« La vie privée est devenue une anomalie », selon Vinton CERF, l’inventeur du protocole IP ; il n’y aurait plus de vraie vie privée possible, ce que confirme Jeff JARVIS, spécialiste américain des médias numériques, au travers de son concept de publicness : le fait de livrer des informations en pâture aux réseaux sociaux numériques fournit à l’internaute un moyen de projection de soi, qui a une valeur à la fois personnelle et collective (pour les groupes auxquels un individu donné appartient) ; et celle-ci s’oppose diamétralement à une protection accrue de la vie privée.

Cette idée se trouve renforcée par l’émergence et le développement des objets connectés – phénomène autrement appelé « Internet of Things » ou « Internet des Objets ». L’Internet des objets se définit comme« un réseau de réseaux qui permet, via des systèmes d’identification électronique normalisés et unifiés, et des dispositifs mobiles sans fil, d’identifier directement et sans ambiguïté des entités numériques et des objets physiques et ainsi de pouvoir récupérer, stocker, transférer et traiter, sans discontinuité entre les mondes physiques et virtuels, les données s’y rattachant. »[1].

iot1A titre d’exemple, le bracelet Pulse Ox ou la balance connectée de Withings sont des objets permettant de « quantifier » son activité physique (fréquence cardiaque, nombre de calories brûlées, taux d’oxygène dans le sang…) et son poids (indice de masse corporelle, poids…) et de pouvoir ensuite disposer de ces données sur une interface (site web, application mobile…) pour se fixer un objectif, estimer le taux de progression… Si la richesse des données générées par de tels objets semble attrayante de prime abord en ce qu’elle donne l’impression à l’individu d’être davantage « maître de soi » (empowerment), c’est justement cette même richesse qui pose problème : en effet, où sont stockées les informations générées par ces objets connectés ? Qui peut y avoir accès ? La question a son importance car ces données peuvent concerner des informations sensibles (notamment celles relatives à la santé), ou bien des informations anodines en elles-mêmes mais qui, combinées entre elles, permettent de profiler précisément un consommateur donné.
Ainsi, au delà du simple défi technologique, l’Internet des objets pose donc également un challenge éthique ; dès lors,
il s’avère nécessaire d’encadrer ces activités par le droit.

A l’occasion du séminaire « Droit et Internet » donné au Pôle universitaire Léonard de Vinci, pour l’université Paris Ouest Nanterre La Défense, Pascal POTY, responsable du pôle Veille Technologique et Juridique chez AWT.be, attire l’attention des particuliers et des professionnels sur ces nouveaux enjeux ; à ce titre, il propose un éclairage à la fois juridique et technique sur des questions qui n’ont pas fini de se poser.

iot2

Une norme juridique insuffisante à elle seule

L’Internet des objets soulève des problèmes juridiques majeurs.
En effet, l’encadrement des objets connectés reste tout d’abord difficile à mettre en place en pratique pour deux raisons d’ordre technique : tout d’abord, parce qu’un algorithme est neutre, mais aussi car ces mêmes algorithmes ne sont pas réglementés.

Par ailleurs, en matière de sécurité physique et contractuelle, la plateforme IFTT permet par exemple de gérer la lumière et l’électricité chez soi via des objets connectés ; mais nul ne sait si les données générées ne circulent pas sur d’autres plateformes ou si celles-ci ne sont pas détournées par d’autres opérateurs. Il est donc impératif de sécuriser ces informations, ce que proposent déjà certains opérateurs en proposant à leurs clients des objets connectés plus sécurisés (ex : offre de téléphone sans mise sur écoute…).

En outre, en terme de responsabilités, les objets connectés impliquent de nouveaux challenges sur divers plans : adaptation du service après-vente à la dimension désormais indispensable, voire vitale, des objets connectés ; modalités de partage des données générées par ces appareils (entre internautes d’une part, et entre un internaute et un opérateur d’autre part) ; et surtout, modalités de recyclage des objets connectés usagés.

