Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les objets connectés : une législation déconnectée de l’avenir industriel ?

avril 2014 par Diane Mullenex, Avocat à la Cour, Pinsent Masons LLP - Expert ROOMn

Les objets connectés sont à la mode, cela est indéniable. Mais peuvent-ils le
demeurer ?

Il y a beaucoup d’effervescence autour de ces "petits objets inconnus" (ou pas…) qui, de
plus en plus, investissent le quotidien de chacun en intégrant les voitures, les télévisions,
les réfrigérateurs, les compteurs électriques, les outils de mesure, etc.

En effet, le marché des objets connectés est un marché en pleine évolution. Selon le
cabinet d’étude français Idate, on compte aujourd’hui plus de 15 milliards d’objets
connectés, soit près de 4 fois plus qu’en 2010. De plus, toujours selon les estimations du
cabinet français, en 2020 on comptera 80 milliards d’objets connectés dans le monde.

C’est d’ailleurs pour cette raison que beaucoup d’acteurs du numérique misent sur le
développement du marché des objets connectés. Aux cotés de ces acteurs privés, on
constate que le Gouvernement français souhaite, lui aussi, saisir les opportunités qui se
présentent. A cet égard, le 12 septembre 2013, le Président François Hollande a présenté
le marché des objets connectés comme l’un des 34 plans de reconquête industrielle.

Selon le Gouvernement, "Cette évolution va transformer notre vie quotidienne en créant
de nouveaux usages : dans le domaine de la santé, de l’éducation, du transport, de la
sécurité des habitations, et dans de nombreux aspects de la vie quotidienne. Cette
dynamique va également transformer radicalement notre industrie, en réduisant la
durée des cycles d’innovation ou encore en améliorant la traçabilité".

Cependant, il convient de s’assurer que cela ne se fasse pas au détriment de la sécurité
du consommateur et du respect de sa vie privée.

Il faut savoir que le fonctionnement de ces "objets de l’internet" repose sur le traitement
d’un nombre conséquent de données, et notamment de données personnelles. Dès lors, ces objets intelligents soulèvent des problématiques d’ordre juridique, et plus
particulièrement en matière de sécurité et de protection des données personnelles.

Une sécurité relative

Lorsque l’on parle d’objets connectés, on vise des objets utilisant des réseaux de
communications pour leur fonctionnement (y compris hertzien). Cependant, les objets
connectés ne disposent pas nécessairement d’antivirus ou de logiciels de protection
comparables à ceux dont sont équipés les ordinateurs. Ainsi, le marché des objets
connectés a vocation à devenir un immense terrain de jeux pour les hackers, ou autre
cybercriminels.

A l’heure actuelle, il est difficile de recenser toutes les attaques sur ou via les objets
connectés. Néanmoins, il est facile d’imaginer quelles pourraient être les futures
attaques et leurs conséquences. Il pourrait s’agir de toute action visant à troubler la
tranquillité de l’utilisateur, ou, chose plus inquiétante, visant à pénétrer
frauduleusement un lieu privé. Le Washington Post, a par exemple soumis l’hypothèse
intéressante du lave-vaisselle piraté qui inonderait la maison de l’utilisateur.

L’hypothèse du lave vaisselle, ou du frigo piraté peut faire sourire, mais à bien y
réfléchir ce genre d’attaques peuvent être lourdes de conséquences tant pour le
consommateur que pour l’industriel. En 2012, lors d’une conférence d’informaticiens,
Barnaby Jack, un expert en sécurité informatique chez IO Active, a réussi à prendre le
contrôle à distance d’un pacemaker. En 2013, d’autres experts informatiques ont
démontré qu’il était possible de désactiver à distance les freins d’une voiture électrique.
Ce genre d’exemples peut aisément conduire à la psychose, d’ailleurs, une théorie du
complot, basée sur un piratage à distance de la voiture du journaliste Michael Hastings,
s’est développée aux Etats-Unis en juin 2013.

Les industriels sont également exposés à des risques contre lesquels ils doivent se
prémunir. Imaginons qu’un objet connecté puisse se transformer en véritable outil de
concurrence déloyale. Un simple bug, ou une attaque généralisée des objets connectés
d’une même marque pourraient fortement entacher l’image de l’entreprise. On peut alors
imaginer de nouvelles attaques visant à neutraliser la concurrence…

Il ne s’agit pas d’engager un discours fataliste ou de dénoncer une guerre 2.0, mais il
convient néanmoins de prendre en compte les problématiques relatives à la sécurité des
utilisateurs, et notamment la sécurité des données personnelles de ces utilisateurs.

