique, laboratoires de recherche, bureaux d’études, fabricants de composants, d’objets intelligents, de robots, designers et intégrateurs de solutions, institutionnels, groupements…

L’ensemble de la chaine de valeur des trois écosystèmes y est représenté pour favoriser les coopérations et répondre aux demandes des donneurs d’ordre sectoriels, en proposant des solutions intégrées de bout en bout.

A l’arrivée, c’est plus de 10.000 décideurs, acteurs de l’innovation qui sont attendus à la Cité Internationale pour positionner les entreprises sur leurs marchés d’avenir.

Le cabinet Lexing Alain Bensoussan Avocats, qui a toujours fait de l’innovation sa marque de fabrique, y tiendra un stand dans le cadre duquel il présentera son département dédié au droit des activités robotiques et de l’IA, ainsi que sa filiale Lexing technologies et les nouveaux services juridiques qu’elle propose, au premier rang desquels une plateforme d’outils Saas.

SIDO : des conférences de haut vol

Le SIDO c’est aussi 80 conférences et 200 intervenants internationaux pour aborder les technologies, leurs innovations, marchés et impcats, témoigner de cas d’usage Iot, IA et robotiques et construire les meilleurs projets d’application.

Alain Bensoussan interviendra le jeudi 11 avril à 14H en séance plénière dans le cadre d’une table ronde sur le thème : « Mes datas sont à moi ! »

Intervenants :

  • Alain Bensoussan, Avocat à la Cour d’appel de Paris ;
  • Nicolas Bohy, Hewlett Packard Enterprise (Pointnext), General Manager ;
  • Jean-Christophe Bonis, Oxymore Futurist (Animateur) ;
  • Gaspard Koenig, GenerationLibre, Président ;
  • Patrice Slupowski, Orange, SVP Digital Innovation.

Thèmes abordés :

  • Quelle IA et quelle data éthique veut-on pour l’Europe et plus globalement pour notre civilisation digitale ?
  • Quelle stratégie de recherche en matière d’IA ?
  • La quête de données personnelles/ IA, érigées en modèle d’affaires. En théorie, en pratique !
  • Redonner le contrôle au consommateur ?

SIDO : pour aller plus loin

Depuis 4 ans, SIDO, structure la filière européenne de l’IoT et aide les entreprises à identifier de nouveaux leviers de croissance et à réinventer leurs business modèles en intégrant l’IoT.

Avec l’accroissement de la puissance de calcul et l’intelligence embarquée, les projets connectés s’accélèrent et s’enrichissent.

L’IoT, l’IA et la robotique se mêlent et s’intègrent dans des applications connectées toujours plus autonomes et intelligentes.

Véritable «Creuset de l’innovation», SIDO décloisonne les univers technologiques et passe à la vitesse supérieure. Parce que l’apport de la robotique collaborative et de l’IA bouleversent profondément la manière d’exploiter l’IoT et que la combinaison de ces trois technologies représente un gisement de création de valeur et de croissance par l’innovation, SIDO, dans le TOP 5 européen des évènements IoT, s’enrichit.

SIDO propose un rendez-vous «Technologies & marchés», unique en Europe, combinant IoT + IA + Robotique. Une réponse inédite aux nouveaux défis technologiques et organisationnels auxquels sont confrontées toutes les entreprises industrielles et de services.

Informations pratiques sur le site du SIDO.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




La sécurité des objets connectés : faites le point

sécurité des objets connectésLe cabinet organise le 14 novembre 2018 un petit-déjeuner débat sur la sécurité des objets connectés, animé par Frédéric  Forster et Nathalie Plouviet.

La sécurité des objets connectés : un enjeu majeur

Les objets connectés continuent inexorablement leur développement et irriguent non seulement les activités personnelles mais aussi les activités professionnelles, au point que les réseaux de télécommunication mobile de future génération (« 5G ») ont été conçus pour faire face aux nouveaux usages qu’ils promettent et qu’ils permettent déjà.

Dans ce contexte, le respect des impératifs de sécurité devient naturellement incontournable, qu’il s’agisse de la sécurité des accès physiques à ces objets, mais aussi de leur sécurité d’accès logique qui, si elle n’est pas – ou mal – prise en compte peut contaminer l’ensemble de l’écosystème technique auquel ils sont connectés.

En créant de nouveaux usages, ces objets révolutionnent la vie quotidienne y compris au sein de l’entreprise, rendant plus prégnantes les questions de sécurité.

A ce jour, le travail normatif peine quelque peu à faire émerger un référentiel commun et universel. En revanche, la législation contient déjà un certain nombre de pistes de résolution de ces problématiques sécuritaires, notamment au travers des dispositions du RGPD en application depuis le 25 mai. Ces objets servent en effet de source dans le processus de la collecte d’information.

Ce petit déjeuner sera donc l’occasion de faire le point sur ces questions et notamment sur les dernières nouveautés dans le domaine des normes et réglementations techniques et sur les impacts du RGPD et la loi Informatique et libertés française du 20 juin 2018 dans le domaine de la sécurité des objets connectés.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




L’ exploitation des données non personnelles : un défi pour les entreprises

exploitation des données non personnellesAlain Bensoussan évoque pour la Lettre des Juristes d’Affaires, les grands défis que pose l’ exploitation des données non personnelles issues des multiples capteurs des objets connectés.

Les objets connectés ou communicants, ce sont notamment les compteurs intelligents, les voitures, les maisons connectées, les villes connectées, etc. Selon le rapport d’information sur les objets connectés du 10 janvier 2017, citant le Gartner, 6,4 milliards d’objets sont déjà connectés en 2016, et il devrait y en avoir 30 milliards en 2020 (1).

L’essor des objets connectés associé à l’exploitation du Big data offre de vastes perspectives de création de valeur. Or, si les entreprises et les pouvoirs publics se focalisent sur les données personnelles, leur statut et leur protection, selon le dossier abordé par la LJA, la question majeure qui n’a pourtant pas encore trouvé de réponse serait : à qui appartiennent les données non personnelles issues des capteurs ?

Pour Alain Bensoussan, ceux capables d’apporter des pistes auront un avantage majeur sur la concurrence. (…)

Lexing Alain Bensoussan Avocats

Pour lire l’article :
« Données non personnelles : l’autre grand défi des entreprises », Gabriel Mikulfka, La Lettre des Juristes d’Affaires, publié le 7 février 2018.

(1) AN, Rapport d’information 4362 du 10-1-2017.




IoT domestique : quels risques pour l’intimité et la vie privée ?

IoT domestiqueFrédéric Forster évoque pour E.D.I. Magazine l’impact de l’ IoT domestique sur le droit à l’intimité et à la vie privée.

Assistants personnels, enceintes intelligentes, aspirateurs robots, jouets connectés : les fêtes de fin d’année auront marqué l’arrivée en force dans notre quotidien domestique de ces « smart objects » dotés d’intelligence artificielle. Des produits qui, à l’heure de l’hyperconnexion, interpellent sur le terrain du droit à l’intimité et de la protection et de la vie privée.

Autant d’enjeux évoqués par Frédéric Forster, directeur du Pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats, dans la chronique qu’il tient dans le Magazine E.D.I. (1) à travers des décisions et communications récentes – et emblématiques – de la Cnil.

IoT domestique : jouets connectés

A quelques jours de Noël, la Cnil s’était, comme le rappelle Frédéric Forster, prononcée sur deux jouets connectés (2) : un robot « I-QUE » et une poupée « My Friend Cayla ».

Le point commun de ces deux jouets conçus par le même fabricant ? Ils répondent aux questions posées par les enfants sur divers sujets tels que des calculs mathématiques ou encore la météo.

Des jouets équipés d’un microphone et d’un haut-parleur, associés à une application mobile téléchargeable sur mobile ou tablette.

Plusieurs manquements à loi Informatique et libertés ont été constatés dont notamment le non-respect de la vie privée des personnes en raison d’un défaut de sécurité.

IoT domestique : enceintes intelligentes

D’abord déployés sur les téléphones, puis les enceintes ou les casques audio, les assistants à commande vocale sont amenés à progressivement s’intégrer dans l’habitacle des véhicules, à l’intérieur d’un robot domestique et même sur le lieu de travail.

A la veille de noël, la Cnil s’est également prononcée sur ces assistants vocaux à propos d’enceintes intelligentes connectés à la vie privée de ses utilisateurs, qui ont fait fureur lors des dernières fêtes de fin d’année comme le démontre le succès foudroyant des Google Home et Amazon Echo, rappelant les enjeux que pose cette technologie au regard de la vie privée des utilisateurs (3).

Assistants vocaux connectés : quelques règles de bon sens

D’où les conseils que la Cnil rappelle dans sa communication concernant plus généralement les assistants vocaux :

  • Chaque utilisateur doit intégrer que même si « la parole s’envole », ses requêtes vocales sont enregistrées dans le cloud, de la même manière qu’elles le seraient s’il les tapait au clavier dans certains moteurs de recherche ;
  • Un point de vigilance qui s’ajoute aux diverses interrogations auxquelles les consommateurs seront peut-être un jour confrontés en tant qu’utilisateur, notamment sur la confidentialité des échanges : ainsi, en veille permanente, ces assistants sont susceptibles d’enregistrer vos conversations, y compris celles de tiers lorsqu’ils ont reconnu le mot clé.

Et l’autorité régulatrice de rappeler quelques règles de bon sens :

  1. Ne connecter que des services qui présentent réellement une utilité, tout en considérant les risques à partager des données intimes ou des fonctionnalités sensibles ;
  2. Etre vigilant sur le fait que les propos tenus face à l’appareil peuvent enrichir son propre profil publicitaire ;
  3. Ne pas hésiter à contacter les services supports en cas de questions et, le cas échéant, la CNIL.
  4. Se rendre régulièrement sur le tableau de bord des objets connectés pour supprimer l’historique des conversations/questions posées et personnaliser l’outil selon ses besoins.

Eric Bonnet
Directeur du Département Communication juridique

(1) F. Forster, « Comment les objets connectés influent sur la vie privée », E.D.I. n°75, février 2018, p. 48.
(2) Décision de la Cnil n° MED-2017-073 du 20-11-2017 de mise en demeure, communiqué de la Cnil du 4-12-2017.
(3) Enceintes intelligentes : des assistants vocaux connectés à votre vie privée.




Enjeux de responsabilité des acteurs IoT, opportunités et contraintes

responsabilité des acteurs IoTFrédéric Forster apporte son éclairage sur les enjeux de responsabilité des acteurs IoT pour la rubrique « Paroles d’experts » du site de la société Apollo.

Spécialiste français du courtage en assurances pour le secteur Tech : digital, IoT, high-tech, médical, Apollo interroge des experts reconnus, avocats, experts, spécialistes du marché US, etc. sur les sujets concernant ces nouvelles technologies.

Paroles d’experts

Frédéric Forster est avocat à la Cour d’appel de Paris, directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats, auteur de l’ouvrage « Droit des objets connectés et télécoms », paru aux éditions Larcier (2017), il est spécialiste de l’internet des objets et objets communicants, c’est donc à ce titre qu’il a accordé une interview sur le thème « Les enjeux de responsabilité des acteurs de l’IoT ». 

L’internet des objets ou IDO en français, recouvre l’ensemble des objets connectés ainsi que des réseaux de télécommunication et des plateformes de traitement des informations collectées qui leur sont associés, étant entendu que les réseaux de télécommunication en question peuvent être l’internet, des réseaux de radiocommunication avec les mobiles  ou encore des réseaux spécialisés à faible débit (connexion Bluetooth, RFID, etc.).

Responsabilité des acteurs IoT

A la  première question : « Quels sont les principaux enjeux de responsabilité pour les acteurs IoT ? » , Frédéric Forster présente les aspects liés à la sécurité des produits et à la sécurité logique.

A la seconde : « Que recommandez-vous en priorité aux acteurs IoT pour se protéger juridiquement et financièrement ? », il explique les précautions qui doivent être prises en amont du lancement du projet puis une fois que le produit est conçu, sans oublier la couverture en garantie des risques encourus.

Enfin sur la problématique du RGPD pour les acteurs IoT : opportunité ou contrainte trop forte ? Frédéric Forster explique que les entreprises n’ont pas le choix et qu’elles vont devoir intégrer le RGPD dans leur quotidien. Le règlement européen sur la protection des données est incontournable et s’applique à toutes les entreprises. Sa prise en compte rapide peut être un avantage concurrentiel.

Pour le développement de ces questions, rendez-vous sur le site d’Apollo pour lire l’interview de Frédéric Forster : « Les enjeux de responsabilité des acteurs de l’IoT ».




Nouvelle mise en cause de jouets connectés : la Cnil se prononce

Nouvelle mise en cause de jouets connectésUne nouvelle mise en cause de jouets connectés est intervenue avant Noël. L’occasion pour la Cnil de rappeler les lignes directrices applicables.

Dans une délibération du 20 novembre 2017, la Cnil a mis en demeure un fabricant de jouets de procéder à la sécurisation de jouets connectés à destination d’enfants : la poupée « My Friend Cayla » et le robot « I-QUE » (1).

Jouets mis en cause et procédure

Dans cette affaire, étaient en cause des jouets connectés qui répondent aux questions posées par les enfants sur divers sujets. Ces jouets sont équipés d’un microphone et d’un haut-parleur. Ils sont associés à une application mobile téléchargeable sur téléphone mobile ou sur tablette, la réponse à la question posée par l’enfant étant extraite d’internet par l’application et la réponse étant communiquée via le jouet.

À la suite d’une plainte de l’association UFC Que Choisir, la Cnil a réalisé des contrôles et a opéré des vérifications sur les mécanismes permettant le fonctionnement de ces jouets. Ces vérifications ont permis de démontrer plusieurs manquements à la loi Informatique et libertés.

Manquements constatés

Le non-respect de la vie privée des personnes en raison d’un défaut de sécurité a d’abord été constaté. Les contrôleurs de la Cnil ont découvert qu’une personne située à 9 mètres des jouets à l’extérieur d’un bâtiment, pouvait connecter un téléphone mobile aux jouets grâce au standard de communication Bluetooth sans avoir à s’authentifier (sans mot de passe ou identification préalable de l’utilisateur).

Ils ont également relevé qu’il était possible de communiquer avec l’enfant situé à proximité de l’objet par deux techniques :

  • soit en diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone de certains téléphones ;
  • soit en appelant le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet.

La Cnil a considéré que l’absence de sécurisation des jouets, permettant à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants et des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical, méconnait l’article 1er de la loi Informatique et libertés selon lequel l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Le défaut d’information des utilisateurs des jouets a ensuite été constaté, les utilisateurs des jouets n’étant pas informés :

  • des traitements de données mis en œuvre par la société ;
  • du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne.

Au regard de tous ces éléments, la Cnil a donc décidé de mettre en demeure le fabricant de jouets de se conformer à la loi Informatique et libertés dans un délai de deux mois et de rendre publique cette mise en demeure.

Effets de la mise en demeure

Cette mise en demeure ne constitue pas une sanction. Si la société se conforme à la loi dans le délai imparti, aucune suite ne sera donnée. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

En revanche, si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Cnil pourra désigner un rapporteur qui proposera le cas échéant à la formation de prononcer une sanction.

Lignes directrices de la Cnil

Afin de garantir la sécurité des utilisateurs des jouets et objets connectés, la Cnil diffuse des mises en garde s’agissant des jouets et plus généralement des objets connectés à travers plusieurs lignes directrices publiées sur son site (2).

La Cnil recommande ainsi aux utilisateurs d’objets connectés de (3) :

  • vérifier a minima que l’objet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou depuis Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe ;
  • changer le paramétrage par défaut de l’objet (mot de passe, code PIN, etc.) ;
  • sécuriser l’accès par un mot de passe l’écran de déverrouillage du smartphone (ou de la tablette) et le réseau WiFi utilisé avec l’objet connecté ;
  • être d’autant plus vigilants sur les aspects de sécurisation lorsque les objets produisent des données sensibles, sur la santé ou sur les enfants ;
  • être attentif concernant sa propre vie privée et celle des autres si l’objet connecté est associé à des réseaux sociaux, notamment en désactivant le partage automatique des données ;
  • s’assurer de la possibilité d’accéder aux données et de les supprimer ;
  • éteindre l’objet quand il ne sert pas ou pour éviter de capter des données sensibles.

La Cnil avait déjà dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 janvier 2017 (4).

Lexing Alain Bensoussan Avocats
Lexing Droit de l’internet des objets

(1) Décision de la Cnil n° MED-2017-073 du 20-11-2017 mettant en demeure la société Genesis Industries Limited.
(2) « Il était une fois l’ours connecté mal sécurisé », Infographie de la Cnil du 4-12-2017.
(3) « Objets connectés : n’oubliez pas de les sécuriser ! », Article de la Cnil du 4-12-2017.
(4) N. Plouviet et C. Van Mol, « Faut-il déconnecter les jouets connectés des enfants ? », Alain Bensoussan.com, 3-3-2017.




Quels scenarii pour l’ IoT en France dans les prochaines années ?

IoT en FranceNathalie Plouviet participe le 14 décembre 2017 à la conférence de restitution de l’Observatoire de la vie connectée 2017 sur l’ IoT en France.

De nombreuses études promettent une progression fulgurante des objets connectés, à telle enseigne qu’on parle même de 3ème Révolution Internet.

Quelle est la réalité du développement de l’ IoT en France ? Sur quelles hypothèses de développement devons-nous tabler ?

Dans l’ « Observatoire de la vie connectées 2017, l’ère de la cobotique », la Commission Objets et services connectés de l’Acsel, le Hub de la transformation digitale, et le Carrefour de l’Internet des Objets, ont posé les bases de 3 scenarii :

 

  • Internet of everything ?
  • La fin de l’utopie ?
  • L’ère de la rationalisation ?

Autant de thèmes qui seront abordés lors de la conférence de restitution de l’Observatoire le 14 décembre 2017 pour une vision partagée sur le marché, les tendances, la progression du rôle de l’IoT et de la Cobotique dans 18 secteurs d’usages, à laquelle participera Nathalie Plouviet, avocate au cabinet Lexing Alain Bensoussan Avocats, directrice du Département Internet des objets.

Lors de cette matinée, les résultats de la 6ème vague du « Baromètre Confiance des Français dans le numérique » Acsel et La Poste et ses partenaires la CCD et Orange sur la confiance dans les objets connectés seront présentés en avant-première.

Liste  des intervenants :

  • David de AMORIM, Directeur de l’innovation DOCAPOST
  • Benjamin GRANGE, CEO – Président DENTSU CONSULTING
    COO – DG DENTSU AEGIS NETWORK FRANCE
  • Valérie NÉGRIER, DGA Prospective / Manager DENTSU CONSULTING
  • Nathalie PLOUVIET, Avocate CABINET ALAIN BENSOUSSAN AVOCATS LEXING
  • Benoît REGENT, Directeur du département Prospective DENTSU AEGIS NETWORK France
  • Cédric LECOLLEY, Directeur commercial & marketing GS1 France
  • Anne-Sophie BORDRY, Présidente TETRAMOS
  • Dimitri CARBONNELLE, Fondateur LIVOSPHERE
  • Karim LOURCI, Co-fondateur SMARTLY.AI
  • François SOREL, Journaliste NEXTRADIO TV

Pour plus d’informations sur le Baromètre Confiance de l’Acsel & La Poste, cliquez ici.
Il sera présenté dans son intégralité le 18 décembre prochain. Inscriptions ouvertes




Objets connectés : les spécificités télécoms de l’internet des objets

télécoms de l'internet des objetsLe cabinet a organisé le 19 décembre 2017 un petit-déjeuner intitulé : « Les spécificités télécoms de l’internet des objets », animé par Frédéric Forster.

Les spécificités télécoms de l’internet des objets

Les voitures autonomes, les villes intelligentes, l’usine 4.0 mais également la santé connectée…, l’internet des objets est partout et révolutionne de nombreux secteurs qu’ils soient industriels ou non.

La croissance phénoménale du nombre d’objets connectés et des usages qu’ils proposent induisent une consommation extrêmement importante de ressources, notamment dans le secteur des télécoms, sensible à une bonne gestion du spectre des fréquences ou des ressources en numérotation.

  • Quel est l’impact du de la multiplication des objets connectés sur le secteur des télécoms ?
  • Comment ce secteur s’est-il préparé à cette déferlante ?
  • Quelles conséquences organisationnelles, légales, réglementaires, cette multiplication des objets connectés et communicants a-t-elle ?

Ce petit-déjeuner débat était l’occasion de dresser un état des lieux des technologies, des objets et des services liés aux objets connectés et de présenter les grands enjeux de leur déploiement au regard de la réglementation sectorielle des communications électroniques.

