IdO : Exigences éthiques et juridiques en matière de protection des données

Iñigo de Miguel Beriain (UPV/EHU)

Aliuska Duardo (UPV/EHU), Álvaro Anaya Rojas, Gerardo Pérez Laguna & María Carmen González Tovar (Everis Ciberseguridad)

Les versions préliminaires de ce document ont été révisées par Federica Lucivero (chercheuse senior en éthique et données chez Ethox et au Wellcome Centre for Ethics and Humanities (Big Data Institute) et Irene Kamara (professeur adjoint en gouvernance de la cybersécurité au TILT).

Révisé par Fruzsina Molnar-Gabor, Heidelberger Akademie der Wissenschaften (Allemagne) et membre du Groupe européen d’éthique des sciences et des nouvelles technologies de la Commission européenne.

Enfin validé par Iñaki Pariente, ancien directeur de l’Agence basque de protection des données.

Introduction

Cette section de nos “Lignes directrices sur la protection des données ELI dans la recherche et l’innovation en matière de TIC” (ci-après “les lignes directrices”) fournit aux développeurs et aux innovateurs de l’internet des objets (IdO) des conseils sur les mesures à prendre pour se conformer aux exigences légales liées au développement d’outils IdO en termes de protection des données. Elles visent à contribuer à atténuer les problèmes éthiques et juridiques dans ce domaine. Il va sans dire que cette partie des lignes directrices (comme l’ensemble de celles-ci) ne constitue pas une interprétation autorisée de la réglementation, mais des recommandations de bonnes pratiques.

Cette partie des lignes directrices ne peut être comprise que dans le contexte de l’ensemble de l’outil (les lignes directrices). Plusieurs concepts ne sont pas abordés dans ce document, car ils sont traités dans d’autres sections ; nous y avons fait référence lorsque cela était nécessaire (les références sont surlignées en jaune). Toutes les sections sont disponibles sur un site web interactif

Clause de non-responsabilité

Cette partie des lignes directrices a été rédigée à une époque où le règlement sur la vie privée et les communications électroniques n’avait pas encore été approuvé. Il se peut qu’au moment de l’utilisation de cet outil, le règlement soit en vigueur. Si tel est le cas, il faudra tenir compte des changements éventuels que cela a pu entraîner dans le cadre réglementaire. Jusqu’à l’entrée en vigueur du règlement “vie privée et communications électroniques”, une situation fragmentée existera. En effet, les autorités de contrôle sont désormais confrontées à une situation où les interactions entre la directive “vie privée et communications électroniques” et le RGPD coexistent et posent des questions quant aux compétences, aux tâches et aux pouvoirs des autorités de protection des données dans les domaines qui déclenchent l’application à la fois du RGPD et des lois nationales transposant la directive “vie privée et communications électroniques”.

Préface

Il y a quelques années, le groupe de travail Article 29 a déclaré que “le concept d’Internet des objets (IdO) fait référence à une infrastructure dans laquelle des milliards de capteurs intégrés dans des appareils courants et quotidiens – des “objets” en tant que tels, ou des objets liés à d’autres objets ou individus – sont conçus pour enregistrer, traiter, stocker et transférer des données et, étant donné qu’ils sont associés à des identifiants uniques, interagir avec d’autres appareils ou systèmes en utilisant des capacités de mise en réseau”. ^[1]

Quant à aujourd’hui, omniprésent, envahissant, internet de tout, sont quelques-uns des qualificatifs utilisés pour décrire l’IdO. Ces adjectifs visent à illustrer que l’interconnexion entre le monde physique et le monde virtuel se produit et peut se produire à tous les niveaux. Les technologies IdOnouvelles et émergentes comprennent, entre autres : les systèmes de transport intelligents, les appareils de santé connectés, les drones, la communication sans fil 5G, etc. Même les aspects quotidiens les plus triviaux de notre vie commencent à être imprégnés par l’IdO. Des machines à café “intelligentes” aux applications mobiles qui nous permettent de percevoir des odeurs.

L’IdO est une technologie particulière qui entretient des liens étroits avec les technologies traditionnelles de Data Science, mais qui présente également de nombreuses différences dont il faut tenir compte lors de la définition d’un modèle de développement. La vitesse de génération des données est l’une des plus grandes différences entre l’IdO et les technologies traditionnelles de Data Mining. Bien que ces technologies puissent devenir complémentaires, le traitement dynamique des données englobe les réseaux partagés pour effectuer une analyse et une réponse en temps réel, comme l’IdO le fait contre une analyse de grands volumes de données statiques.

