LES DEMANDES DE LA PROPOSITION DE RÉSOLUTION
La proposition de résolution fait état de ce que la « souverai neté numérique » de l'Europe passe par le développement d'un « écosystème numérique industriel », lequel sera stimulé par « la mise en oeuvre d'un niveau élevé de protection des consommateurs en matière d'objets connectés ».
Elle formule, en conséquence, plusieurs demandes afin de favoriser le développement d'objets connectés sécurisés, qui utilisent les données conformément à la réglementation européenne, et une participation accrue des industriels européens à ce marché. On notera que la Commission européenne s'est emparée de nombreux sujets abordés par la proposition de résolution dès 2009, à travers sa communication portant plan d'action pour l'Europe en matière d'internet des objets 32 ( * ) .
METTRE EN PLACE UNE CERTIFICATION DES OBJETS CONNECTÉS
La proposition de résolution demande, dans sa version initiale, « l'adoption d'un outil réglementaire de reconnaissance et d'autorisation des objets connectés à destination des consommateurs prenant la forme d'une certification » , celle-ci devant garantir « un haut niveau de protection et de sécurité pour les données personnelles » . Elle demande que soient posées certaines exigences minimales, telles que le « droit au silence des puces », l'obligation de rendre possibles les mises à jour de sécurité, des exigences accrues pour les objets permettant la collecte de données particulièrement sensibles, et une conformité au droit européen.
Ces demandes font notamment écho aux failles de sécurité découvertes sur de nombreux objets connectés 33 ( * ) . Selon un rapport d'Hewlett Packard security research, 70 % des objets connectés utilisés le plus fréquemment présentaient, en 2014, des vulnérabilités 34 ( * ) . Le cas de la poupée connectée Cayla, dont la Commission nationale de l'informatique et des libertés (CNIL) s'est saisie en décembre dernier, est illustratif. La Commission a mis en demeure le fabricant de la poupée pour atteinte grave à la vie privée en raison d'un défaut de sécurité, constatant que chacun pouvait se connecter à la poupée par Bluetooth pour écouter les conversations de l'enfant et, pis, communiquer avec lui. Plus récemment, l'entreprise israélienne de sécurité Checkmarx a développé une application exploitant une faille de sécurité de l'Amazon Echo en vue de prolonger la séquence pendant laquelle le micro de l'assistant virtuel enregistre, et de recueillir une transcription écrite de l'enregistrement 35 ( * ) . Au demeurant, le problème ne se pose pas que pour les consommateurs : le rapport au Premier ministre de Luc Bélot sur les villes intelligentes remarquait d'ailleurs « que les enjeux de sécurité de ces nouveaux outils sont mal perçus et mal compris des collectivités territoriales » 36 ( * ) .
On rappellera également que cette demande tend à répondre aux inquiétudes des consommateurs : selon un sondage, 91 % des consommateurs français se diraient inquiets de l'utilisation de leurs données à caractère personnel à travers les objets connectés 37 ( * ) .
Prenant acte de ce que des initiatives récentes de l'Union européenne permettront de mettre en place des mécanismes exigeants de certification des objets connectés tant en matière de protection des données à caractère personnel qu'en matière de cybersécurité , la commission des affaires européennes n'a pas estimé utile de prévoir un nouveau règlement spécifique pour assurer une certification exigeante de l'internet des objets. En revanche, elle appelle à une mise en oeuvre rapide des outils de certification figurant dans ces nouveaux instruments .
