Les données des objets connectés sont-elles des « données clients » comme les autres ?

Résolument, les objets connectés – téléviseurs, voitures, compteurs intelligents, consoles de jeu, systèmes domotiques… mais aussi bracelets connectés et autres dispositifs de quantification de soi… – s’installent dans nos vies. Moins vite que prévu cependant : ceux dont on a le plus parlé – les montres connectées, les trackers d’activité et les wearables en tous genres – sont loin de rencontrer l’engouement espéré par les acteurs de ce marché. Cela n’empêche pas les prévisions pharaoniques qu’IDC a faites en 2014 sur l’internet des objets (IoT) – 20,6 milliards d’objets connectés à l’horizon 2018 – de continuer à être citées un peu partout, comme une perspective inéluctable.

Si le compte n’y est pas pour l’instant, un sondage OpinionWay réalisé pour la société DistreeConnect en mars 2017, nous apprends que 52 % des Français possèdent d’ores et déjà au moins un objet connecté. Pour paraître élevé, ce pourcentage est néanmoins un peu surprenant puisqu’il semble que les répondants excluent spontanément les smartphones, cités par seulement 1% d’entre eux, qui sont pourtant – et de loin ! – les objets connectés les plus répandus et, surtout, les plus utilisés. Banalisés et devenus indispensables, ils ne sont pas considérés comme des objets connectés alors qu’ils sont, d’une part, bourrés de capteurs et, d’autre part, le point de convergence de toutes les applications qui servent à piloter les autres objets connectés…

Objets connectés 3.jpg


Production massive de données personnelles

Quoi qu’il en soit, ces objets produisent des masses de données dont le statut devient problématique. Pour tous les fournisseurs d’objets connectés destinés aux particuliers, ces données sont une manne parce qu’elles permettent d’en savoir beaucoup sur leurs utilisateurs et constituent le socle des services (plus ou moins) personnalisés associés aux objets en question. C’est d’ailleurs la base du contrat, souvent tacite, entre le fournisseur et l’utilisateur : pour obtenir le service promis, vous acceptez de communiquer vos données, généralement sans trop savoir où ces dernières sont réellement hébergées, comment elles sont protégées et ce qui en est fait. Or toutes ces données se réfèrent indiscutablement à des clients qu’elles permettent d’identifier individuellement, de façon directe ou par recoupement. Elles ont donc un caractère « personnel » évident et entrent, de ce fait, dans le champ couvert par le RGDP, le règlement européen sur la protection des données qui entrera en vigueur en mai 2018 et dont nous vous avons parlé ici.


Mais à qui appartiennent les données des objets connectés ?

La question n’est pas anodine, mais la réponse n’est pas vraiment tranchée. En 2015, Le Monde rapportait des points de vue témoignant d’un « certain flottement » : « Les données appartiennent au constructeur de l'objet connecté », affirmait Roberto Siagri d'Eurotech. « Pour les données personnelles, ce sont des extensions de la personne et elles lui appartiennent », nuançait l’avocat Jean-Baptiste Chanial. Un article de Futurible (2017) souligne la différence d’approche règlementaire entre l’Europe et les États-Unis de l’IoT. Outre-Altlantique, on s’intéresse davantage aux objets qu’aux données, en mettant l’accent sur l’intégration de la sécurité dans les objets eux-mêmes. La préférence va donc au concept de « Privacy by Design » laissant la question aux mains des concepteurs et constructeurs (d’objets et d’applications). Si ce concept est également préconisé en Europe, on se focalise plutôt, de notre côté de l’Atlantique, sur la maîtrise et les droits des individus sur ces données. C’est ce dont témoignent les dispositions du RGDP, même si le texte s’appesantit peu sur le cas spécifique des données personnelles produites par les objets connectés (autres que médicaux). Quelle que soit l’approche, l’auteur de l’article estime cependant que « l’intervention de multiples acteurs au sein des différentes couches complique l’application d’un droit sur les données et l’attribution d’un droit de propriété. » On n’est pas beaucoup plus avancé… et il faudra probablement attendre la jurisprudence pour y voir clair…