Paysage de l’IdO et des sciences des données

Ce succès dans le domaine du traitement des données présente également une complexité dans le développement de nouvelles technologies, c’est pourquoi il est essentiel de définir des processus pour faciliter le développement et la mise en œuvre des applications IdO. Disposer de modèles qui aident les développeurs TIC à comprendre le cadre juridique de la protection des données, et qui permettent d’identifier, de classer et de définir les tâches nécessaires pour aborder le traitement dès le début du développement des solutions, donne la possibilité d’atteindre une mise en œuvre plus efficace et structurée.

Il serait impossible de couvrir toutes les implications éthiques et juridiques de tout système IdO dans une directive. La qualification d’IdO s’applique à beaucoup de choses différentes. Premièrement, les appareils eux-mêmes (compteurs de pas, traqueurs de sommeil, appareils domestiques “connectés” tels que thermostats, détecteurs de fumée, lunettes ou montres connectées, etc.) Ensuite, les terminaux des utilisateurs (par exemple, les smartphones ou les tablettes) sur lesquels des logiciels ou des applications ont été préalablement installés pour à la fois surveiller l’environnement de l’utilisateur grâce à des capteurs intégrés ou des interfaces réseau, et pour ensuite envoyer les données collectées par ces dispositifs aux différents responsables du traitement des données concernés. En outre, des outils logiciels sont nécessairement utilisés pour faire fonctionner ces systèmes.

Il serait difficile d’aborder toutes les questions liées à ce vaste cadre. Ainsi, notre travail propose un modèle simplifié qui permet d’aider les développeurs de systèmes IdO à répondre aux exigences de protection des données personnelles établies par la Charte européenne des droits de l’homme, le RGPD et les outils réglementaires complémentaires. Néanmoins, les parties prenantes, notamment les concepteurs, les fabricants, les propriétaires de réseaux et les spécialistes du marketing, doivent tenir compte des lois et des directives éthiques applicables à chaque développement spécifique, qu’il s’agisse de systèmes mécaniques ou de systèmes d’information et de communication, liés à leur système IdO concret.

À cette fin, le présent chapitre des lignes directrices tente d’offrir aux développeurs de TIC une vision systématique et simplifiée de la manière de satisfaire aux exigences légales de la législation européenne sur la protection des données. Cela se fait sans négliger les directives éthiques, en ajoutant aux produits IdOla valeur de “donner du pouvoir aux individus en les tenant informés, libres et en sécurité”^[2] . En ce sens, le présent document s’inspire largement des considérations de l’avis 8/2014 du groupe de travail “Protection des données” sur l’évolution récente de l’internet des objets^[3] ; du document de travail des services de la Commission intitulé “Advancing the Internet of Things in Europe”^[4] ; et de la recommandation sur la sécurité de base de l’IdO dans le contexte des infrastructures d’information critiques^[5] . Il est à noter que ces documents sont soumis, dans la plupart des États membres, à un cadre réglementaire particulier et représentent un sujet réglementaire différent des domaines couverts par les autres lignes directrices. En outre, les développeurs de TIC doivent toujours garder à l’esprit que la réglementation européenne sur l’IdO changera probablement dans les prochains temps. Il est toujours recommandé de consulter leurs DPD au sujet des changements possibles et des particularités nationales.

1. Groupe de travail A29, Avis 8/2014 sur l’évolution récente de l’Internet des objets, 2014, à l’adresse : https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑
2. Selon le groupe de travail Article 29 sur la protection des données, c’est “la clé pour soutenir la confiance et l’innovation, et donc pour réussir sur ces marchés”. Avis 8/2014 du groupe de travail Article 29 sur la protection des données Op. Cit. ↑
3. Groupe de travail Art 29 sur la protection des données (2014) Avis 8/2014 sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. Consulté en novembre 2020). Bien que cet avis soit antérieur à l’entrée en vigueur de l’actuel RGPD, nous considérons que les évaluations faites à l’époque par le groupe de travail sont toujours valables. Cet avis fournit les clés éthico-juridiques pour garantir la vie privée, sans entraver le développement de l’IdO. ↑
4. Document de travail des services de la Commission Faire progresser l’Internet des objets en Europe, accompagnant le document Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, Numériser l’industrie européenne Tirer pleinement parti d’un marché unique numérique. Commission européenne N5(19 AVRIL 2016) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52016SC0110&qid=1610616372730 (Accès déc. 2020). ↑
5. Recommandation de sécurité de base pour l’IdO dans le contexte des infrastructures d’information critiques, ENISA 12 (2017), https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot. (Consulté en novembre 2020) ↑