Mais l’Internet des objets attente avant tout à la protection des données personnelles et de la vie privée.
En effet, les données générées par les objets connectées, pourtant insignifiantes en elles-mêmes, permettent cependant aux opérateurs de collecter puis de croiser des informations permettant de dresser le profil précis d’un internaute déterminé. Les exemples sont nombreux : Amazon Dash, couplé avec Amazon Fresh, permet aux consommateurs de scanner toutes leurs courses et ainsi d’organiser une shopping list ; Nest, qui propose des capteurs anti-incendie fonctionnant en geo-fencing pour 100 euros, a été racheté par Google ; la puce Nike permet de collecter des volumes de données sur les joggers connectés (rythme de course, kilométrage, musiques écoutées…) ; aux Etats-Unis et au Canada, les caméras de vidéo surveillance, organisées en réseaux, permettent de suivre les déplacements d’un véhicule ; le mannequin virtuel V-John, qui adapte ses expressions en fonction des propres expressions et caractéristiques des passants le contemplant dans la vitrine (sexe, taille…), permet également de collecter des données annexes (nombre de passants, sexe des passants, heures d’influence…) ; etc.

iot3Dès lors, le marché actuel et à venir des objets connectés promet de bouleverser le droit, car les normes juridiques actuelles en matière de données personnelles s’avèrent inadaptées pour 3 raisons : déficience de conscience politique et de l’action démocratique (sauf pour la contrefaçon numérique et la cyber criminalité) ; relative incapacité à lier le droit et l’évolution rapide des technologies ; absence de visibilité du juge étatique (le juge s’est peu prononcé, et a laissé la CNIL agir à sa place).

Au delà du Droit, les stratégies marketing et commerciales sont aussi impactées par l’Internet des Objets, sans doute plus au profit des opérateurs économiques que des consommateurs. D’où une crise de confiance de ces-derniers – crise de confiance qui appelle à un nouvel encadrement de l’Internet des objets.
Un nouvel encadrement ?

Si la norme juridique a un rôle à jouer, notamment en œuvrant davantage à l’ouverture du secret des affaires et des règles relatives à la propriété intellectuelle, un nouveau type d’encadrement reste nécessaire.

Cet encadrement peut tout d’abord émaner des consommateurs eux-mêmes, au travers de deux méthodes :

–       L’obfuscation, c’est-à-dire la subversion des algorithmes : il s’agit ici d’empêcher l’algorithme de nous comprendre en modifiant ses habitudes et ses profils ;

–       L’ingénierie inversée, qui consiste à observer les algorithmes existant pour mieux les comprendre.

Toutefois, ces techniques restent accessibles aux seuls internautes avertis ; l’encadrement des objets connectés se doit donc d’émaner des opérateurs économiques eux-mêmes.

Dans ce cadre, une solution de compromis résiderait dans l’établissement d’un modèle contractuel à double niveau, avec deux types de contrat : d’une part, un contrat gratuit mais sans protection des données et, d’autre part, un contrat payant assurant la protection des données.
L’option la plus mercantile consisterait en la monétisation des données personnelles : chaque consommateur serait libre de monnayer les informations générées par ses objets connectés. Si l’idée peut sembler plaisante d’un point de vue financier, elle pose cependant des questions d’éthique et de droit : en effet, à quel âge est-on responsable de sa vie privée ? Comment accorder une valeur marchande pour telle ou telle information ? Etc. Et pourtant, selon l’étude « Les Français et leurs données personnelles, je t’aime moi non plus », publiée par le groupe Havas Media, 50% des Français se disent prêts à monnayer leurs données personnelles. Cette étude distingue à ce titre divers profils de consommateurs : 9% sont des data-stratèges réclamant une rémunération de 500 euros par an ; 24% sont des data-natives qui, moins sensibilisés que les précédents, réclament une compensation de 200 euros ; 27% sont des data-fatalistes ; 4% sont des data détendus qui minimisent la portée de l’utilisation de leurs données personnelles ; enfin, 36% sont des data-paranos. Ces-derniers, très méfiants, constituent un marché d’avenir à prendre en compte.

