in

[Interview] Comment la Cnil envisage de nous protéger de nous-mêmes

interview cnil objet connecté protéger

Afin d’en savoir plus sur l’utilisation et l’encadrement des données en provenance des objets connectés dans l’Hexagone, nous avons rencontré Olivier Desbiey, chargé d’études prospectives au sein du Département des Technologies et de l’Innovation de la Cnil. L’occasion de découvrir les enjeux futurs liés à l’Internet des Objets en matière de protection de la vie privée.

Une évolution de la nature des données

La Commission Nationale de l’Informatique et des Libertés, ou CNIL, est une institution créée en 1978 dans le but de faire respecter la loi Informatique et Libertés. Concrètement, son objectif premier était de réguler les grands fichiers d’administration publiques, afin de protéger les données personnelles des citoyens.

CNIL Logo

Trente-sept ans plus tard, la nature de ces données a évolué. Celles-ci circulent essentiellement dans un univers numérique très vaste. « On n’est plus dans une situation où on a une autorité qui vise à réguler d’un côté le citoyen isolé et de l’autre les Ministères et Autorités publiques. Aujourd’hui, on a des acteurs beaucoup plus divers, ça peut être des géants du Net comme des petites start-ups, mais également des individus qui produisent des données en lien avec leurs activités », précise Olivier Desbiey. « Ce qu’il faut avoir en tête, c’est que dans la loi française, une donnée à caractère personnel c’est toute information qui est relative directement ou indirectement à l’individu. Souvent on pense à tort que ce n’est qu’un nom/prénom, mais ça peut être beaucoup de choses : le nombre de pas que vous effectuez par jour, un cookie sur votre ordinateur, etc… ». Bref, tout ce qui a trait aujourd’hui à la collecte des datas.

Quantified Self et données personnelles

Les données personnelles de ce type, relatives au quantified Self sont des données particulièrement sensibles et pourtant, les fabricants d’objets connectés en réclament la possession de façon de plus en plus banalisée. L’individu s’équipant de plus en plus de capteurs corporels connectés (bracelets, podomètres, balances, tensiomètres et autres traqueurs) et d’applications sur smartphone, il partage des informations habituellement confidentielles et réservées à la sphère privée. 

Quantified Self Dessin

Selon Olivier Desbiey, « on voit un nouveau rapport se nouer entre les individus et leurs données au travers de ces usages types Quantified Self. Ceux-ci retranscrivent en chiffres leurs activités généralement dans le but de mieux se connaître et d’aller vers un mieux-être. »

Bien-être ou santé ?

Le problème qui se pose alors concerne le statut de ces données. « Est-ce qu’on est sur des données de santé ou seulement sur des données de bien-être ? » En ayant accès au nombre de pas d’une personne sur une durée assez longue, et en couplant ces éléments avec la qualité de son sommeil et l’évolution de son poids il est facile d’en déduire son état de santé.  Or en France, ce type d’information est jugé comme étant sensible, au même titre que ce qui tourne autour de l’orientation sexuelle, politique, religieuse ou de l’appartenance ethnique, et fait donc l’objet d’une protection particulière. La CNIL s’est donc posé la question de savoir si le cadre actuel de la régulation était bien ajusté à ces nouveaux usages.

Citation olivier CNIL loi : Ce que prévoit la loi, c'est qu'à partir du moment où vous commencez à utiliser des données, vous devez le faire dans un but bien précis que vous pouvez expliquer aux utilisateurs.

Des données pertinentes pour un service précis

Pour le moment, aucune loi n’a été créée spécifiquement autour des objets connectés. Il existe de grands principes « Informatique et Libertés » stables et établis depuis longtemps, et il se trouve que pour le moment, ceux-ci s’adaptent parfaitement à la question des objets connectés. Olivier Desbiey explique : « Ce que prévoit la loi, c’est qu’à partir du moment où vous commencez à utiliser des données, vous devez le faire dans un but bien précis que vous pouvez expliquer aux utilisateurs. Vous ne devez donc collecter que celles qui sont utiles et pertinentes au regard du service que vous souhaitez proposer aux individus. Ainsi, une assurance qui voudrait proposer un contrat « as you drive » où le client paye au kilomètre qu’il parcourt avec son véhicule ne pourra pas vous demander toute autre information. »

Dessin Assurance

Autres principes

Lorsque le Collège des Commissaires de la CNIL se réunit tous les jeudis matins pour statuer sur les demandes d’autorisation et les projets de loi, il se focalise essentiellement sur ce principe de logique et de pertinence. Les autres lignes directrices sont plus là par précaution, notamment en ce qui concerne la durée de conservation des données, car celle-ci ne peut être indéfinie. L’entreprise peut par exemple convenir de conserver ces données le temps de la relation commerciale avec le client. Après viennent évidemment les impératifs liés à la sécurité, à la confidentialité et au droit des personnes à accéder, à supprimer et à disposer de leurs données personnelles.

Mais à l’avenir ?

