Il est nécessaire de prendre en compte les aspects clés de l’application IdOlors de la définition de ses fonctionnalités et de l’impact potentiel sur la protection des données, tels que :
- Généralement, il y a une partie pour la collecte de données ou pour fournir des informations pour l’application ou les services IdO, donc la sécurité des données collectées doit être gérée.
- Le traitement ou l’analyse de ces données a généralement lieu dans des endroits très éloignés dans le nuage et, pour pouvoir les atteindre, il est nécessaire d’utiliser des réseaux partagés, des réseaux publics, etc. Cet aspect a un impact sur la protection des données stockées et en mouvement gérées en personne par l’équipe de développement ou par un tiers.
- Il est de plus en plus courant que les applications IdOsoient hyper connectées à d’autres, provenant soit du même fabricant ou développeur, soit d’un autre, créant ainsi de vastes réseaux de dispositifs IdO. Il est donc nécessaire de prendre en compte la sécurité des données partagées ou accessibles par des tiers.
- L’intégration avec des tiers assure la compatibilité avec d’autres produits et confère à l’application une plus grande polyvalence et fonctionnalité, mais d’un autre côté elle rend nécessaire la définition d’une procédure pour évaluer la sécurité des composants fournis par des fournisseurs externes.
- L’interaction entre l'”utilisateur” humain et la “machine-produit” est présente et une attention particulière doit être accordée pour garantir une expérience utilisateur satisfaisante sans compromettre la sécurité.
- L’évaluation de la sécurité de l’application IdOdoit comprendre des tests techniques tels que l’examen du code et les tests de pénétration. Les tests de pénétration permettent de vérifier le niveau de sécurité du système, de le détecter rapidement et, en cas d’échec, de corriger les éventuelles erreurs susceptibles d’affecter la sécurité des données pendant la mise en œuvre, afin d’atténuer ou de minimiser les risques avant de passer à la production. Le test de pénétration est un test très efficace pendant la phase d’évaluation, car il soumet les solutions aux mêmes menaces, auxquelles elles pourraient être confrontées pendant le fonctionnement normal d’une application IdO. Dans le cadre de ce qu’on appelle le piratage éthique, ces tests visent à découvrir les faiblesses du système qui pourraient être exploitées à l’avenir par un pirate.
Boîte 11 :
Une application IdOqui permet de contrôler des ampoules à distance depuis un dispositif mobile, supportée par des communications sans fil au moyen du protocole ou de la spécification Zigbee, et qui utilise en même temps une passerelle pour se connecter à Internet, peut être un exemple utile des aspects clés à prendre en compte pour la fonctionnalité mentionnée ci-dessus. |
Liste de contrôle : droits des personnes concernées
☐ Les responsables du traitement ont mis en place les procédures nécessaires pour garantir que les droits des personnes concernées sont adéquatement satisfaits, qu’il s’agisse des utilisateurs finaux ou de tiers. ☐ Les responsables de traitement ont mis en place les procédures nécessaires pour que les droits des personnes concernées soient satisfaits dans les délais (maximum un mois après la demande). ☐ Les responsables du traitement ont mis en place des outils efficaces pour garantir que les personnes concernées puissent exercer leurs droits de manière pratique, par exemple en introduisant des normes d’interopérabilité des données. ☐ Les personnes concernées sont en mesure d’avoir accès à toutes leurs données personnelles, y compris les données brutes qui sont enregistrées par les dispositifs IdO. ☐ Les développeurs de l’IdO ont mis en place des outils pour lire, éditer et modifier localement les données avant qu’elles ne soient transférées à tout responsable de traitement. En outre, les données personnelles traitées par un appareil sont stockées dans un format permettant la portabilité des données. ☐ Les responsables de traitement ont mis en place des outils capables de communiquer les données rectifiées à chaque destinataire auquel les données personnelles ont été divulguées, sauf si cela s’avère impossible ou implique des efforts disproportionnés. ☐ Les responsables de traitement ont mis en place des outils capables de garantir que toutes les données sont efficacement supprimées à la demande des personnes concernées s’il n’y a pas de raisons légitimes de s’opposer à cette demande. ☐ Les responsables du traitement ont veillé à ce que les schémas de retrait soient fins et couvrent : (1) toute donnée collectée par un objet spécifique ; (2) un type spécifique de données collectées par quelque chose ; (3) un traitement de données spécifique. ☐ Les personnes concernées se voient offrir la possibilité de désactiver la fonctionnalité “connectée” de l’objet et de lui permettre de fonctionner comme l’objet original, non connecté (c’est-à-dire désactiver la fonctionnalité connectée de la montre ou des lunettes intelligentes). ☐ Les développeurs d’IdO ont mis en place une interface conviviale pour les utilisateurs qui souhaitent obtenir à la fois des données agrégées et/ou des données brutes qu’ils stockent encore. Ces outils permettent aux personnes concernées d’exporter facilement leurs données dans un format structuré et couramment utilisé. ☐ Lesresponsables du traitement ont documenté toutes les informations concernant ces problèmes. |
- ICO (2020) IoT auditing framework – draft guidance for consultation. Information Commissioner’s Office, Wilmslow, p.13-14. Disponible à l’adresse : https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf (consulté le 15 mai 2020). ↑
- AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Espanola Proteccion Datos, Madrid, p.30. Disponible sur : www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (consulté le 15 mai 2020). ↑