|
INITIATIVES RÉCENTES DE L'UNION EUROPÉENNE EN LA MATIÈRE Pour rappel, il s'agit, d'une part, du règlement général sur la protection des données à caractère personnel (RGPD) 38 ( * ) , qui entrera en vigueur le 25 mai prochain. Il définit un niveau élevé de protection des personnes physiques et lève les obstacles aux flux de données à caractère personnel au sein de l'Union. Surtout, il introduit un processus de certification volontaire qui fera intervenir les CNIL européennes, individuellement ou au sein du « G29 » rebaptisé comité européen de protection des données, les secteurs d'activité concernés, les organismes de normalisation et des organismes de certification accrédités. On peut également relever que la CNIL, comme ses homologues européens, individuellement ou au sein du « G29 » 39 ( * ) , étudie de près les questions posées par les divers objets connectés. Par exemple, le 5 décembre dernier, l'autorité française a publié des recommandations à destination des utilisateurs d'enceintes connectées. |
|
Aussi, l'autorité a tendance à distinguer au moins deux modèles : le modèle « in-in » garde les données des utilisateurs de manière à leur laisser la maîtrise sur celles-ci - c'est le modèle choisi par l'assistant vocal de Snips -, quand le modèle « in-out » consiste à envoyer les données de l'utilisateur sur l'infrastructure d'informatique en nuage de la société commercialisant l'enceinte connectée - c'est le modèle retenu par les « GAFAM ». Il s'agit, d'autre part, du projet de règlement sur la cybersécurité . Présenté en septembre 2017 par la Commission européenne, il vise notamment à mettre en place une certification de sécurité des technologies de l'information et de la communication. La proposition est en cours de discussion à Bruxelles et a donné lieu à une proposition de résolution de la commission des affaires européennes du Sénat 40 ( * ) . Cette proposition de résolution appelle notamment à ce que le mécanisme de certification, qui serait confié à l'Agence de l'Union européenne pour la cybersécurité (généralement désignée sous son acronyme anglais « ENISA »), s'appuie davantage sur l'expérience des agences nationales, telles que, en France, l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Enfin, le projet de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, dit « e-privacy », prévoit la protection des données des utilisateurs finaux - personnes physiques et personnes morales (pour les données relevant du secret des affaires ou d'autres informations ayant une valeur économique 41 ( * ) ) lors de l'utilisation de services de communications électroniques. S'agissant des données non personnelles, on peut aussi évoquer une proposition de règlement visant à instaurer un cadre juridique pour leur libre circulation dans l'Union européenne. En somme, les objets connectés vont aussi produire des données à caractère non personnel et ils seront soumis à la future règlementation européenne en la matière . |
La proposition de résolution adoptée par la commission des affaires européennes précise également qu'un haut niveau de sécurité devrait exiger la possibilité d'une désactivation sélective ou totale de l'objet connecté, la possibilité de mises à jour de sécurité et l'usage de la cryptographie pour les données sensibles. Il convient en effet de souligner que tant en matière de cybersécurité que de protection des données à caractère personnel, un traitement uniforme de l'ensemble des objets connectés ne paraît ni pertinent ni souhaitable . Le niveau de sécurité exigé ne saurait être le même pour une pompe à insuline que pour un capteur de température. Il reviendra donc aux autorités publiques en charge de définir le processus de certification d'adopter une approche au cas par cas .
* 32 Communication COM(2009) 278 final de la Commission européenne au Parlement européen, au Conseil, au Conseil économique et social européen et au Comité des régions du 18 juin 2009 intitulée « l'internet des objets - un plan d'action pour l'Europe ».
* 33 On rappellera que la question de la sécurité et de la protection des données à caractère personnel a été posée, parmi d'autres sujets, par l'association UFC-Que choisir, qui a assigné au début de l'année la Fnac et Amazon devant le tribunal de grande instance de Paris pour défaut d'information des consommateurs sur leurs plateformes de commerce en ligne au titre de l'article L. 111-1 du code de la consommation. Cela fait suite à son enquête sur les objets connectés pour le logement de juin 2017.
* 34 HP Fortify on Demand (2014), « Internet of Things State of the Union Study ».
* 35 https://info.checkmarx.com/wp-alexa . Il convient de souligner qu'Amazon a depuis résolu la faille.
* 36 Luc Bélot, Rapport au Premier ministre, De la smart city au territoire d'intelligence(s), avril 2017
* 37 Sondage Opinionway, mars 2017.
* 38 Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
* 39 G29, avis relatif à l'internet des objets, 16 septembre 2014.
* 40 Proposition de résolution n°455 (2017-2018) du 20 avril 2018 présentée par M. René Danesi et Mme Laurence Harribey pour une cybersécurité robuste en Europe.
* 41 Considérant 3 de la proposition de règlement.