Sweep day 2016 : des objets connectés encore trop peu transparents sur l’utilisation des données

23 septembre 2016

25 autorités de protection des données ont mené un audit sur plus de 300 objets connectés de notre quotidien et examiné leur impact sur la vie privée.

De plus en plus de personnes se dotent d’objets connectés en vue d’un plus grand confort chez elles, d’une meilleure gestion de leurs efforts physiques, voire d’un suivi de leur traitement médical. Le marché français de l'Internet des objets est estimé à près de 10 milliards d'euros et ce chiffre devrait doubler d’ici 2019. Quel est l’impact de ces objets sur notre vie privée ? Les règles de protection des données personnelles sont-elles prises en compte par les fournisseurs ?

Un audit a été mené en mai dernier, dans le cadre de la journée annuelle du « Sweep day », par 25 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant au sein de l'OCDE pour la protection de la vie privée). Il a donné lieu à l’examen de 300 objets connectés tels que des compteurs électriques, thermomètres, montres connectées, etc.

En pratique, l’audit a porté sur :

  • la qualité de l’information délivrée,
  • le niveau de sécurité des flux de données,
  • le degré de contrôle de l’utilisateur sur l’exploitation de ses données (consentement, exercice des droits, etc.).

Tendances observées au niveau international

Cet audit international révèle que sur les 300 objets connectés étudiés :

  • 59 % ne fournissent pas une information claire et complète sur la collecte et les conditions d’exploitation des données à caractère personnel des utilisateurs ;
  • 68 % ne donnent aucune information relative aux conditions de stockage des données ;
  • 72 % n’informent pas les utilisateurs des modalités de suppression de leurs données du dispositif connecté ;
  • 38 % ne fournissent pas de coordonnées de contact permettant aux utilisateurs de se renseigner sur les modalités de traitement de leurs données à caractère personnel.

Éléments relevés par la CNIL : une information perfectible mais un contrôle par les utilisateurs satisfaisant

La CNIL a testé 12 objets relevant des secteurs de la domotique (alarme incendie connectée, caméras), de la santé (balances, tensiomètres) et du « bien-être » (montres et bracelets d’activité).

Les analyses menées ont été faites sur la base de tests en conditions réelles des objets connectés.

Elles montrent que :

  • L’information est insuffisante : Si l’information sur le traitement des données personnelles est accessible et claire, elle n’est que trop rarement spécifique à l’objet utilisé (elle porte sur l’ensemble de la gamme des produits du fournisseur). Cette information insuffisamment précise ne permet pas, par exemple, aux utilisateurs de connaitre le devenir des données collectées (transmission à des tiers, identification de ces derniers et finalité d’une telle divulgation, etc.) ;
  • L’utilisateur conserve un degré satisfaisant de contrôle de ses données : Les données collectées par les objets testés sont apparues nécessaires à la réalisation du service proposé par l’objet et/ou soumises au contentement de l’utilisateur. Par ailleurs, ¾ des objets testés étaient dotés de mesures de sécurité empêchant l’accès aux données collectées ou au dispositif lui-même par des tiers (identification requise, par exemple).

La CNIL, comme ses homologues, se réserve la possibilité de mener des vérifications plus approfondies en réalisant le cas échéant des missions de contrôle des traitements liés aux objets connectés.

De telles actions d’audit coordonné ouvrent la voie, pour la CNIL et ses homologues européens, aux futures opérations conjointes qui pourront être réalisées à partir de mai 2018, une fois le règlement européen sur la protection des données applicable.

Conseils de la CNIL à destination des utilisateurs de ces objets connectés

  1. Sécurisez le smartphone / tablette, l’objet lui-même s’il y a lieu ainsi que l’application liée à l’objet par un mot de passe fort. Les objets fonctionnent généralement avec une application dédiée, le smartphone jouant le rôle de « télécommande » et de hub des données ;
  2. Lorsque l’objet est associé à un compte en ligne, préférez l’utilisation d’un pseudonyme ;
  3. Ne partagez vos données qu’en direction de cercles de confiance, de personnes que vous connaissez et n’automatisez pas le partage avec d’autres services en particulier vers les réseaux sociaux ;
  4. Procédez à la suppression des informations et données enregistrées lorsqu’elles ne vous sont plus utiles.

Les mots clés associés à cet article