Propriété des données vs. droit d’utilisation

Savoir à qui appartiennent les données est déjà un casse-tête, savoir qui a le droit de les utiliser et à quelle fin en est un autre. Les données de votre pèse-personne connecté n’intéressent pas que vous ! Grâce à elles, vous suivez au gramme près l’évolution de votre courbe de poids. Dans le meilleur des cas, l’application associée vous envoie un petit avertissement pour vous dire que vous êtes en train de déraper et que vous devriez d’urgence reprendre la gym. Mais à l’avenir, il y a toutes les chances que cela ne s’arrête là : grâce à d’habiles partenariats, le constructeur de votre balance vous permettra de recevoir via cette application des conseils diététiques (hyper-personnalisés, s’entend) ou l’adresse du club de fitness le plus proche de votre domicile et une foule d’offres personnalisées associées. Jusqu’à ce point, vous serez probablement d’accord avec l’utilisation qui est faite de vos données personnelles parce que vous vous sentirez libre d’accepter ou non ces offres.

Mais soyons un peu paranoïaques : la compagnie d’assurance qui vous fournit votre complémentaire santé fait elle aussi partie des partenaires du constructeur de votre merveilleuse balance connectée. D’ailleurs, c’est par elle que vous avez eu une remise de 25 % sur le prix d’achat de la balance. Mais voilà : vous avez malencontreusement pris 5 kilos en quelque mois et, du point de vue de l’assureur, vous êtes à deux doigts du surpoids. Vous devenez une personne à risque plus élevé. Il serait bon de prendre en compte ce paramètre nouveau dans le calcul du prix de votre complémentaire…

Cela n’arrivera pas ? Cela reste à prouver ! Pourquoi ce qui commence à exister en matière d’assurance pour les voitures connectées n’existerait-il pas pour les complémentaires ou la sécu avec les balances connectées ? Et pour les brosses à dents connectées (hmm… d’après les données de votre brosse, votre hygiène buco-dentaire laisse vraiment à désirer, on ne va quand même pas vous rembourser au même taux qu’avant !) ? Et pour votre réfrigérateur connecté, dont les données prouvent, jour après jour, que vous êtes plus accro aux sodas hypersucrés qu’aux légumes vert bio ? Et tout cela sera fait pour votre plus grand bien et pour vous responsabiliser… Qui sait si la bienveillance généralisée n’ira pas jusqu’à vous proposer de rejoindre le protocole d’essai d’un nouveau traitement pour personne en pré-surpoids ? Si au moment d’acheter ces objets et d’activer les applications correspondantes sur votre smartphone, on vous demandait de cocher la case disant que vous êtes d’accord avec ce genre d’exploitation de vos données, le feriez-vous ? Pas sûr…

Selon la nouvelle législation, chaque client devra avoir préalablement donné son consentement explicite à ce type d’utilisation des données produites par ses objets connectés. On veut croire que ce sera le cas, mais cela va être singulièrement difficile à gérer, tant pour les clients finaux que pour les constructeurs de dispositifs grand public connectés et ceux qui, d’une manière ou d’une autre, achèteront les données générées par ces dispositifs. Pour l’instant, réglementation ou pas, c’est encore le Far West… et le royaume de l’ignorance : dans le sondage OpinionWay, 91 % des sondés sont d’accord pour dire « on ne sait pas très bien ce qui est fait des données collectées par [le biais] de ces objets ». C’est le deuxième reproche fait aux objets connectés, juste après leur prix trop élevé. Face à cette inquiétude, qui peut disqualifier complètement les objets connectés et faire disparaître leurs indéniables bénéfices, l’entrée en vigueur du RGPD est plus que jamais l’occasion de jouer la transparence sur l’utilisation des données et de passer un nouveau pacte de confiance avec les consommateurs qui les utilisent.

Objets connectés 2.jpg

Poster le commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *