B. DES RISQUES ASSOCIÉS PRÉOCCUPANTS
Le développement des objets connectés dépendra de leur capacité à susciter la confiance de leurs utilisateurs. Cette confiance ne pourra être accordée que si, d'une part, les objets connectés sont suffisamment sécurisés contre les cyberattaques (1), et si, d'autre part, ils sont conçus, fabriqués et fonctionnent d'une façon qui garantisse la protection des données à caractère personnel (2), c'est-à-dire liées à une personne identifiée ou identifiable 15 ( * ) . Or, l' actualité est marquée par les questions de cybersécurité et de protection des données à caractère personnel .
1. La vulnérabilité des objets connectés aux cyberattaques
Les deux dernières années ont apporté la preuve de l'essor des cyberattaques . La Commission européenne a dressé le constat 16 ( * ) qu'en 2016, il y a eu 4 000 attaques par rançongiciel par jour, soit une hausse de 300 % par rapport à 2015. Au total, 80 % des entreprises européennes auraient été touchées par une cyberattaque en 2016. En 2017, les virus Wannacry et Notpetya ont frappé les ordinateurs dans le monde entier avec une ampleur jamais vue auparavant. Le premier a consisté à bloquer, par chiffrement, près de 300 000 ordinateurs dans le but de demander une rançon pour la restauration des données. Le second a détruit de nombreux systèmes informatiques utilisant un logiciel comptable ukrainien, Me.Doc. L'attaque a principalement frappé l'Ukraine, dont 80 % des entreprises utilisaient ce logiciel. Au-delà, elle a touché des groupes mondiaux comme le français Saint-Gobain, l'américain FedEx ou le danois Maersk, et les pertes financières totales sont estimées à plus d'un milliard d'euros. Plus grave, des hôpitaux au Royaume-Uni ont vu leur fonctionnement affecté par l'attaque.
L'évolution rapide des techniques et la connexion toujours plus grande des acteurs économiques à internet imposent aux autorités une adaptation permanente des méthodes et des règles de protection. Malgré le développement continu de la cybersécurité en France et en Europe, il semble que les attaquants, qu'il s'agisse de criminels ou d'acteurs étatiques, aient toujours un temps d'avance. Et la question est sans cesse posée de savoir si nous sommes assez protégés contre les cybermenaces.
S'agissant des objets connectés, plusieurs exemples récents attestent de leur vulnérabilité aux attaques. La campagne « Toyfail », menée par l'association norvégienne de protection des consommateurs, a montré que n'importe qui pouvait facilement avoir accès au microphone de la poupée connectée Cayla et ainsi parler avec l'enfant sans que ses parents le sachent. La campagne « WatchOut », menée par cette même association, a également montré les nombreux défauts de sécurité affectant les montres connectées.
Comme le rappelait le Livre blanc de l'ARCEP, « les conséquences d'une sécurité informatique insuffisamment prise en compte lors de la conception, du développement ou de l'utilisation d'objets connectés peuvent être graves : pertes de vies humaines, atteinte à la vie privée ou aux biens, perte de compétitivité, nuisance dans la vie quotidienne, atteinte à la sécurité ou à la défense nationale » . L'ARCEP souligne néanmoins que l'enjeu de sécurité pourra être différent selon les cas d'usages : par exemple, le niveau de sécurité exigé ne sera pas le même pour une pompe à insuline que pour un capteur de température.
2. Le risque de collecte et d'utilisation incontrôlées de données à caractère personnel
L'actualité montre aussi - hélas ! - que des pratiques légales et non agressives relèvent également de l'atteinte aux libertés individuelles et à la vie privée . L'affaire Facebook / Cambridge Analytica pourrait se révéler emblématique de pratiques dont la grande majorité des citoyens ignore tout. Le réseau social est accusé depuis plusieurs semaines d'avoir laissé les données de plusieurs dizaines de millions d'utilisateurs être récupérées, via un sous-traitant, par une entreprise spécialisée dans l'influence politique, Cambridge Analytica . Le patron de Facebook a évoqué 87 millions d'utilisateurs potentiellement touchés, dont près de 2,7 millions de personnes résidant dans l'Union européenne. Le système permettait à des applications autres que Facebook d'accéder non seulement aux données des utilisateurs du réseau social, mais aussi à celles de leurs amis, dans le but principalement de proposer des publicités ciblées. Si la licéité de la transmission des données à Cambridge analytica est sujette à question, l'affaire ne doit pas masquer le fait que l'économie du réseau social repose sur la collecte de données à caractère personnel, sans que l'utilisateur - voire les tiers - sache précisément jusqu'à quel point.
Dans la mesure où ils engendrent une production massive de données et que leur valeur dépend en grande partie de l'utilisation de celles-ci, les objets connectés doivent également être conçus de telle sorte que les données à caractère personnel soient suffisamment protégées 17 ( * ) . Auditionnée par votre rapporteur, la Commission nationale de l'informatique et des libertés (CNIL) a souligné que, comme en matière de sécurité, les exigences relatives à la protection des données à caractère personnel feront l'objet d'adaptations selon le niveau de risques associé à l'objet connecté examiné. Par exemple, le degré de risque sera différent selon que l'objet est dit « in-in », c'est-à-dire qu'il ne transmet pas de données à l'extérieur et n'est donc susceptible de poser problème qu'au regard de la cybersécurité, ou « in-out », autrement dit, qui communique les données à l'extérieur et qui doit être appréhendé par les autorités de contrôle des traitements de données à caractère personnel
En France, l'affaire des compteurs Linky illustre la problématique du respect de la vie privée dans l'utilisation d'objets connectés. La CNIL a mis en demeure la société Direct Energie, à qui elle reproche de recueillir les données des utilisateurs sans leur consentement. Grâce aux relevés de consommation d'électricité et à leur transmission de ceux-ci pour analyse, les compteurs intelligents doivent permettre une meilleure maîtrise de cette consommation et une facturation au réel. Les informations sont récupérées par Enedis, société gestionnaire du réseau électrique en charge de l'installation des nouveaux compteurs, puis transmises à Direct Énergie. Or, pour la CNIL, il manque l'accord préalable et éclairé des consommateurs à cette collecte. En outre, elle conteste la finalité de la collecte dans la mesure où Direct Énergie ne propose pas de facturation au réel.
Ce dernier exemple n'est que l'embryon de ce que sera demain une société remplie d'objets connectés : les maisons connectées où les appareils correspondront entre eux (et avec leur fournisseur) pour offrir des services plus précis et plus économes en énergie ; les villes intelligentes où l'utilisation des données permettra de réguler le trafic et de réduire la pollution ; les grands réseaux de transport et d'énergie mieux régulés. Aussi, tout laisse à penser que l'utilisation des objets connectés devrait prendre une ampleur considérable tant ceux-ci seront présents dans nos sociétés, alors même que l'effectivité de la protection des données est déjà sujette à questionnements et à doutes.
* 15 Selon l'article 4§1 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, on entend par données à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable (...) » .
* 16 Commission européenne, étude d'impact accompagnant la proposition de règlement sur la cybersécuritén SWD(2017) 500 final.
* 17 À ce sujet, il convient de rappeler que 60 % des flux numériques mondiaux sont constitués par des données à caractère personnel (Inspection générale des finances et Conseil général de l'économie, de l'industrie, de l'énergie et des technologies, Accord plurilatéral sur le commerce des services et partenariat transatlantique pour le commerce et l'investissement : enjeux numériques des négociations, avril 2016).