Néanmoins, les objets connectés ne sont pas encore à leur apogée, bien au contraire. Pour le moment ces technologies restent naissantes, et beaucoup de gens ont à peine conscience de leur arrivée. Mais comment va-t-on faire dans quelques années, quand ces objets seront omniprésents, et que les quantités de données seront beaucoup plus massives ? Arrivera-t-on a contrôler ce Big Data ? Olivier Desbiey affirme que « les principes actuels sont assez robustes et marchent bien. En revanche, le problème qui peut se poser concerne encore une fois les données de santé. » Il explique : « Aujourd’hui, si vous voulez vendre votre bras ou votre rein, vous ne pouvez pas le faire. Il y a des interdictions, on vous protège contre vous même. On pourrait alors imaginer faire de même pour les données relatives au corps, et interdire leur commercialisation. C’est un axe qui peut se révéler assez fort. Ainsi, on ne cible pas l’objet en tant que tel, mais la nature de la donnée. »

Image Nombril

Instaurer de bonnes pratiques en entreprise

Après, sans avoir à légiférer, il faut également instaurer de bonnes pratiques. Pour l’illustrer, notre interlocuteur a choisi l’exemple de Sen.se, un dispositif qui analyse la qualité de votre sommeil. Celui-ci enregistre les sons générés dans la nuit, et les traite pour ne garder que ceux qui sont pertinents. Ainsi le bruit d’un claquement de porte, d’un chat qui miaule ou d’un enfant qui pleure ne sera pas conservé. En revanche, tout ce qui concerne directement le sommeil (ronflements, respiration…) est analysé. Là où cela devient intéressant, c’est dans la trajectoire des données.

Hello Sense sleep monitoring
Le capteur de sommeil de Sen.se

En effet, le tri, l’analyse et le calcul nécessaire pour exécuter le service demandé se font directement en local au sein du dispositif. Ainsi seules les données pertinentes remontent jusqu’à l’entreprise. Pour Olivier Desbiey, « c’est un bon exemple de « privacy by design », une approche dont, au sein de la CNIL, on fait beaucoup la promotion auprès des acteurs du marché. Celle-ci consiste à dire qu’il faut intégrer très tôt dans les process les questions liées à la protection des données personnelles, et non s’attaquer au problème une fois qu’on s’est rendu compte que le produit déjà commercialisé renvoyait des informations sensibles. »

Citation olivier CNIL données : il faut intégrer très tôt dans les process les questions liées à la protection des données personnelles, et non s'attaquer au problème une fois qu'on s'est rendu compte que le produit déjà commercialisé renvoyait des informations sensibles.

Sensibiliser le grand public

En dehors des lois, et de l’accompagnement des entreprises dans leurs projets, un travail de sensibilisation du grand public est également nécessaire. Pour le moment les publications de la CNIL (voir notamment le cahier sur le quantified self) sont encore trop spécifiques pour toucher une très large audience, mais elles contribuent néanmoins à sensibiliser. Pour y remédier, une équipe est chargée de cette éducation numérique. Elle a pour but d’informer les citoyens sur les dangers que peut représenter l’internet des objets, sans être complètement anxiogène, l’objectif n’étant pas d’effrayer la population, mais d’instaurer une forme de culture générale du numérique.

Les intéressés doivent entre autres être mis au courant des modèles économiques et des stratégies des acteurs du secteur de l’IoT. L’apprentissage de ces grandes lignes doit s’accompagner de conseils pratiques. Certains ont déjà été communiqués par la CNIL qui offre dans ses cahiers et documentations diverses des principes didactiques et accessibles à tous. Celle-ci recommande par exemple d’utiliser un pseudonyme lorsque c’est possible, de supprimer vos données une fois la relation avec l’entreprise terminée, d’éviter de partager vos données personnelles sur les réseaux sociaux ou de vous renseigner sur le prestataire avant de souscrire à un service.

IoT et éthique du travail

Cependant, que faire si malgré les lois, certaines pratiques rentrent dans le cadre de la légalité, mais mettent en danger la vie privée des citoyens ? On pense notamment à l’arrivée des objets connectés au sein des entreprises. En effet, aux USA de nombreuses sociétés ont investi dans, entre autres, des traqueurs d’activités, afin d’encourager leurs employés à avoir une meilleure hygiène de vie. Appirio, entreprise spécialisée dans les solutions en Cloud, a ainsi économisé 5% sur les frais de mutuelle, soit 300 000 dollars. La chaîne d’hôpitaux Houston Methodist a même été jusqu’à signer un chèque de 10 000 dollars à chaque employé qui marchait plus que leur Directeur.

On peut y voir un aspect positif, celui de la préservation du bien-être et des économies réalisées mais aussi un aspect négatif, celui de l’intrusion de la vie professionnelle dans la sphère privée. En effet, il est simple, avec ce genre d’objets connectés, de savoir votre hygiène de vie et vos habitudes de sorties et de sommeil. Ainsi, si un patron prend connaissance de ces informations, il pourrait avoir un à priori négatif de son employé et créer de cette manière une sorte de discrimination au sein de l’entreprise.

Un choix pas toujours facile à prendre

Même si certains rappelleront que sans l’autorisation de la personne concernée, une société ne peut l’obliger à se soumettre à ce genre d’expérimentations, il faut se rendre compte que refuser cette pratique pourrait donner l’impression aux collègues et à la direction que l’employé à quelque chose à cacher, et ainsi défavoriser celui-ci auprès de son employeur, qui pourrait éventuellement l’inclure dans un prochain plan de licenciement. C’est pourquoi, même si le travailleur à le choix, il n’est pas facile à prendre. Pour le moment, bien que la CNIL s’intéresse à la question, cette pratique ne s’est pas encore installée dans l’Hexagone. Aucune mesure n’a donc été prise pour l’encadrer.

Watching You

D’autres concepts sont en développement afin de conférer un maximum de contrôle à l’utilisateur sur ses données personnelles, notamment celui lié au silence des puces. Nous reviendrons prochainement sur ce sujet au sein de la rédaction d’OBJETCONNECTE.COM.

Propos recueillis par Romain Mancel
Crédits Image de Une : Multiple Mayhem Mama

One Comment

Laissez une réponse
  1. Autres obligations liees aux donnees personnelles : la securite des fichiers, la confidentialite des donnees, le respect de la duree de conservation des donnees ou le respect de la finalite des traitements.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.