Un traitement conséquent des données personnelles

Cette nécessité se fait d’autant plus sentir au regard de l’ampleur que prennent les
"Quantified Self", ces petits objets qui calculent la température de votre corps, votre
rythme cardiaque, ou votre tension. Selon la CNIL, ces objets qui vacillent entre bien-
être et santé, reposent sur la collecte et le traitement de données dites "sensibles" qui, à
cet égard, doivent faire l’objet d’une protection renforcée. Les raisons de leur caractère
sensible sont facilement imaginables. Il suffit de s’interroger sur les conséquences de
leur communication à des tiers, tels que les assureurs par exemple.

D’autres données, même si elles ne sont pas "classées sensibles", doivent également
faire l’objet d’une vive attention, ce sont notamment les données conduisant à la
géolocalisation des individus.

En effet, certaines applications intégrées aux voitures, aux compteurs électriques ou
encore aux simples brosses à dents permettent de savoir où se situe un individu, et
surtout de savoir qu’il n’est pas à son domicile. Ces informations, si elles font l’objet
d’un détournement, pourraient être très utiles aux cybercriminels ou autres personnes
malveillantes.

Cette potentielle géolocalisation fait l’objet de toutes les craintes. Cette crainte a
d’ailleurs été en partie alimentée par la loi relative à la géolocalisation adoptée par le
Sénat le 24 février 2014 qui prévoit que, dans le cadre d’une enquête et sous l’autorité
d’un juge, les enquêteurs peuvent avoir recours à "tout moyen technique destiné à la
localisation en temps réel" d’une personne, "d’un véhicule ou de tout autre objet".

L’ASIC (Association des Services Internet Communautaires) regrette le caractère large
de cette disposition et souligne à bon escient que la création d’un mécanisme de
géolocalisation de tous ces objets est sans doute prématurée, d’autant plus que la France
a décidé de faire de ce secteur une des priorités de son redressement productif. En effet,
il semblerait que la législation soit en inadéquation avec les objectifs que la France s’est
elle-même fixée.

Une nécessaire sécurisation

Pour assurer le développement du marché des objets connectés, il est nécessaire, voire
indispensable d’assurer aux individus le respect de leurs droits et, par là, de rassurer le
consommateur. A cet égard, selon une étude de la société Havas, alors que la plus part
des consommateurs interrogés reconnaissent les avantages des objets connectés, 78%
craignent néanmoins un risque accru pour leur vie privée.

Dès lors, les industriels doivent nécessairement se pencher sur les questions de sécurité
tant pour l’intérêt des utilisateurs que pour leur propre intérêt (protection de leur
responsabilité à l’égard des utilisateurs). Ce travail doit se faire dès la conception du
produit, ce qui n’est pas toujours le cas aujourd’hui. En effet, la concentration des
investissements sur la production d’un produit "grand public" peuvent conduire les
industriels à mettre de coté les questions relatives à la sécurité. Dans d’autre cas, ce
délaissement peut à lié à une méconnaissance des obligations règlementaires en matière
de données personnelles. Cependant, l’approche "Security by design" offrirait aux
industriels une plus grande sécurité juridique et réduirait justement les coûts auxquels ils
doivent faire face.

En effet, selon IBM Systems Sciences Institute Statistics, si le coût de correction d’une
faille de sécurité est de 1 en phase de conception, il sera de 8 en développement, 16 en
test et 60 en production.

De plus, conformément à l’article 226-17 du Code pénal, le non-respect de l’obligation
de sécurité imposée à tout traitement de données à caractère personnel est sanctionné de
5 ans d’emprisonnement et de 300 000 € d’amende. Lorsque c’est une personne morale
qui est en cause, l’amende peut être multipliée par 5 et atteindre jusqu’à 1 500 000 €.

En d’autres termes, pour garantir le développement de ce marché encore faut-il trouver,
une fois de plus, un juste équilibre entre sécurité des données et développement des
nouvelles technologies. D’autant plus qu’à l’occasion du CES qui s’est tenu à Las Vegas
en janvier 2014 le "made in France" a fait sont petit effet…


Voir les articles précédents

    

Voir les articles suivants