L’internet des objets face au RGPD

Depuis le 25 mai 2018, le Règlement Général pour la Protection des Données vise à renforcer, unifier et encadrer la protection des Données à Caractère Personnel (DCP) des citoyens européens.

Les objets connectés n’échappent pas aux contraintes imposées par la réglementation européenne. 

Le RGPD, un nouveau cadre européen incontournable 

Qu’est-ce qu’une DCP ? 

Une Donnée à Caractère Personnel est une information qui permet d’identifier une personne physique. 

Voici quelques exemples : nom, numéro, adresse postale, e-mail, IP, photo, vidéo, données biométriques (empreintes digitales, ADN)… 

Qui est concerné ? 

Le RGPD s’applique à tout organisme privé ou public, européen ou non, collectant les DCP des habitants des pays de l’Union Européenne.

Les principaux objectifs du RGPD 

Il réglemente la collecte et l’usage des données personnelles afin d’assurer le respect de la vie privée. 

Concrètement, il s’agit de sécuriser les informations collectées et respecter les droits des personnes sur leurs données. 

 Pour ce faire, le RGPD entend responsabiliser les acteurs économiques qui collectent et exploitent des DCP. 

Les droits fondamentaux du RGPD 

Tout organisme doit respecter le droit à l’information en précisant l’objet de la collecte. Il doit aussi demander explicitement l’accord de l’intéressé pour collecter, conserver et exploiter ces données. 

D’autres droits viennent ensuite renforcer le dispositif : 

• Accès aux DCP (quelles données sont détenues et pour quelle utilisation ?) ;
• À l’oubli (retrait du consentement) ;
• À la portabilité des données (récupération et réutilisation) ;
• De notification (en cas de fuite de données).

En France, la Cnil est chargée de contrôler et… sanctionner. Les sanctions prévues peuvent aller de l’avertissement à des amendes administratives (2 à 4 % du chiffre d’affaire). 

Quel est l’impact du RGPD sur l’IOT ? 

La notion Privacy By Design impose aux fabricants d’intégrer la sécurisation dès la phase de conception de l’objet. 

 Il n’en demeure pas moins que les exploitants de DCP directes ou indirectes en sont responsables au sens du RGPD et qu’ils doivent les sécuriser et respecter les droits des personnes concernées. 

 On entend par indirectes, les données qui permettraient d’identifier un individu en reliant un ou plusieurs critères : par exemple la consommation d’eau n’est pas en elle-même une DCP, mais intégrée dans un fichier et reliée à un identifiant (nom, numéro d’abonné), elle est soumise aux dispositions du RGPD. 

Comment se mettre en conformité ? 

Tout établissement public ou privé doit avant tout respecter les droits des personnes. 

Il doit aussi réaliser un audit afin de localiser et analyser les DCP dont il dispose, puis mettre en place un certain nombre d’actions afin de maîtriser et protéger ces informations.  

Pour respecter les droits des personnes, tout établissement public ou privé doit réaliser un audit afin de localiser et analyser les DCP dont il dispose, puis mettre en place un certain nombre d’actions afin de maîtriser et protéger ces informations.