1baromaitre
1baromaitre
1baromaitre
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
#4LE MAÎTROPÔLE<br />
2 Loi relative à la protection des<br />
personnes physiques à l’égard des<br />
traitements de données à caractère<br />
personnel et modifiant la loi n°<br />
78-17 du 6 janvier 1978 relative à<br />
l’informatique, aux fichiers et aux<br />
libertés.<br />
3 Selon l’article 2 de la loi<br />
informatique et libertés.<br />
4 L’objet principal de cette directive<br />
est d’harmoniser les normes<br />
des différents états membres en<br />
matière de protection des données<br />
personnelles et ainsi de faciliter<br />
la libre-circulation des données<br />
légitimement collectées, à des fins<br />
majoritairement commerciales.<br />
de ces données, les comparer avec celles partagées<br />
par ses proches, puis les communiquer<br />
sur son réseau social s’il le souhaite. Or, ces<br />
données peuvent échapper au contrôle de<br />
l’utilisateur ou encore à sa connaissance. Pire<br />
encore, elles peuvent être utilisées à des fins<br />
de publicité ciblée, de vente de service, être<br />
mise à la disposition de tiers ou encore faire<br />
l’objet d’une monétisation.<br />
Ces données ont un caractère personnel au<br />
sens de l’article 2 de la Loi du 6 aout 2004 2 ,<br />
définissant la notion comme étant « toute information<br />
relative à une personne identifiée<br />
ou identifiable ». Classiquement, les données<br />
à caractère personnel étaient le nom, la date<br />
de naissance, le numéro de sécurité sociale<br />
ou encore une plaque d’immatriculation.<br />
Aujourd’hui, la technologie a franchi un cap.<br />
Au même titre que les données biométriques,<br />
celles récoltées via les objets connectés<br />
doivent être comprises sous le même vocable<br />
de données à caractère personnel. Les<br />
données personnelles correspondent à toute<br />
information relative à une personne physique<br />
identifiée ou identifiable, directement<br />
ou indirectement, par référence à un élément<br />
qui lui est propre 3 .<br />
À partir du moment où ces données font<br />
l’objet d’un traitement, elles tombent sous le<br />
joug de la loi du 6 Janvier 1978 qui règlemente<br />
leur traitement. Les données récoltées<br />
sont enregistrées, conservées, organisées et<br />
peuvent être utilisées à des fins diverses. Un<br />
ensemble d’obligations s’imposent au responsable<br />
du traitement, qui doit :<br />
––<br />
Assurer la sécurité des fichiers par<br />
des mesures physiques, logiques et adaptées<br />
à la nature des données et aux risques<br />
présentés par le traitement afin d’utiliser les<br />
informations suivant la finalité pour laquelle<br />
elles ont été collectées,<br />
––<br />
Informer les personnes notamment<br />
de la collecte des données mais aussi du respect<br />
de la finalité du traitement des données,<br />
––<br />
Assurer la confidentialité des données<br />
(Peine prévue à l’article 226-22 du Code<br />
Pénal),<br />
––<br />
Solliciter une autorisation de la<br />
CNIL pour les données qui présentent des<br />
risques particuliers d’atteinte aux droits et<br />
aux libertés (Peine prévue à l’article 226-16<br />
du Code Pénal),<br />
––<br />
Fixer une durée raisonnable de<br />
conservation des données en fonction de<br />
l’objectif du fichier.<br />
Certaines données doivent cependant bénéficier<br />
d’une protection renforcée, c’est le<br />
cas des données de santé et des données bancaires.<br />
En effet, ces renseignements sensibles<br />
doivent s’insérer dans un corps de règles,<br />
de protection et de procédures d’agrément<br />
existantes (faire appel à un hébergeur des<br />
données de santé par exemple).<br />
Les objets connectés sont également dotés<br />
de leur propre adresse IP (Internet Protocol)<br />
afin de permettre une communication<br />
Machine to Machine (M2M). Le régime lié à<br />
l’adresse IP est encore flou car cette dernière<br />
n’est pas officiellement considérée comme<br />
étant une donnée à caractère personnel, mais<br />
comme un moyen indirect d’identification<br />
de la personne. Selon la CNIL, cette identification<br />
indirecte est amplement suffisante<br />
et la future réforme de la Directive 95/46/<br />
CE 4 devrait surement apporter une réponse à<br />
cette question ô combien centrale.<br />
La CNIL et le G29, qui réunit l’ensemble<br />
des CNIL européennes, travaillent à un avis<br />
commun sur les objets connectés. Bien que<br />
ne disposant pas de force contraignante, cet<br />
avis sera certainement accueilli très favorablement<br />
par les partisans de la protection des<br />
données personnelles, naturellement par les<br />
avocats et les correspondants informatique<br />
et liberté et enfin, le législateur français y<br />
trouvera surement une source de réflexion<br />
pour légiférer en la matière.<br />
Les objets connectés sont le support privilégié<br />
d’un quotidien maîtrisé et intelligent.<br />
Leur prolifération n’est que la conséquence<br />
de la demande croissante d’une population<br />
connectée désireuse d’innovations. Ils représentent<br />
donc un enjeu important et soulèvent<br />
des questions nouvelles. « La vie privée peut<br />
être une anomalie » ; cette phrase de Vint<br />
Cerf, Chief Internet Evangelist chez Google,<br />
est révélatrice des risques engendrés par ces<br />
nouvelles pratiques. Gageons que le droit<br />
saura y répondre. <br />
Sarah Benchegra<br />
& Maxime Ramos Guerrero<br />
52 | LE BAROMAÎTRE #4 - AEA PARIS