Le petit-déjeuner s’est déroulé de 9h30 à 11h00 (accueil à partir de 9h00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




Quels sont les enjeux juridiques de l’Internet des Objets ?

Internet des Objets - J. Bensoussan F. Forster -Master DESMA 2017Le point de vue de Frédéric Forster et Jérémy Bensoussan sur les aspects juridiques de l’ Internet des Objets (IoT). Avocats du cabinet Alain Bensoussan Avocats Lexing, Frédéric Forster, Directeur du pôle Télécoms, et Jérémy Bensoussan, Directeur du département Technologies robotiques, ont été interrogés par les élèves du master Desma de l’IAE de Grenoble sur les aspects juridique de l’IoT.

Les sujets abordés étaient les suivants :

1. Qu’en est-il de l’assurabilité des objets robots ? Où en est-on de la prise en charge par les assureurs des conséquences dommageables des actions des robots ?
2. Comment se prémunir, dans les contrats, contre les collectes ou les utilisations non souhaitées/non autorisées des données à caractère personnel ?
3. En tant qu’acheteur, quelles sont les clauses spécifiques à insérer dans les contrats avec des fabricants d’objets connectés ?
4. On pourrait envisager que, grâce à l’IoT, le crime parfait à distance existe ! Comment déterminer les responsabilités ? quelles sont les protections possibles ?
5. Comment appréhender la gestion de la propriété intellectuelle au travers des contrats conclus avec les éditeurs ou les fabricants d’objets ?

Retrouvez les réponses en vidéo sur notre chaîne Lexing Alain Bensoussan – Avocats à cette adresse.

L’interview a eut lieu en marge d’une conférence organisée par le master DESMA de Grenoble IAE et le Cabinet Alain Bensoussan Avocats le 12 avril 2017.

Eric Bonnet
Directeur du Département Communication juridique




La standardisation et les objets connectés

Sans standardisation, quel avenir pour les objets connectés?Les différents éléments des objets connectés doivent être interopérables, la standardisation est-elle nécessaire ?

Pour pouvoir connecter l’objet, les différents éléments doivent pouvoir se connecter entre eux et garantir une interopérabilité.

Les objets connectés font partie d’un vaste écosystème composé de capteurs, de connexions, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments ou composants doivent pouvoir s’interconnecter, s’intégrer, communiquer tout en étant compatibles et sécurisés dans leur utilisation et leur usage. Cette interconnexion est nécessaire pour leur environnement mais également pour les données qu’ils peuvent recueillir, conserver, stocker ou partager.

L’objet connecté s’intègre dans différents écosystèmes. Ces acteurs interviennent dans différents pays et l’objet peut, par conséquent, être soumis à différentes réglementations, tant au regard de sa fabrication que de sa commercialisation.

Au regard de l’hétérogénéité des objets connectés et des éléments qu’ils peuvent contenir, des réglementations spécifiques interviennent en fonction de la nature de l’objet connecté, de son utilisation, de sa localisation ou de la nature de l’innovation.

Si de nombreuses règlementations existent d’ores et déjà et trouvent à s’appliquer, elles sont amenées à évoluer pour s’adapter à des nouveaux usages ou à la transformation de la nature de l’objet en raison de sa connexion.

Néanmoins, il semble illusoire, au regard de l’emboîtement des règlementations, tant sectorielles que locales, de vouloir créer une règlementation unique des objets connectés.

Dès lors, d’un point de vue purement pragmatique, les fabricants ou les juristes intervenant dans une étude de faisabilité, par exemple, chercheront à légitimer l’objet connecté en utilisant des labels, des normes ou encore des standards.

Par conséquent, on constate ,avec le développement des objets connectés, de nombreuses initiatives de standardisation, généralement issues d’acteurs privés.

Conception : Normes, labels et certifications

Une norme est un référentiel qui précise les caractéristiques spécifiques de services ou de produits. La norme a pour fonction de garantir une qualité constante des produits et services considérés. Elle est régulièrement actualisée ( ). Les normes sont éditées par des organismes de normalisation officiels comme l’AFNOR (au niveau national) ou l’ISO (au niveau international), elles sont d’application volontaire. Certaines ont néanmoins été rendues obligatoires par les pouvoirs publics.

Un label est un signe distinctif, une étiquette ou une marque spéciale créée par un syndicat professionnel ou un organisme parapublic et apposé sur un produit destiné à la vente. Il en certifie l’origine, la qualité et indique que les conditions de fabrication sont en conformité avec les normes préétablies ( ).

Une certification est une activité par laquelle un organisme tierce partie atteste qu’un produit, un système de management de la qualité ou un service, est conforme aux exigences spécifiées dans un référentiel. La certification est réalisée par le biais d’audit ( ) d’un organisme tiers indépendant. La démarche n’est pas obligatoire mais, parce qu’elle s’accompagne d’un logo, elle offre, le plus souvent, une meilleure visibilité aux bonnes pratiques. Au sens strict, une certification s’appuie sur un référentiel qui a été conçu par un organisme certificateur et publié au Journal officiel.

Un label, une norme, ou une certification adapté peuvent apporter un gage de qualité ou de sécurité aux objets connectés. Toutefois, il ne faut pas que cela soit parcellaire.

L’appréciation de ces aspects devra prendre en compte l’objet connecté dans son écosystème, car ces démarches tendent à garantir la qualité de l’objet connecté, sans nécessairement prendre en compte son utilisation par les consommateurs ou sa communication avec d’autres objets.

Utilisation et traçabilité

Sous l’angle de l’utilisation de l’objet connecté, la standardisation permet de mettre en œuvre, de manière indépendante et consensuelle, un langage global, ouvert et interopérable entre les acteurs économiques d’un écosystème.

Elle permet également d’identifier et de tracer l’objet, ce qui, en cas de défaillance dudit objet, permettra plus facilement d’identifier les responsabilités.

Les objets connectés doivent pouvoir communiquer entre eux dans des standards communs. A titre d’exemple, une voiture autonome devra être en mesure de pouvoir communiquer en toute sécurité avec des capteurs installés sur une route ou sur des feux de circulation.

Il est indispensable que les standards de tel ou tel objet connecté puissent reconnaître d’autres standards et ce, pour toutes les différentes couches contenues dans l’objet.

L’harmonisation par des standards communs

L’utilisation et le passage à l’échelle, l’industrialisation d’un objet et sa réussite commerciale, induisent qu’il puisse être utilisé en toute sécurité et qu’il puisse communiquer en dehors de son écosystème.

La création de standards universels pourrait, en conséquence, être une réponse à l’impossibilité pratique de créer un droit de l’Internet des Objets.

Cette standardisation nécessite, néanmoins, que l’indépendance des organismes puisse être garantie et ne pas être issue d’une seule entité privée qui pourrait contrôler indirectement tout ou partie d’objets connectés.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Les normes sont régulièrement actualisées. C’est un principe que l’on trouve dans le Guide des métiers du centre Inffo, Dunod, 2006
(2) Définition Larousse
(3) Norme FD X 50-751




Le droit des objets connectés dans la ville intelligente

Le droit des objets connectés dans la ville intelligente

L’intégration des objets connectés dans la ville intelligente entraîne une réflexion sur leur encadrement légal.

La ville intelligente se distingue des autres villes par les interactions que peuvent avoir entre eux ses différents composants (transport, infrastructure, bâtiments, énergie). Jusqu’alors autonomes, les composants de la ville intelligente se connectent, et ce en grande partie grâce aux objets connectés.

Ces nombreux objets innovants, ayant pour particularité de s’intégrer à la ville intelligente, amènent une réflexion sur leur encadrement légal.

Les objets connectés dans la ville intelligente

Les objets connectés sont des objets capables de recevoir et de transmettre des données via des systèmes d’identification électronique normalisés sans fil. Il en existe un grand nombre dans le domaine de la santé, de l’industrie, des loisirs ou de la domotique mais le plus connu reste le smartphone.

Si beaucoup d’objets connectés, dont les smartphones, sont utiles et permettent le développement de la ville intelligente, d’autres sont spécifiquement conçus et développés pour la ville intelligente. Ces objets, réverbères, poubelles, capteurs de pollution, routes, parkings permettent de faciliter l’accès de l’information pour les usagers et les collectivités, de détecter des places de voirie, d’optimiser la relève des déchets et la distribution d’énergie, de simplifier la mobilité et d’apporter bien être et sécurité aux usagers.

L’une de leurs particularités réside dans le fait qu’étant développés pour intégrer l’infrastructure et les bâtiments de la ville, ils font appel à une multitude d’intervenants, ce qui entraîne des conséquences juridiques.

L’encadrement légal des objets connectés dans la ville intelligente

Le grand nombre d’intervenants soulève notamment les questions de la propriété et de la responsabilité des objets connectés dans la ville intelligente.

Propriété intellectuelle des objets connectés dans la ville intelligente

Tout d’abord, en termes de propriété intellectuelle, si un logiciel ou une base de données est intégré à l’objets il faudra savoir qui est titulaire des droits d’auteur et si une cession ou une licence doit être mise en place.

De même, pour les puces, les capteurs ou encore la technologie de communication sans fil (hors logiciel), l’étude d’un dépôt de brevet peut se poser. Il convient alors d’étudier l’opportunité d’un tel dépôt et s’il y a un risque d’atteinte au droit d’un tiers.

Vient ensuite la question de la propriété matérielle des objets connectés dans la ville intelligente, ces derniers peuvent relever de la catégorie des biens meubles ou des biens immeubles (cas des bâtiments intelligents). Dans l’hypothèse où l’objet connecté est affecté, soit à l’usage direct du public, soit à un service public, et a fait l’objet d’un aménagement indispensable à l’exécution de ce service public, il peut entrer dans le domaine public de la communauté(1), sinon il sera une propriété privée.

L’enjeu est alors de prévoir les contrats de cession, de garantie, d’entretien et de maintenance de l’objet et de sa technologie.

Par ailleurs, l’objet connecté recueille des données, si ces données répondent à la qualification de données à caractère personnel, la loi Informatique et libertés (2) et le règlement européen sur la protection des données personnelles (3) doivent être respectés par les intervenants, sauf cas d’anonymisation directe. De plus, l’objet connecté étant rattaché à la ville intelligente il peut aussi recueillir des données publiques comme les données de trafic, et ces données devront, a priori, pouvoir être partagées, en application de la loi pour une République numérique.

