Droit et (surtout) devoirs des objets connectés
Le numérique ne bouleverse pas que les business models.
Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation.
Chaque vendredi, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée...
Aujourd’hui, regard sur le droit des objets connectés et les responsabilités de leurs fabricants.
Le Consumer Electronic Show (CES) 2016 vient de se tenir à Las Vegas. Après les smartphones, ce sont les montres, bracelets, réfrigérateurs, les véhicules … les puces sous-cutanées ou sur les objets eux-mêmes qui deviennent des objets "intelligents" ou "connectés". Les innovations se multiplient autour de ces objets qui collectent et analysent une partie ou l’ensemble des données produites. Selon une étude du Gartner, ce marché concernera plus de 20 milliards d’objets connectés d’ici 2020 avec un chiffre d’affaires global atteignant 1 500 milliards d’euros.
Ces objets permettent d‘établir un diagnostic "fiable" et en temps réel qui peut être médical ou mécanique, voire en relation avec la domotique.
Par ailleurs, l’internet des objets ("IoT") constitue une sorte de réseau où via leur connexion entre eux et à l’internet. Or, n’a-t-on pas vu récemment qu’il était possible de pirater un pacemaker ou une automobile ? De nouveaux risques juridiques sont malheureusement à craindre de ces nouveaux usages.
Sécurité des informations générées
L’identification des risques s’analyse en termes juridique, opérationnel et de conformité. La sécurité des informations échangées et conservées ne doit pas être négligée étant donné qu’elle a non seulement pour finalité d’assurer la confidentialité des données issues des objets connectés, mais aussi leur intégrité et leur disponibilité. Pour bien gérer la sécurité, il faudra l’intégrer lors du lancement du projet, on parlera de "Security by design".
L’interopérabilité des interconnexions est également capitale puisqu’elle garantit que ce type d’objet pourra fonctionner en interaction avec d’autres objets et systèmes d’information. L’interopérabilité passera par le biais de standards techniques.
De fait, on constate que de la sécurité découlera la protection de la vie privée des personnes porteuses et/ou utilisatrices de ces objets.
Analyse d'impact sur la vie privée
Certains objets connectés peuvent être géolocalisés. Toutefois, la traçabilité de l’objet peut mener, directement ou indirectement, volontairement ou pas, à celle des individus en raison du traitement de leurs données à caractère personnel. En 2014, le Groupe de l’article 29 a formulé des recommandations afin que les acteurs de ce marché (fabricants, développeurs d’applications, destinataires des données, etc.) se conforment à la réglementation.
Le nouveau Règlement européen sur la protection des données adopté en décembre 2015 prévoit que les responsables de traitement procèdent à une analyse d’impact (Privacy Impact Assessment), préalablement à la mise en œuvre des traitements susceptibles de présenter un risque pour la vie privée des personnes concernées. Il va sans dire que l’analyse d’impact trouvera à s’appliquer à ce type d’innovations dans de nombreuses situations, comme la pratique du Quantified Self (qui permet de comparer en ligne les variables de son mode de vie telles la nutrition, l’exercice physique, le sommeil …). L’autorité de contrôle devra être consultée selon les résultats de l’analyse d’impact, en cas de risque élevé.
droit de la consommation
La responsabilité des fournisseurs d’objets connectés peut être engagée en droit français en vertu de nombreux fondements (contrat, responsabilité délictuelle, du fait des produits défectueux, etc.) mais le sujet n’est pas épuisé pour autant au vu des autres délits tirés du droit de la consommation et réprimés pénalement (telles la tromperie sur les qualités substantielles du bien et la responsabilité du fait de l’obsolescence programmée.
A cela, pourront s’ajouter les éventuels recours fondés sur des actions de groupe. Un constat s’impose : les litiges seront potentiellement nombreux eu égard aux multiples germes juridiques susceptibles de se propager dans toute la chaîne des acteurs mais aussi du fait de la complexité des technologies en cause, rendant délicate la détermination à la fois du fait générateur du dommage et des répartitions de responsabilité.
Isabelle CANTERO, Juriste, Responsable du pôle Vie privée et Sécurité de l’information, Caprioli & Associés, société d’avocats
1Commentaire
Réagir
