La « discontinuité des normes » est un facteur de complications mais également d’insécurité juridique pour les acteurs de l’IoT
Les défis juridiques sont à la mesure de la diversité des usages en matière d’objets connectés. Cette fiche pratique s’efforcera de recenser les textes ayant vocation à encadrer les objets connectés comme les initiatives législatives et règlementaires en cours.
Initiatives françaises
La France dispose d'un cadre règlementaire qui permet d’encadrer en partie l’utilisation des objets connectés. Entre droit de la consommation, droit de la responsabilité (v. fiche pratique n°2), droit pénal et droit à la vie privée par le biais de la Loi Informatique et Libertés et du RGPD, la France n’a pas encore renforcé son cadre légal sur l’IoT et paraît privilégier ainsi une régulation européenne. A noter tout de même, le rapport parlementaire du 10 janvier 2017 sur les objets connectés[ii] qui suggère d’adapter le code de la consommation pour obliger les fabricants et éditeurs de services à informer clairement les consommateurs sur l'utilisation de leurs données.
Initiatives européennes
Parmi les différents textes européens régulant l’IoT, il faut bien évidemment mentionner le règlement général sur la protection des données mais aussi :
Regulation on the free flow of non-personal data : applicable depuis le 28 mai 2019, le règlement vise à supprimer les obstacles à la libre circulation des données non personnelles entre les États membres et les systèmes informatiques en Europe. Ce nouvel encadrement fait partie de la stratégie de l’U.E. en matière de gouvernance des données et a pour objet de favoriser la vie privée sur internet et surtout la réutilisation de données non-personnelles pour le développement d’I.A. européennes. Les acteurs de l’IoT de santé et de la mobilité sont particulièrement concernés par ce nouveau règlement.
Network and Information Security Directive: Elle prévoit des mesures juridiques visant à renforcer le niveau général de cybersécurité dans l’UE via des mesures de coopération et de supervision. La directive devait être transposée au plus tard le 9 mai 2018.
Intelligent Transport Systems Directive : Ladite directive prévoit l’application du régime des produits défectueux à tout objet connecté relatif au transport (v. fiche n°2). Elle est applicable depuis le 27 février 2012.
eCall regulation : eCall est un système utilisé dans les véhicules de l'UE qui permet d'appeler automatiquement et gratuitement le 112 en cas d'accident de la route grave. Ce système est obligatoire pour tout achat de véhicule neuf dont la fabrication a été approuvée après le 31 mars 2018.
Directive on Energy Performance of Buildings : concernant globalement la performance énergétique de l’immobilier européen, l’IoT est mis en avant pour atteindre un parc immobilier à haute efficacité énergétique et décarbonisé d'ici 2050, créer un environnement stable pour les décisions d'investissement et permettre aux consommateurs et aux entreprises de faire des choix plus éclairés. La directive devait être transposée au plus tard au 10 mars 2020.
Cybersecurity Act : Entré en application le 27 juin 2019, ce dispositif vise à définir un cadre européen de certification de cybersécurité, essentiel pour renforcer la sécurité des services en ligne et des appareils de consommation sur le marché unique numérique européen. Il précise la portée de la certification avec plusieurs niveaux d’assurance :
Le niveau élémentaire qui cible typiquement des objets grand public, non critiques (exemple : IoT)
Le niveau substantiel qui cible le risque médian (exemple : Cloud)
Le niveau élevé qui cible les solutions pour lesquelles il existe un risque d’attaques menées par des acteurs avec des compétences et ressources significatives (exemple : véhicules ou dispositifs médicaux connectés).