L’enjeu est alors de prévoir, dès la conception de l’objet, les pratiques qu’il conviendra de respecter, c’est le privacy by design.

En fonction des différentes propriétés qui auront été mises en exergue, il conviendra d’évaluer les responsabilités qui pourront être mises en cause.

Responsabilité du fait des objets connectés dans la ville intelligente

A titre d’exemple, la responsabilité du fait des dommages causés par les objets, responsabilité de la collectivité en charge de l’infrastructure mais également du fournisseur ou de l’opérateur télécoms, risque de chaîne de responsabilité entre les différents intervenants.

Ainsi, comme tous les objets connectés mais encore plus du fait de leur intégration à la ville, les objets connectés dans la ville intelligente doivent faire l’objet, dès leur conception, d’une étude de la réglementation applicable et des obligations et responsabilités mises en jeu. Une fois cette étude préalable réalisée, pourront être rédigés, de la manière la plus appropriée, les contrats conclus par la personne publique pour le développement et la mise à disposition des objets connectés, leur maintenance, ainsi que les conditions d’utilisation des objets connectés par les usagers.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Code général de la propriété des personnes publiques, art. L.2111-1
(2) Loi 78-17 du 6-1-1978
(3) Règlement 2016/679 du 27-4-2016




Class action aux Etats-Unis sur des objets connectés

Class action aux Etats-Unis sur des objets connectés

Une class action d’envergure a été lancée aux Etats-Unis contre une société commercialisant des objets connectés.

Class action aux Etats-Unis sur des objets connectés

Les objets connectés se multiplient sur le marché mais des risques existent pour les données à caractère personnel.

Une multitude d’objets connectés

La révolution numérique touche tous les secteurs et le marché du plaisir connecté est en pleine expansion.

Ces objets ou gadgets connectés, qui vont du vibromasseur au préservatif, permettent généralement d’obtenir des statistiques sur ses ébats amoureux et de publier ses performances sur internet.

Le litige à l’origine de la class action

Fin 2016, une société canadienne, commercialisant des objets connectés destinés au plaisir de leurs utilisateurs, a été mise en cause, au regard de ses pratiques relatives à la collecte de données à caractère personnel des utilisateurs de ces gadgets.

En effet, cette société n’avait pas révélé que les produits commercialisés permettaient de collecter les données à caractère personnel de leurs utilisateurs à leur insu.

Il s’est avéré que cette société collectait certaines données sensibles, telles que l’heure et la date de chaque utilisation du sextoy, l’intensité de la vibration sélectionnée, la température du produit et le niveau de batterie du produit.

Malgré leurs côtés pouvant paraître étonnants et drôles, ces objets devenaient de véritables outils portant atteinte à la vie privée.

Une class action avait été initiée par une cliente américaine qui avait déposé une plainte en septembre 2016.

Si la société mise en cause a toujours nié les faits qui lui étaient reprochés et sa responsabilité, elle a reconnu qu’un procès serait long, coûteux et risqué. Les parties ont donc pris la décision de résoudre le litige à l’amiable, en suivant un procédé de médiation privée.

L’accord transactionnel signé

L’accord qui a été signé aux mois de février et mars 2017 entre les parties au litige, constitue une transaction et n’établit pas de violation de la réglementation relative à la protection des données à caractère personnel de la part de la société canadienne.

Cet accord a permis la constitution de deux fonds d’indemnisation pour les plaignants totalisant 5 millions de dollars canadiens : l’un pour les personnes ayant simplement acheté un objet connecté de plaisir, l’autre pour les personnes ayant téléchargé une application permettant de contrôler ces objets connectés.

Par ailleurs, la société s’est engagée notamment :

  • à supprimer les informations collectées sans l’accord des utilisateurs ;
  • à ne plus mettre en œuvre de processus d’enregistrement des utilisateurs sur l’application;
  • à ne plus collecter les adresses mails des utilisateurs, sauf s’ils souhaitent s’abonner à une newsletter ;
  • à mettre à jour sa politique de confidentialité ;
  • à communiquer sur cet accord, afin que les utilisateurs soient informés de leurs droits d’obtenir des dommages-intérêts.

A noter, le Privacy Act (1) est le principal cadre juridique protégeant les données à caractère personnel détenues par les agences gouvernementales américaines, puisqu’à la différence du système européen, les Etats-Unis n’ont pas de cadre général de protection des données dans le secteur privé mais des lois sectorielles.

Aux Etats-Unis, il existe une régulation volontaire par l’élaboration par les entreprises de leurs propres « privacy policies », ou régulation contractuelle par le biais, notamment, de conventions entre les entreprises et les consommateurs.

Risques sur les données personnelles

Cette affaire est l’occasion de souligner les dérives qui peuvent apparaître dans l’univers des objets connectés.

La protection des données à caractère personnel doit être une priorité pour tous les fabricants d’objets connectés, que ce soit dans leur collecte ou leur traitement, notamment lorsque des données sensibles sont en jeu.

Il faut rappeler que les fabricants ont une obligation de sécuriser les informations collectées.

L’article 34 de la loi Informatique et libertés, applicable en France, prévoit que le fabricant « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Dernièrement, une gamme de jouets connectés commercialisée, par une société américaine, a été piratée et la Commission nationale de l’informatique et des libertés a émis des recommandations, le 28 février 2017, pour la sécurisation des jouets connectés (2).

Afin d’encadrer la collecte des données à caractère personnel, les concepts de « privacy by design » et « privacy by default », ou protection dès la conception, doivent être mis en œuvre.

Ces concepts ont été consacrés par le règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 (3), qui entrera en application le 24 mai 2018, et implique que les responsables de traitements mettent en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. En pratique, ils devront veiller à limiter la quantité de données traitées dès le départ.

Le mécanisme de la class action à la française

Si la class action commentée a eu lieu aux Etats-Unis à l’encontre d’une société canadienne, le mécanisme est également transposable en France.

En effet, il faut rappeler que la loi de modernisation de la justice du XXIe siècle, du 18 novembre 2016, a introduit une action de groupe en matière de protection des données personnelles.

Le nouvel article 43 ter de la loi Informatique et libertés précise, en effet, que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente ».

Cette action devra tendre exclusivement à la cessation de ce manquement et seules pourront exercer cette action :

  • les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel;
  • les associations de défense des consommateurs représentatives au niveau national et agréées, en application de l’article L. 811-1 du Code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
  • les organisations syndicales de salariés ou de fonctionnaires représentatives, au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du Code du travail ou du III de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Les risques pesant sur les fabricants doivent donc être pris en compte dès la conception de l’objet et ce, peu importe sa destination.

Lexing Alain Bensoussan Avocats
Lexing Droit de l’Internet des objets

(1) Privacy Act, 5 U.S.C. § 552a, 1974.
(2) « Jouets connectés : quels conseils pour les sécuriser ? », Conseils de la Cnil du 28-2-2017.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).




Impact des fréquences sur le déploiement des objets connectés

Impact des fréquences sur le déploiement des objets connectésLes objets connectés sont consommateurs de ressources rares, parmi lesquelles figurent les fréquences radioélectriques.

En effet, la quasi-totalité de ces objets utilise des fréquences radioélectriques pour dialoguer avec les systèmes auxquels ils sont connectés, y compris pour des connexions à très courte distance utilisant, par exemple, le Bluetooth ou le WiFi.

La situation est d’autant plus critique que la ressource en numérotation n’est pas extensible à l’envie. Le nombre de fréquences utilisables est un nombre fini, qu’il faut pouvoir partager entre tous les utilisateurs du spectre radioélectrique, au rang desquels il faut désormais compter les objets communicants.

Et la tâche est d’autant plus ardue que le nombre des objets est d’ores et déjà de plusieurs milliards à l’échelle mondiale et qu’il devrait atteindre, selon les estimations, un chiffre compris entre 25 et 50 milliards d’objets connectés dans les cinq années qui viennent.

Il est donc grand temps de remettre à plat la gestion de ce spectre afin d’éviter que la rareté de la ressource ne constitue un frein au développement de ces objets et un goulot d’étranglement impossible à déboucher.

En Europe. La directive 2009/140/CE du 25 novembre 2009 (1) ( précise que les radiofréquences doivent être utilisées de manière efficace et effective et qu’elles doivent, en conséquence, permettre des économies d’échelle et garantir l’interopérabilité des services.

Ce rappel réglementaire a conduit à la mise en place, en 2012, d’un Programme pluriannuel de politique du spectre, par une décision de la Commission européenne en date du 14 mars 2012, qui oblige les Etats membres de l’Union européenne à faire un inventaire des bandes de fréquences qui pourraient se prêter au partage du spectre.

En France. Ce mouvement de réflexion a amené l’Arcep à interroger les acteurs du secteur, dans le cadre d’une consultation publique, qui faisait écho au rapport de Madame le professeur Joëlle Toledano sur « une gestion dynamique du spectre pour l’innovation et la croissance » (2), remis au gouvernement le 30 juin 2014.

Ce rapport met plus particulièrement en avant les aspects suivants :

  • les enjeux, en termes de gestion du spectre radioélectrique, posés par les objets connectés, sont extrêmement variés et dépendent très fortement du type d’objet, mais aussi de l’utilisation qui en est faite ;
  • à questions variées, une réponse unique et monolithique n’est certainement pas la meilleure façon d’adresser les problématiques nouvelles ainsi posées ;
  • par ailleurs, avec la multiplication des objets connectés, les risques de saturation des réseaux de communications électroniques et de brouillages sur les réseaux radioélectriques deviennent de plus en plus tangibles.

Les évolutions dans la gestion du spectre. Constatant que la place va venir à manquer rapidement, car la grande majorité des objets connectés transitent vers une bande limitée comprise entre 868 et 870 MHZ, l’Arcep et l’ANFR ont mené une consultation publique, entre le 3 juin et le 18 juillet 2016, sur les « nouvelles opportunités pour l’utilisation des bandes 862 – 870 MHz, 870 – 876 MHz et 915 – 921 MHz » afin de répondre aux besoins croissants de l’internet des objets.

L’objectif de la consultation était double :

  • identifier les besoins dans ces trois bandes, en particulier dans le contexte du développement de l’internet des objets ;
  • orienter les travaux nationaux et européens en cours pour faciliter le développement de l’internet des objets et soutenir les entreprises innovantes françaises de ce secteur (3).

Les deux autorités ont considéré qu’un régime d’autorisation générale (bandes « libres ») était adapté aux usages des objets connectés.