A cet égard, la solution la plus éthique et favorable aux consommateurs résiderait dans le concept de Privacy by design : dès la conception du produit et jusqu’à la fin de sa vie, il s’agirait de minimiser au maximum la collecte de données en fonction de la finalité du produit ; en d’autres termes, les opérateurs devraient se limiter à la seule collecte de données utiles, directement liées à l’objet connecté concerné. En outre, le corollaire de la Privacy by design serait de permettre aux clients de maitriser leurs propres données en leur garantissant divers droits : un droit de « capital vie privée » (Alex TÜRK) ; un droit spécifique à la protection des données personnelles sur le lieu de travail (conflits tenant à l’effacement des frontières vie privée/vie publique) (réseaux sociaux et cyber surveillance) ; et un droit à l’oubli. Afin d’assurer la concrétisation de ces droits en pratique, l’outillage et l’éducation des utilisateurs d’objets connectés s’avèrent nécessaires, d’une part pour éviter une crise de confiance, mais aussi pour poser les limites de la vie privée (ce qui est monnayable et ce qui ne l’est pas). Cet équipement et cette connaissance devraient alors pouvoir permettre aux consommateurs de mieux gérer leurs données, dans un contexte de partage réciproque d’informations entre eux et les opérateurs économiques, sur le modèle MesInfos.
Une telle stratégie marketing et commerciale constituerait un véritable moyen de différentiation commerciale, auquel certains clients, tels que les data-paranos, peuvent s’avérer sensibles.

 

Toutefois, peut-on réellement protéger les consommateurs d’objets connectés contre eux-mêmes ? En effet, la protection de la vie privée soulève un paradoxe : celui d’une tendance à la théâtralisation de la vie privée, notamment via les réseaux sociaux. Les motivations de ce phénomène sont multiples : facilitation de la vie courante grâce à l’arrivée de nouveaux services (ex : le sans contact) ; valorisation sociale (e-réputation) ; construction de soi chez les mineurs ; etc… Mais un mineur dispose-t-il vraiment de la capacité à gérer son capital vie privée ?

De ce fait, la grande question est la suivante : quel sera l’opt-in de demain ? S’il est aisé pour le consommateur de donner son consentement pour ce qui est visible, cela reste plus problématique pour les nanotechnologies, éléments invisibles à l’œil nu et donc difficilement appréhendables.

Espérons que le règlement unique européen, à paraître en 2016, permettra de concilier harmonieusement avancées technologiques, besoins respectifs des consommateurs et des opérateurs économiques, droit et éthique.

 

Emma Ciret

 

[1] Pierre-Jean Benghozi, Sylvain Bureau et Françoise Massit-Folléa, L’Internet des objets, aux éditions MSH

 

Sources

–       Séminaire donné par Mr Pascal POTY, les 6 et 7 novembre 2014, au Pôle universitaire Léonard de Vinci, pour l’université Paris Ouest Nanterre La Défense

–       http://www.cnil.fr/, et notamment le Cahier IP2 « Le Corps, nouvel objet connecté » (disponible en pdf à l’adresse suivante : http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNIL_CAHIERS_IP2_WEB.pdf) (enjeux juridiques, éthiques et sociaux des objets connectés santé)

–       http://www.objetconnecte.net (définition et histoire de l’Internet des objets)

–       http://mesinfos.fing.org/ (partage des données)

–       http://www.pubdigitale.fr/2014/09/les-francais-la-data-je-taime-moi-etude-havas/ (résultats étude Havas précitée)

–       Pierre-Jean Benghozi, Sylvain Bureau et Françoise Massit-Folléa, L’Internet des objets, aux éditions MSH