Le code des communications électroniques européens : Ce code obligera là encore les acteurs Over the top (OTT) à se conformer à des obligations de sécurité des réseaux ou
encore d’interopérabilité. Le code prévoit également l’interdiction des écoutes et autres enregistrements des communications et données de trafic, sans le consentement préalable des utilisateurs. Une obligation qui aura un impact en termes de messageries proposées sur les objets connectés, tant les utilisateurs peuvent redouter de voir leurs conversations analysées pour se voir ensuite diffuser des annonces personnalisées. Nouvelle exigence de recueil du consentement qui vient de nouveau interroger sur la validité du consentement donné par le biais de conditions générales et a fortiori sur internet. Par ailleurs, les OTT devront limiter l'utilisation de données de trafic et de localisation, notamment concernant la durée d’un échange téléphonique, message ou courrier mais aussi la localisation de l’expéditeur ou du destinataire. L’avantage d’une telle régulation est de s’assurer que tous les OTT, quel que soit l’objet connecté concerné, devront respecter des règles plus respectueuses de la vie privée des consommateurs, bien que cette obligation ne concerne qu’indirectement les fabricants d’objets connectés. La directive, adoptée le 11 décembre 2018, doit être transposée au plus tard le 21 décembre 2020.Directive on Contracts for the supply of digital content and digital services : les consommateurs seront protégés lorsque des contenus ou services numériques sont défectueux, et auront le droit d'obtenir réparation en demandant au professionnel de régler le problème ou si le problème persiste en obtenant une réduction de prix ou en résiliant le contrat. Cela n’existait que pour les biens matériels au niveau européen. La directive inclut désormais par exemple une musique téléchargée non diffusée sur l’appareil ou un logiciel qui cesse de fonctionner. A ce titre, dans de nombreux cas, le consommateur ne paie pas pour accéder au contenu ou aux services numériques, mais fournit des données personnelles au commerçant. La nouvelle directive sur le contenu et les services numériques donne aux consommateurs le droit à un recours en cas de contenu numérique ou de service numérique défectueux, qu'ils aient payé ou seulement fourni des données personnelles. Tel est le cas en matière d’IoT. Adoptée le 20 mai 2019, cette directive devra être transposée au plus tard le 1er juillet 2021 et sera applicable au 1er janvier 2022.
EU Basic Regulation for Drones : Le cadre européen créé trois catégories d'opération pour les drones – « ouverte » pour les engins à faible risque allant jusqu'à 25 kg, « spécifique » pour les drones devront être autorisés à voler ou « certifiée » pour la catégorie de drone la plus élevée, telle que l'exploitation de drones de livraison ou de passagers, ou le survol de grandes masses de personnes. Cette règlementation est applicable à compter du 1er juillet 2020.
Medical Device Regulation : les conseils d'orientation[iii] publiés en décembre 2019 relatifs au règlement prévoient que le mode d'emploi doit comporter les informations nécessaires pour que les patients et les consommateurs puissent être informés des dernières version du logiciel, protéger l'appareil pendant toute sa durée de vie, utiliser des mots de passe suffisamment complexes, désactiver les fonctionnalités qui ne sont pas utilisées, sécuriser l'ordinateur ou les tablettes, utiliser des sauvegardes et protéger leurs données de santé. Il faut notamment s'assurer que les appareils connectés, tels que les ordinateurs et les appareils mobiles, sont conformes aux instructions d'utilisation fournies avec le dispositif médical. Ces dispositions assureront une coexistence sûre des dispositifs médicaux dans un environnement IoT. Le règlement 2017/745 sera applicable le 26 mai 2020.
• La certification de l’IA : l’intelligence artificielle est très souvent liée à l’IoT et l’Union européenne a publié un livre blanc[iv] en février 2020 à ce sujet dans lequel elle exprime son désir de créer une certification européenne en matière d’IA. Cette certification n'est encore qu’à l’état de projet puisqu’un rapport sur sa faisabilité est attendu à la fin d’année 2020.
Parmi les futurs textes à venir, il faut bien évidemment évoquer le projet de règlement ePrivacy. Avec ce projet les cookies seraient désormais paramétrés dans le logiciel et le navigateur de l’utilisateur, sans qu’il soit nécessaire de recueillir le consentement de l’utilisateur pour chaque page web. Cette mesure permettrait aux utilisateurs d’IoT de mieux s’approprier leur appareil et de susciter leur confiance. Autre objectif du règlement ePrivacy, obliger les fournisseurs de communications électroniques aux mêmes diligences que les fournisseurs de télécommunications traditionnels. Seraient concernés Messenger, Gmail, Skype, WhatsApp, etc. Ce projet est toujours en discussion.