Par ailleurs, il est apparu que les acteurs plaidaient pour le plus haut niveau d’harmonisation spectrale possible, au niveau européen ou mondial.

A cet égard, la bande 915 – 921 MHz semble disposer d’un fort potentiel d’harmonisation mondial et un grand nombre des contributeurs ont demandé à ce qu’a minima une partie de la bande soit ouverte aux usages de l’Internet des objets.

Frédéric Forster
Lexing Droit Télécoms

(1) Directive 2009/140/CE du 25-11-2009
(2) Joëlle Toledano, Rapport du 30-6-2014
(3) Synthèse de la consultation publique « Nouvelles opportunités pour l’utilisation des bandes 862 – 870 MHz, 870 – 876 MHz et 915 – 921 MHz », 19-10-2016

 




Internet des objets et propriété intellectuelle interdépendant

Internet des objets et propriété intellectuelle, une interdépendance réussieVirginie Brunot interviewée par Claire Aubé sur Internet des objets et la propriété intellectuelle dans un dossier spécial publié par l’INPI.

Virginie Brunot explore les clés d’une interdépendance réussie entre l’ Internet des objets (Ido) et la propriété intellectuelle.

Pour Virginie Brunot, l’objet connecté devient un allié pour la protection de la propriété intellectuelle. Grâce aux technologies RFID (identification par radiofréquence), les objets connectés sont aujourd’hui utilisés en gestion de stock et en traçabilité. Demain, ces « étiquettes » RFID pourraient ainsi servir de moyen d’authentification.

On voit un intérêt grandissant sur cette question, notamment pour les produits de luxe qui subissent la contrefaçon. C’est par exemple la solution retenue par la maison Vivianne Westwood qui a fait appel à la société TexTrace pour concevoir des étiquettes RFID tissées et intégrées aux produits.

Même si cela reste encore du domaine de la théorie, ces technologies pourraient bien permettre de supplanter la marque. Comme le souligne Virginie Brunot, ces technologies remplissent une fonction d’identification d’origine du produit, ce qui est précisément l’objet de la marque. Mais elles ne pourront pas remplacer la part de rêve et de désir générée par le marketing. Comme le montre d’ailleurs l’étiquette adoptée par Vivienne Westood : RFID oui, mais pas question d’abandonner le nom ni le logo.

Pour l’heure, on constate surtout une augmentation exponentielle de dépôts de brevets sur les technologies utilisées, en particulier aux États-Unis. Il s’agit avant tout d’une stratégie de dépôts de brevets de barrage.

Mais attention, au-delà du dépôt de brevets sur la technologie, l’objet connecté lui-même doit faire l’objet d’une protection pour ce qui concerne ses dessins, ses modèles et sa marque. (…)

Voir l’interview sur le site de l’INPI.

Cette interview fait écho à un dossier spécial consacré par l’INPI à la propriété intellectuelle dans l’économie numérique : Virginie Brunot, « L’Ido (Internet des objets) au secours de la propriété intellectuelle et réciproquement : les clés d’une interdépendance réussie ?« , Dossier INPI mars 2017.




Frédéric Forster et Nathalie Plouviet présents au Salon IoT

Frédéric Forster et Nathalie Plouviet présents au Salon IoTLes 22 et 23 mars prochains, se tiendra, à la Porte de Versailles, la 2ème Edition du Salon IoT World. 60 exposants, 6.000 visiteurs professionnels, 4.000 auditeurs aux conférences et ateliers… Au cœur des dernières innovations et tendances, la 2ème Edition du Salon IoT World décryptera, dans une vision résolument B to B, l’ensemble des enjeux actuels et futurs du marché des objets et services connectés.

Seule manifestation d’envergure nationale, l’édition 2017 du Salon IoT World abordera, les 22 et 23 mars 2017, les métiers liés à ce marché.

Ainsi durant 2 jours, cette manifestation réunira le Who’s Who du marché de l’IoT et bénéficiera du savoir des experts concentré dans 25 tables rondes et de nombreux ateliers exposants techniques et pratiques suivis par plus de 4 000 auditeurs.

Frédéric Forster, Directeur du Pôle Directeur du pôle Industries et services informatiques, télécoms et bancaires, et Nathalie Plouviet, Directeur du département Droit de l’Internet des Objets, interviendront à l’occasion des tables rondes suivantes :

  • Mercredi 22 mars de 09h45 à 10h00 (petite salle) – « Faut-il un « Droit des IoT », quel serait-il ? » (Nathalie Plouviet) ;
  • Mercredi 22 mars de 10h45 à 11h45 (grande salle) – Table Ronde 2 : « De l’idée au déploiement du service connecté : les étapes indispensables et celles qui le sont moins ! » (Nathalie Plouviet) ;
  • Jeudi 23 mars de 10h45 à 11h45 (grande salle) – Table Ronde 9 : « Quelles normes sécuritaires et juridiques valent dans les différents secteurs applicatifs (e-santé, voitures connectées, industrie 4.0, etc.) ? » (Frédéric Forster) ;
  • Jeudi 23 mars de 14h00 à 15h00 (grande salle) – Table Ronde 12 : « Valoriser et monétiser les données IoT (utilisateurs/clients, service marketing, partenaires, open data…) » (Nathalie Plouviet) ;
  • Jeudi 23 mars à 16h en salle Zephyr sur le thème « Evaluer et améliorer la sécurité du datacenter (clients, accès, données ) » (Nathalie Plouviet).

Lien vers le site : http://www.iot-world.fr/

Eric Bonnet
Directeur du Département Communication juridique




Internet des objets, une normalisation est-elle à espérer ?

Internet des objets, une normalisation à espérer ?La connectivité des objets connectés est dominée par des technologies propriétaire hors de toute normalisation.

Ceci est tout particulièrement le cas pour les connexions réalisées par voie radio, pour lesquelles les connexions utilisent très fréquemment des protocoles propres à chaque fabricant d’objet.

Ainsi, pour un type de connexion radio donné, par exemple par Wi-Fi, il existe quasiment autant de protocoles de transmissions que de fabricants, rendant l’interopérabilité des objets « inter-fabricants » complexe.

Par voie de conséquence, la diffusion de pratiques sécuritaires et de technologies de protection en sont d’autant plus difficiles, par absence de base commune ou, à tout le moins, hétérogénéité des technologies déployées par les industriels.

IoT et interopérabilité

Cette situation a conduit à une estimation étonnante selon laquelle un peu plus de la moitié seulement de la valeur dégagée par les objets connectés serait exploitable, en raison de la trop faible interopérabilité de ceux-ci entre eux et avec leur écosystème d’utilisation.

C’est pourquoi des réflexions sont en cours pour mettre en place une normalisation ayant pour objectif d’améliorer cette interopérabilité, à un niveau qui serait positionné au-dessus des objets eux-mêmes.

Cette interopérabilité serait gérée grâce à des API (Application Programming Interfaces) positionnées sur une plateforme transversale à laquelle les objets se connecteraient indépendamment de la technologie que chacun d’eux utilise.

Plutôt que d’avoir une normalisation des interfaces pour la communauté des objets, l’idée est donc de ne pas gommer les spécificités technologiques de ces derniers mais de les contraindre à se connecter à une plateforme gommant ces hétérogénéités pour réintroduire une couche protocolaire minimale et commune, notamment au plan sécuritaire.

Cette plateforme pourrait également créer un ensemble homogène au plan sémantique, par exemple pour la réutilisation des données générées par les objets connectés en vue de les mettre à disposition d’autres objets connectés ou de les exploiter indépendamment de leur source de production.

Tel est le projet mis en avant par les huit principaux organismes de normalisation dans le secteur des TIC que sont Arib (Japon), Atis (Amérique du Nord), CCSA (Chine), Etsi (Europe), Tia (Amérique du Nord), TSDSI (Inde), TTA (Corée du Sud) et TTC (Japon).

Ce projet, intitulé oneM2M, a pour ambition de fournir un cadre technique commun à l’ensemble des acteurs de l’internet des objets, au moyen d’une norme qui serait reconnue mondialement, tout en cassant la fragmentation des technologies qui est, aujourd’hui, la règle.
Ce projet n’est pas le seul puisque des industriels ont également pris des initiatives de même nature. Citons, par exemple, Qualcomm avec son projet open source ALLJoyn, qui aurait réussi à rassembler une centaine d’industriels comme LG, Sony, Canon ou Microsoft.

IoT et sécurité

Si on se concentre davantage encore sur la sécurité de ces objets connectés, il apparaît que, là encore, force est de constater que les industriels se sont plus penchés sur les applications offertes, leur ergonomie et les usages (réels ou supposés) que sur la sécurité des objets eux-mêmes.

L’actualité sur les piratages de systèmes informatiques ayant utilisé, comme porte d’entrée, tel ou tel objet mal protégé montre que les failles de sécurité sont nombreuses, exploitées, voire privilégiées, par les pirates en raison de la croissance exponentielle des objets connectés et de la non-croissance, tout aussi exponentielle, de leur sécurisation.

Ces objets constituent, à n’en pas douter, le nouveau maillon faible pour la pénétration des réseaux auxquels ils sont raccordés.

Ainsi, l’absence de normalisation induit la possibilité, non seulement que des tiers aient accès à des données, notamment à caractère personnel, qui auraient dû rester protégées et confidentielles, mais aussi que ces données soient détournées des finalités pour lesquelles elles ont été collectées. Elles viennent alors alimenter des bases de données totalement occultes, autorisant dès lors toutes les dérives imaginables.

Selon le Gartner, 80% des objets connectés présentent de telles failles ce qui, à quelques mois de la prise d’effet des dispositions du Règlement européen sur la protection des données personnelles, est évidemment hautement problématique, notamment au regard du niveau d’exigences posé par ce règlement et mis à la charge des responsables de traitement, que des sanctions prévues.

En l’absence de normalisation sur les aspects sécuritaires des objets connectés, la démarche consiste à sécuriser les infrastructures réseaux auxquels ces objets sont raccordés, au moyen, par exemple, d’antivirus, de firewalls, de politiques de mots de passe robustes et de tests réguliers d’intrusion.

Frédéric Forster
Lexing Droit Télécoms




Faut-il déconnecter les jouets connectés des enfants ?

jouets

Quels sont les critères pour que les jouets connectés respectent la sécurité de vos enfants et votre vie privée ?

La réglementation applicable aux objets connectés peut dépendre de la typologie de l’objet et des innovations qu’il apporte.

