L’un des problèmes inhérents à l’IdO est que cette technologie peut difficilement éviter de promouvoir le profilage et le traitement automatisé des données. Cela crée des problèmes importants en termes de protection des données. Comme l’a déclaré le groupe de travail Article 29, “contrairement à d’autres types de contenu, les données poussées par l’IdO peuvent ne pas être examinées de manière adéquate par la personne concernée avant leur publication, ce qui génère indéniablement un risque de manque de contrôle et d’auto-exposition excessive pour l’utilisateur. En outre, la communication entre les objets peut être déclenchée automatiquement ainsi que par défaut, sans que l’individu en soit conscient. En l’absence de la possibilité de contrôler efficacement la manière dont les objets interagissent ou de pouvoir définir des frontières virtuelles en définissant des zones actives ou non actives pour des choses spécifiques, il deviendra extraordinairement difficile de contrôler le flux de données généré. Il sera encore plus difficile d’en contrôler l’utilisation ultérieure et d’éviter ainsi les dérives fonctionnelles. Cette question du manque de contrôle, qui concerne également d’autres développements techniques comme le cloud computing ou le big data, est encore plus difficile quand on pense que ces différentes technologies émergentes peuvent être utilisées en combinaison.”^[1] En effet, il faut garder à l’esprit que l’IdO nécessite souvent de relier des ensembles de données provenant de différents appareils afin d’obtenir des informations détaillées sur la vie privée des utilisateurs, et de faire des hypothèses et des prédictions sur leur comportement. Ces pratiques ne sont pas contraires à la protection des données, à condition qu’elles respectent strictement la réglementation applicable. Cependant, il est souvent difficile de garantir ce respect.

En outre, ce scénario permet de combiner plusieurs données qui, à elles seules, peuvent fournir peu d’informations sur la personne concernée. Certaines de ces données peuvent même être anonymisées. Cependant, leur combinaison finit souvent par créer un nouveau scénario, dans lequel les données personnelles et notamment les catégories spéciales de données personnelles. Celles-ci sont généralement appelées données déduites, c’est-à-dire “toutes les données à caractère personnel qui ont été créées par le responsable du traitement dans le cadre du traitement des données, par exemple par un processus de personnalisation ou de recommandation, par une catégorisation ou un profilage des utilisateurs effectué sur la base des données à caractère personnel fournies par la personne concernée (données observées ou brutes)^[2] . Il s‘agit également de données à caractère personnel, ce qui signifie qu’elles sont soumises au RGPD et à la réglementation applicable en matière de protection des données.

1. Groupe de travail Art 29 sur la protection des données (2014) Avis 8/2014 sur les développements récents de l’Internet des objets (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088. ↑
2. A29WP, Lignes directrices sur le droit à la portabilité des données, à l’adresse : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/right-data-portability_en. ↑