Les objets connectés évoluent dans un vaste écosystème composé de capteurs, de connexion, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments doivent s’interconnecter, s’intégrer tout en étant compatibles et sécurisés dans leur utilisation, leur usage, leur environnement mais également pour les données qu’ils peuvent recueillir, conserver ou transférer.

Pour le jouet, comme pour tout objet connecté, cela se complexifie avec notamment la question de la connexion.

En effet, si le secteur des jouets bénéficie d’une réglementation protectrice, leur connexion à des réseaux et le stockage des données récoltées, dans le cloud posent des problématiques complémentaires.

Réglementation applicable aux jouets

Les jouets sont réglementés en France par le décret n° 2010-166 du 22 février 2010 et son arrêté d’application du 24 février 2010. Ces textes transposent la directive européenne 2009/48/CE relative à la sécurité des jouets.

La réglementation prévoit que les jouets ne doivent pas être alimentés par une tension supérieure à 24 volts (Très Basse Tension de Sécurité), par conséquent ils ne peuvent être alimentés que par des piles ou par un transformateur très basse tension.

Or, la connexion au réseau du jouet-objet connecté est très énergivore, et un fabricant par conséquent peut être tenté d’augmenter son autonomie.

Jouet connecté : les précautions de mise sur le marché

Avant de mettre un jouet sur le marché, le fabricant doit procéder à une analyse des dangers que le jouet peut présenter, notamment, en matière chimique, physique, mécanique, électrique, d’inflammabilité, de radioactivité et d’hygiène.

Ainsi, le fabricant doit soumettre son jouet à une procédure d’évaluation de sa conformité.

Selon le type de jouet, il applique, en fonction de la réglementation, une procédure d’autocontrôle ou de contrôle par un tiers, du modèle initial, associé à un contrôle de la production (1).

La procédure de contrôle par un tiers est exigée dans les cas suivants (2) :

  • lorsque des normes harmonisées couvrant toutes les exigences de sécurité requises pour le jouet n’existent pas ;
  • lorsque le fabricant n’a pas appliqué ou a appliqué seulement en partie les normes harmonisées ;
  • lorsqu’une ou plusieurs normes harmonisées ont été publiées assorties d’une restriction ;
  • ou lorsque le fabricant estime que la nature, la conception, la construction ou la destination du jouet nécessitent une vérification par un tiers.
Le contrôle de conformité par un tiers

Un fabricant de jouets connectés aura, par conséquent, intérêt en l’absence de normes couvrant toutes les exigences de sécurité de se soumettre à ce type d’examen auprès d’un organisme notifié.

Néanmoins, la connexion du jouet peut entraîner d’autres risques qui ne seront pas automatiquement appréhendés dans le cadre de ces contrôles de conformité.

Or, ces risques doivent être pris en compte par un fabricant tant au regard de la réglementation qu’en termes d’image de marque.

Ces risques sont, par exemple, l’exposition aux ondes ou encore la sécurité des données collectées à partir des jouets connectés.

L’exposition aux ondes

A ce titre, l’Agence nationale de sécurité sanitaire (Anses) a publié en juillet 2016 un rapport  (3) concernant l’exposition des enfants aux radiofréquences suite à sa saisie par les pouvoirs publics.

Cette étude visait à vérifier si les dispositions réglementaires actuellement en vigueur pour la mise sur le marché des appareils radioélectriques à destination des enfants, étaient suffisamment protectrices en matière de santé et de sécurité.

Elle a ainsi émis une série de recommandations visant à adapter les valeurs limites d’exposition réglementaires afin de réduire l’exposition des enfants aux champs électromagnétiques.

Une évolution de la réglementation est également préconisée :

  • pour que l’ensemble des dispositifs radioélectriques, et notamment ceux destinés aux enfants (tablettes tactiles, veille-bébés, jouets connectés, etc.), soit soumis aux mêmes obligations réglementaires, en matière de contrôle des niveaux d’exposition et d’information du public, que celles encadrant les téléphones mobiles ;
  • afin que le respect des valeurs limites d’exposition réglementaires soit assuré, quels que soient les dispositifs émetteurs mobiles utilisés, selon des conditions raisonnablement prévisibles d’utilisation (par exemple positionnement au contact du corps).
Protection de la vie privée et données personnelles

En décembre 2016, l’association UFC-Que choisir (4) a, quant à elle, interpellé la Cnil et la DGCCRF suite à une enquête réalisée par son homologue norvégien, Forbrukerradet (5).

Cette enquête souligne que deux jouets de marques différentes ne garantissent pas le respect de la vie privée et de la sécurité des données personnelles des enfants.

Ont ainsi été mis en évidence :

  • des failles de sécurité du Bluetooth intégré permettant la connexion de tiers situé à 20 mètres du jouet et la prise de contrôle de ce dernier ;
  • des conditions contractuelles autorisant sans consentement exprès, à collecter les données vocales enregistrées par lesdits jouets, et ce pour des raisons étrangères au strict fonctionnement du service et pouvant être transférées sans le consentement des parents ;
  • la promotion de produits par certaines phrases programmées de ces jouets.

Dès lors, UFC-Que choisir souhaite que :

  • la Cnil diligente sans délai un contrôle du respect de la protection des données personnelles des utilisateurs d’une poupée et d’un jouet robot ;
  • les services de la DGCCRF enquêtent sur le niveau de sécurité des jouets connectés et sanctionnent tout manquement aux dispositions légales et réglementaires.

Cette affaire fait suite au piratage en octobre 2015 d’un fabricant d’ordinateurs et d’outils pour enfants par lequel des données personnelles de presque cinq millions de parents, et de plus de 6 millions d’enfants avaient été piratées.

Par ailleurs, la commercialisation, aux Etats-Unis, d’une poupée intelligente en 2016, a également mis en exergue les failles d’un tel jouet. En effet par sa connexion à Internet la poupée envoie les demandes de l’enfant dans le cloud. Celles-ci sont ensuite analysées via de l’intelligence artificielle afin d’y apporter une réponse rapidement.

De plus, des failles dans les applications iOS et Android fonctionnant avec la poupée ont également été détectées.

Il a été également constaté que les mots de passe pour vérifier les certificats étaient identiques pour toutes les poupées.

Des piratages peuvent, par conséquent, intervenir à plusieurs niveaux :

  • par la prise de contrôle du jouet via, par exemple, une connexion non sécurisée ;
  • par l’accès, le maintien ou l’extraction de données dans des serveurs en cloud.

En complément, la Cnil a dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 janvier 2017 (6),

Elle recommande notamment d’effectuer régulièrement les mises à jour de sécurité et d’utiliser des mots de passes et identifiants spécifiques à l’utilisation du jouet et de communiquer le minimum d’information lors de l’inscription et de la mise en route du jouet.

Pour finir, elle préconise d’éteindre le jouet quand il ne sert pas, de désactiver le partage sur les réseaux sociaux et d’effacer les données lorsqu’on ne se sert plus du jouet.

En conclusion, la réglementation des jouets doit rapidement, à l’instar d’autres réglementations applicables à certains objets, s’adapter et évoluer pour se conformer aux nouveaux usages et surtout à l’écosystème dans lequel l’objet connecté évolue.

A cette occasion, on peut également se demander ce que deviennent les questions que nous ou nos enfants posons à notre jouet préféré : l’assistant vocal de notre smartphone ?

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) La procédure dite « d’examen CE de type » (module B de l’annexe II de la décision 768/2008/CE), combinée à la procédure de « conformité au type sur la base du contrôle interne de la fabrication » (module C de l’annexe II de la décision 768/2008/CE).
(2) Direction générale des entreprises, Article « La réglementation applicable aux jouets », 16-3-2016.
(3) Anses, Avis sur l’exposition aux radiofréquences et santé des enfants, Rapport d’expertise collective, 6-2016
(4) Quechoisir.org, Article « Jouets connectés – Alerte sur la sécurité et les données personnelles ! », 6-12-2016
(5) Forbrukerradet.no
(6) Cnil, Conseils du 28-2-2017




Remboursement des apps et des objets connectés de santé

Remboursement des apps et des objets connectés de santéLe remboursement des apps et objets connectés de santé ? Où en est-on : chez nos voisins ? En France ? En Europe ?

En Belgique, l’Etat vient d’allouer une enveloppe de 3,5 millions d’euros pour permettre le remboursement de 24 applications et objets connectés de santé, au cours d’une phase de test devant durer 6 mois, tout en travaillant à leur encadrement juridique et sur un label de qualité (1).

Si cette initiative pourra permettre d’enrichir les réflexions françaises sur le sujet, elle est l’occasion de faire le point sur le positionnement de la France concernant la question de la prise en charge des applications et objets connectés de santé par l’Assurance Maladie.

Populations fragiles ou à risque

En France, le rapport d’information du 10 janvier 2017 sur les objets connectés (2), issu de la mission d’information sur les objets connectés auprès de la Commission des affaires économique de l’Assemblée nationale, prévoit dans sa recommandation n°13, de :

« Développer une stratégie e-santé de prévention à destination des populations fragiles ou particulièrement exposées à des risques sanitaires. Les objets connectés qui participent de cette politique de prévention pourraient être au moins partiellement pris en charge par la Sécurité sociale ».

Cette recommandation vise les populations fragiles ou à risque, car « les personnes qui s’emparent des potentialités des objets connectés, (…) sont celles qui en ont le moins besoin : catégories socio-professionnelles supérieures, jeunes, urbains. Cette fracture des usages du numériques serait d’autant plus grave si, demain, les services publics recourant aux objets connectés pour améliorer leur efficacité ne parvenaient pas à toucher toute la population ».

Cette première approche démontre, a minima, une volonté politique de prise en charge, au bénéfice des personnes qui sont le moins à même de bénéficier de ces apps et objets.

De ce point de vue, réduire la fracture numérique reviendrait à réduire la fracture sanitaire, ce qui ajoute à l’argument, plus classique, de l’efficacité sanitaire et économique de la prévention par la santé mobile.

Promotion et évaluation du bénéfice avéré

L’examen du « pourquoi ? » doit faire place à celui du « comment ? ».

Récemment, le Comité Stratégique de filières (CSF) Santé constitué en Groupe 28 (GT28) travaillant sur les thématiques de la santé mobile ou « m-santé », a exposé les conclusions des travaux qu’il a menés entre septembre 2015 et août 2016, dans un rapport publié en janvier 2017, « Créer les conditions d’un développement vertueux des objets connectés et des applications mobiles de santé » (3). Ces travaux portent notamment sur les modalités  de remboursement des applications et objets connectés en santé.

Le rapport rappelle à cet égard, que dans le cadre des démarches d’évaluation par la HAS (Haute Autorité de Santé), le fabricant ou l’éditeur souhaitant obtenir un remboursement doit faire la preuve d’un « bénéfice avéré » qui n’est pas le même selon le produit/acte en cause.

Le GT28 considère qu’il peut être tenu compte des éléments suivants pour déterminer ce bénéfice :

  • par analogie avec un dispositif médical, il peut s’agir d’un bénéfice médical démontré par le service médical rendu ou l’amélioration du service médical rendu, prouvé par des études cliniques coûteuses ;
  • par analogie avec la télémédecine, il peut s’agir d’un bénéfice économique démontré par des études médicoéconomiques encore plus complexes ;
  • la prise en compte de la valeur d’usage : la qualité de vie et le confort du patient et/ou des aidants, la qualité de l’utilisateur (patient, aidant, ou professionnel de santé) et de l’organisation des soins (amélioration du parcours ou de l’organisation) ou de diagnostic.

Pour le GT28, il conviendrait donc de s’inspirer de la matrice d’impact élaborée par la HAS pour la télémédecine (7), avec une typologie spécifique des bénéfices des objets et application et la spécification « de ce qu’on entend par bénéfice avéré dans chaque cas, et la méthode à mettre en œuvre permettant d’en faire la preuve ».

Attendre la réglementation européenne ?

Le GT28 ne recommande pas la mise en place d’un nouveau parcours d’accès au remboursement, mais d’attendre une éventuelle réglementation européenne, afin de ne pas pénaliser le marché français par une réglementation plus exigeante.

Il évoque une possible réglementation européenne suite à la consultation publique lancée par la Commission européenne sur la santé mobile.

Pourtant, les résultats de cette consultation, qui porte notamment sur les modalités de remboursement, ont été rendus publics depuis janvier 2015 (4), sans que la Commission Européenne n’ait communiqué ou fait part d’initiatives depuis.

Dispositif de type « Forfait Innovation »

Dans cette attente, le GT28 propose la mise en place d’un dispositif similaire au « Forfait Innovation ».

Pour rappel, le « Forfait Innovation » prévu par l’article L. 165-1-1 (5) du Code de la sécurité sociale permet la prise en charge précoce, dérogatoire et temporaire par l’assurance maladie d’une technique innovante : dispositifs médicaux (DM ou DMDIV) et/ou actes innovants. Les mesures de prise en charge et critères d’éligibilité ont été définies par le décret du 16 février 2015 (6).

Dans ce cadre :

  • le produit ou acte n’a pas à justifier un service attendu suffisant compte tenu des données cliniques ou médicoéconomiques disponibles ;
  • des études cliniques ou médicoéconomiques disponibles à la date de la demande peuvent établir que l’utilisation du produit de santé ou de l’acte est susceptible de remplir l’un des objectifs relatifs au bénéfice clinique ou à la réduction des dépenses de santé.

Rappelons qu’en l’état, ce dispositif ne concerne que les innovations de rupture et non incrémentales.

Pour le GT28, une prise en charge dans le cadre d’un dispositif similaire devrait être complétée par des études et la démonstration des bénéfices atteints, afin d’estimer le niveau de remboursement associé.

Dans ce cadre, le groupe de travail propose de prendre en compte la temporalité des études et leur coût pour moduler le tarif et la période de révision des prises en charge.

Conclusion

La question du remboursement des objets connectés et applications de santé reste centrale, tant pour les fabricants et éditeurs, que pour la maîtrise des politiques et des dépenses de santé.

Aller trop vite risque de créer une contradiction avec la règlementation européenne future éventuellement plus souple, et trop lentement, la perte du bénéficie de ces solutions au sein des politiques de santé actuelles.

Un juste milieu semble l’adaptation des dispositifs actuels de prise en charge ou remboursement :

  • un forfait innovation santé mobile ?
  • un remboursement conditionné au bénéfice avéré redéfini et adapté à la santé mobile ?

Telles semblent-être les pistes des travaux actuels.

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Droit Santé numérique

(1) L’Echo, Article « L’État rembourse 24 applis santé, un premier pas », 28-12-2016
(2) AN, Rapport d’information n°4362 du 10-1-2017
(3) GT28 CSF, Rapport du 28-10-2016
(4) European Commission, Article ‘Public consultation on the Green Paper on mobile Health’, 3-5-2016
(5) CSS, art. L.165-1-1
(6) CSS, art. R.165-63
(7) Haute Autorité de Santé, Rapport d’évaluation médico-économique




Publication du rapport d’information : les objets connectés

Nathalie Plouviet Claire Van Mol Lexing Droit de l’Internet des objets

Un rapport d’information sur les objets connectés du 10 janvier 2017 appelle à une régulation de l’internet des objets.

Dans la continuité du rapport d’information sur le développement de l’économie numérique rédigé en 2014, les députés Mesdames Corinne Erhel et Laure de La Raudière ont déposé le 10 janvier 2017 leur rapport sur les objets connectés (1).

Au sein de leur rapport les députés proposent vingt recommandations, dont deux nous intéressent plus particulièrement du fait de leur portée juridique :

  • la recommandation n°9 : « Faire évoluer le Code de la consommation pour prévoir que les opérateurs de services aux personnes par l’intermédiaire d’objets connectés sont tenus de délivrer à ces personnes une information loyale, claire et transparente sur les conditions générales d’utilisation de ces services, portant notamment sur le recueil et l’éventuelle exploitation commerciale de données individuelles » ;
  • la recommandation n°11 : « Inventer les termes d’une régulation politique agile qui associe les compétences de plusieurs autorités indépendantes (CNIL, ARCEP, voire CSA) et l’expertise d’organisations spécialisées comme le Conseil national du numérique au sein d’équipes de régulation ad hoc ».
La demande d’information des utilisateurs

La recommandation n°9 fait suite au paradoxe qui existe entre l’augmentation de l’utilisation d’internet et des objets connectés et le manque de confiance des français. En effet, selon le baromètre de la confiance des Français dans le numérique (2), 74 % des internautes sont « de plus en plus méfiants à l’égard d’internet et de la multiplication des occasions d’utilisation abusive de [leurs] données personnelles (cloud, objets connectés) ».

Les rapporteurs considèrent qu’en plus des conditions d’appropriation des objets connectés par les utilisateurs portant sur les caractéristiques techniques :

  • services apportés ;
  • faible coût ;
  • design,

l’appropriation doit passer par la compréhension et la maîtrise de l’objet, notamment le consentement sur les données produites et transmises.

Or les objets connectés se fondent essentiellement sur l’usage des données de l’utilisateur, ce dont les utilisateurs ont de plus en plus conscience. Il devient donc important selon le rapport d’obliger les professionnels de l’internet des objets à fournir toutes les informations nécessaires aux utilisateurs et notamment sur le recueil et l’éventuelle exploitation commerciale des données.

La question du contrôle par les utilisateurs

Par ailleurs, toujours sur la question de l’appropriation des objets connectés, les rapporteurs se posent la question de la possible reprise en main par l’utilisateur de l’objet connecté.
Les utilisateurs peuvent-ils avoir le contrôle de l’objet connecté ?

De manière générale, les objets connectés sont conçus pour être autonome et le contrôle qu’en a l’utilisateur est limité par ce que le concepteur a prévu qu’il puisse contrôler. Le contrôle pourrait être récupéré par l’utilisateur s’il a la capacité de se déconnecter, c’est-à-dire de faire cesser toute émission depuis l’objet connecté. Cependant, ce n’est pas nécessairement le cas comme le rappelle le rapport avec l’exemple de la voiture connectée qui ne permet pas de désactiver tous les services.

Dès lors les rapporteurs s’inquiètent de l’impossible coexistence du droit à la déconnexion avec l’internet des objets.

L’appel à une régulation politique

La limitation du possible contrôle de l’objet connecté par les utilisateurs ainsi que l’utilisation des données par l’objet connecté amènent les rapporteurs à souhaiter la garantie d’un droit à la protection des données personnelles.

Cette garantie devrait passer, selon elles, au vue de l’ampleur des données récoltées, des capacités de traitement algorithmique et de l’émergence de modèles économiques innovants, par une régulation politique réalisée par ou avec l’aide de la Cnil et l’Arcep. C’est ce qu’appelle la recommandation n°11.

Les rapporteurs ont également soulevé la question de la responsabilité des acteurs et notamment des usagers des objets connectés ainsi que celle de leur sécurité.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) AN, Rapport d’information 4362 du 10-1-2017 et Communiqué de presse
(2) Harris Interactive, Article « Baromètre CDC-ACSEL-La Poste de la confiance des Français dans le numérique », 24-10-2016




Internet des objets : vers l’ouverture de nouvelles fréquences

Internet des objets: vers l’ouverture de nouvelles fréquencesPour assurer le développement l’internet des objets, de nouvelles fréquences seront libérées d’ici à fin 2017 par l’Etat.

Il s’agit de fréquences normalement destinées au secteur de la défense qui intéressent aujourd’hui un grand nombre d’acteurs. A cette occasion, l’Arcep et l’ANFR ont organisé une consultation publique visant à connaître les préoccupations des acteurs du secteur sur l’utilisation des fréquences pour l’internet des objets.

Les fréquences, une ressource rare

Les fréquences sont des ressources rares qui font l’objet de contraintes puisque le spectre radioélectrique est physiquement limité et que le nombre de fréquences n’est pas infini.

Or, le développement des objets connectés pourrait avoir pour conséquence de saturer les bandes passantes, ce qui aurait pour effet de favoriser les brouillages et donc de réduire la qualité des services proposés.

Afin de prévenir ces problèmes techniques, l’Etat propose de libérer les fréquences dites « basses » des bandes 862-870 MHz, 870-876 MHz et 915-921 MHz.

Or, comme nous l’évoquions dans notre article sur les réseaux 5G, plus la fréquence est basse dans le spectre, plus elle porte loin, plus elle est pénétrante mais moins facilement elle est réutilisable par plusieurs acteurs, sauf à créer entre eux des brouillages, ce qui a une grande importance pour la qualité des services issus des objets connectés.

Par conséquent, il est nécessaire de trouver des solutions juridiques et techniques pour éviter la saturation et le brouillage des objets connectés sur le long terme, y compris sur les nouvelles fréquences.

La variété des objets connectés

Il existe une grande variété d’objets connectés ayant chacun des besoins en bande passante différents. En effet, la voiture autonome ou les applications de santé n’ont pas les mêmes exigences de qualité ni les mêmes besoins en volume de données transférées, qu’une montre connectée ou qu’un compteur intelligent.

Ainsi, les besoins en bande passante évoluent en fonction de la taille de l’objet connecté, mais également de la fréquence ou du volume de données communiquées vers un autre objet. A titre d’exemple, un compteur intelligent n’a besoin d’envoyer ponctuellement que quelques données vers un serveur externe alors qu’un train a besoin de communiquer de grands volumes de données, quasiment en continu.

Vers un régime spécifique par type d’objet connecté

Conscients de ces problématiques, l’Arcep et l’ANFR ont mené une consultation publique entre le 3 juin et le 18 juillet 2016 afin de prévoir les enjeux techniques et juridiques de demain mais également de consulter les acteurs de l’internet des objets, afin de connaître leurs préoccupations en la matière.

Prenant en compte les spécificités de chaque catégorie d’objet connecté, les acteurs du secteur ont fait part de leur souhait que soit mise en œuvre une réglementation spécifique pour chacune d’entre elles.

A ce titre, il a été proposé de distinguer trois catégories d’objet connecté : les applications nécessitant une puissance élevée pour fonctionner, les applications ayant un coefficient d’utilisation important (jusqu’à 10%), c’est-à-dire, souvent utilisées, et les objets connectés dit « critiques » qui nécessitent une qualité de service élevée.

Pour chacune de ces catégories, les acteurs proposent un régime différent permettant d’assurer une bonne qualité du service mais également afin d’éviter toute saturation ou tout brouillage des bandes passantes utilisées.

Un régime déclaratif non exclusif

Concernant les applications nécessitant une puissance élevée, il est proposé d’imposer un régime déclaratif non exclusif pour certains types d’objets connectés. Cette déclaration devrait s’appliquer à un type d’application qui ne demande pas beaucoup de bande passante pour fonctionner, comme les montres intelligentes par exemple.

L’objectif est de contrôler l’utilisation de la bande de fréquences utilisée tout en offrant un maximum de souplesse aux nouveaux acteurs entrant sur le marché afin de ne pas freiner le développement de l’internet des objets, notamment par l’utilisation exclusive par un acteur d’une fréquence.

De plus, cette déclaration permettrait d’anticiper l’augmentation de l’utilisation des fréquences au fil des années puisqu’il serait possible de connaître, par l’intermédiaire des déclarations, l’évolution de l’utilisation de ces fréquences.

Des divergences sur les applications régulièrement utilisées

Il existe une divergence entre les acteurs du secteur sur la réglementation à mettre en place pour les dispositifs régulièrement utilisés.

Certains acteurs préconisent d’imposer un régime déclaratif (notamment pour les collecteurs ou les relais) alors que d’autres acteurs proposent, au contraire, d’appliquer le régime de l’autorisation individuelle (notamment pour les télécommandes par satellite, les avions et les drones) dans le but de restreindre l’accès à ces bandes de fréquences et donc de sécuriser au mieux les services utilisant ces bandes. En effet, moins la bande de fréquences est utilisée par un grand nombre d’objets connectés, moins les risques de brouillage sont élevés et donc plus la qualité du service est assurée.

Un régime d’autorisation individuelle pour les applications critiques

Enfin, les acteurs du secteur sont unanimes sur la nécessité d’imposer un régime d’autorisation individuelle pour les applications critiques qui nécessitent une qualité élevée des services.

A ce titre, ces dispositifs doivent nécessairement bénéficier de bandes de fréquences à titre exclusif afin de réduire le nombre d’utilisateurs de ces bandes de fréquences et donc de réduire au maximum les risques de brouillage entre objets connectés, ce qui est, par exemple, indispensable pour les objets connectés spécialisés dans le secteur de la santé.

Aucune décision n’a été prise pour le moment en ce qui concerne la réglementation applicable aux futures bandes de fréquences. Il faudra donc encore attendre encore quelques mois avant de connaître la position officielle de l’Arcep et de l’ANFR sur le sujet.

Alain Bensoussan Avocats
Lexing Droit des télécoms




Objets connectés de santé : Référentiel de bonnes pratiques

Objets connectés de santé : Référentiel de bonnes pratiquesLa Haute Autorité de santé publie un référentiel de bonnes pratiques sur les applications et objets connectés en santé.

Ce référentiel ou guide, publié en octobre 2016, a pour objet de guider, promouvoir l’usage et renforcer la confiance dans les applications et les objets connectés dans le domaine de la santé (1).

Il s’adresse à la fois aux industriels et aux évaluateurs, qu’il s’agisse de structures d’évaluation, d’associations de consommateurs ou encore de sociétés savantes médicales.

Il concerne les objets connectés qui n’ont pas de finalité médicale déclarée, mais la zone « grise » des applications ou objets connectés ayant un effet potentiel sur la santé, sans avoir le statut légal de dispositif médical.

Néanmoins, il ne concerne pas les dispositifs médicaux au sens de la directive 93/42/CEE, qui exige leur marquage CE, ne se substitue pas à la réglementation en vigueur et n’est pas un outil en vue de l’admission au remboursement ni une recommandation professionnelle.

Le référentiel de bonnes pratiques est structuré en 5 domaines et 14 sous-domaines et regroupe 101 bonnes pratiques :

  • Informations utilisateurs :
    • Description ;
    • Consentement ;
  • Contenu de santé :
    • Conception de contenu initial ;
    • Standardisation ;
    • Contenu généré ;
    • Contenu interprété ;
  • Contenant technique :
    • Conception technique ;
    • Flux des données ;
  • Sécurité/Fiabilité :
    • Cybersécurité ;
    • Fiabilité ;
    • Confidentialité ;
  • Utilisation/usage :
    • Utilisation/design ;
    • Acceptabilité ;
    • Intégration/import.

L’évaluation par sous-domaines est fondée sur un référentiel didactique pour chaque domaine :

  • de tableaux de liste des critères, avec leurs intitulés et leur niveau d’exigence ;
  • de justification et d’exemple de chacun de ces critères.

Chaque partie est accompagnée d’arguments (fondement scientifique et/ou réglementaire), d’exemples illustrant le contenu attendu et les modalités de vérification et de références bibliographiques.

Il convient de souligner que la Haute Autorité de santé (HAS) a intégré dans son référentiel deux thématiques sur lesquelles elle s’estime moins légitime à intervenir qui ne correspondent pas aux enjeux stratégiques de la HAS que sont la protection de la vie privée et de la cybersécurité, en intégrant les contributions de l’Anssi (2) et de la Cnil (3).

Quelles perspectives pour ce référentiel ?

Les industriels et évaluateurs pourront désormais s’appuyer sur ce référentiel :

  • ab initio, au stade de la conception de l’application ou de l’objet connecté de santé ;
  • a posteriori, pour évaluer les applications et objets connectés de santé.

Ce référentiel s’inscrit dans le respect du Règlement général européen sur la protection des données (RGPD) qui érige les principes de privacy by design (protection de la vie privée intégrée dans le cadre de la conception de l’objet) et privacy by default (protection de la vie privée par défaut) au rang d’obligations légales.

En outre, ce document pourra tout aussi bien intégrer un référentiel contractuel de conformité à l’état de l’art.

Reste qu’en l’absence de contrôle du respect du référentiel, il faut que les acteurs se responsabilisent.

En attendant, des travaux sont toujours en cours concernant les applications et objets connectés en santé, la HAS précisant, au sein de son référentiel, qu’elle le complétera prochainement avec des documents à destination des utilisateurs : professionnels de santé et usagers.

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Droit Santé numérique

(1) Site de la HAS, « Référentiel de bonnes pratiques sur les applications et les objets connectés en santé ».
(2) Agence nationale de la sécurité des systèmes d’information.
(3) Commission nationale de l’informatique et des libertés.




Objets connectés au cœur de la smart city, données et sécurité

Objets connectés au cœur de la smart city, données et sécuritéAlain Bensoussan a ouvert le débat sur la smart city lors du petit-déjeuner animé par Nathalie Plouviet le 11 janvier.

Ce petit-déjeuner débat est organisé sur le thème des objets connectés au cœur de la smart city (données et sécurité).  Nathalie Plouviet interviendra aux côtés de Myriam Quemener (Magistrat, détaché au ministère de l’Intérieur, Conseiller  juridique, mission de lutte contre les cybermenaces) et  de Lydia Babaci Victor (Directrice du développement et de l’innovation – Vinci Energies).

Programme :

  • Introduction, par Alain Bensoussan ;
  • Comprendre la smart city, par Lydia Babaci Victor, Directrice du développement et de l’innovation, Vinci Energies ;
  • La Justice dans la smart city, par Myriam Quemener, Magistrat détaché au ministère de l’Intérieur, Conseiller juridique, Mission de lutte contre les cybermenaces ;
  • Propriété, données et sécurité et Responsabilités et encadrement contractuel dans la smart city, par Nathalie Plouviet, directeur du département droit de l’Internet des Objets, Lexing Alain Bensoussan Avocats.

La smart city permet de répondre aux préoccupations liées à la gestion de la mobilité urbaine, à la demande énergétique, ainsi qu’à la garantie de la sécurité des habitants.

Synonyme de ville durable, écocité ou encore ville connectée, la ville intelligente apparaît comme une ville plus fluide, plus propre, plus sûre, plus économe et plus attractive. Ce concept séduit de nombreux décideurs publics, entrepreneurs (architectes, urbanistes, fournisseurs) et acteurs agissant dans le cadre de nouveaux métiers (comme l’agrégateur de production, d’effacement de consommation et de stockage, les sociétés de services énergétiques, energy service company ESCO).

La smart city s’appuie avant tout sur le développement des technologies de l’information et de la communication et un cadre juridique en voie de construction.

  • Quelles sont les opportunités en matière de données ?
  • Quelles sont les protections pour les habitants, les collectivités territoriales et les pouvoirs publics ?
  • Quelles sont les contraintes et les enjeux pour son développement ?

Telles sont quelques-unes des questions qui ont été abordées lors du petit-déjeuner débat.

Il a eu lieu de 9h30 à 11h30 (accueil café à 9H00) dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

La vidéo de l’événement est diffusée sur notre Chaîne Lexing YouTube.