• Enfin, il faut citer le rapport Delvaux contenant des recommandations à la Commission et concernant des règles de droit civil sur la robotique : ce rapport préconise d’adopter des normes communes en matière de robotique et notamment en termes de responsabilité. La principale innovation de ce rapport tient au fait qu’il suggère d’attribuer une « personnalité juridique spécifique » aux robots avec l’attribution d’une « personnalité électronique ». Certains robots se verraient attribuer des devoirs, comme celui de « réparer tout dommage causé à un tiers ». Le rapport suggère également la création d’un système d’assurance obligatoire et d’un fonds pour garantir le dédommagement total des victimes en cas d’accidents causés par les voitures autonomes. Le rapport fut adopté le 16 février 2017 par le Parlement européen.
Initiatives américaines
Aux États-Unis, bien qu’une législation fédérale sur l'IoT soit envisagée, il n'existe pour autant aucune législation imposant des normes pour la sécurité de l’IoT.
Malgré tout, le DIGIT (Developing and Growing the Internet of Things) Act a été adopté par le Sénat américain le 8 janvier 2020 et établit un groupe de travail chargé de fournir des recommandations au Congrès sur la manière de faciliter la croissance de l’IoT. Ceci notamment en « identifiant les lois et réglementations fédérales, les pratiques en matière de subventions, les difficultés budgétaires ou juridictionnelles et autres politiques sectorielles qui entravent le développement de l’IoT ». Parallèlement, le DIGIT Act charge également la Commission fédérale des communications (FCC) d'établir un rapport pour évaluer les besoins nécessaires pour soutenir l’IoT.
Bien qu’il n’existe pas de législation fédérale, la Californie et l’Oregon ont été les premiers États à légiférer sur l’IoT. Depuis le 1er janvier 2020 le SB 327 (loi californienne) est applicable à tout fabricant d'appareil qui se connecte « directement ou indirectement » à internet doit l’équiper de dispositifs de sécurité « raisonnables », conçus pour empêcher tout accès, modification ou divulgation d'informations non autorisés. S'il est possible d'y accéder en dehors d'un réseau local avec un mot de passe, il doit soit être fourni avec un mot de passe unique pour chaque dispositif, soit forcer les utilisateurs à définir leur propre mot de passe lors de leur première connexion. Cela signifie qu'il n'y a plus d'informations d'identification génériques par défaut qu'un hacker pourrait utiliser.
Par ailleurs, tel qu'il est rédigé, le SB 327 peut exclure les fabricants de technologie immatérielle - comme les logiciels. A ce titre, des questions se posent à la lumière du droit de la responsabilité américain. Lorsqu'il s'agit de principes stricts de responsabilité du fait des produits, un fabricant de produits peut être tenu pour strictement responsable du défaut d'un produit, comme en France. Mais lorsqu'il s'agit de dispositifs IoT, la ligne de démarcation est floue. Presque toujours, la partie logicielle du dispositif IoT est « fabriquée » par une entité distincte de l'entité qui fabrique l'objet physique. Si le dispositif IoT s'avère défectueux, la question se pose de savoir quelle entité peut être tenue pour strictement responsable.
Si le défaut se situe dans l'objet physique du dispositif, l'entité qui a fabriqué le dispositif risque d'être tenue pour strictement responsable. Mais si le défaut se trouve dans le logiciel, la réponse est moins évidente car les tribunaux n'ont pas clairement indiqué si le logiciel est un produit aux sens de la responsabilité du fait des produits.
La plupart des observateurs s'attendent à ce que les tribunaux traitent les logiciels dans les dispositifs IoT comme un service plutôt que comme un produit. Le SB 327 abonde en ce sens. Le législateur californien a imposé au fabricant physique d'un dispositif IoT la charge de garantir la sécurité des données stockées dans le dispositif, mais les fabricants de dispositifs physiques peuvent encore soutenir que le logiciel était un simple composant, lorsqu'il s'agit de questions de responsabilité stricte. Il appartiendra à la jurisprudence de trancher cet aspect.
Également applicable au 1er janvier 2020, l’Oregon a adopté une législation similaire, qui tout comme la Californie concerne la sécurité de l’IoT et ne se limite aux objets recueillants des données personnelles. Les mesures de l’Oregon sont toutefois légèrement plus restreintes car ne sont concernés que les objets utilisés principalement à des fins personnelles, familiales ou domestiques lorsque les mesures californiennes s’appliquent également aux objets connectés industriels ou d’une utilisation B2B.
Enfin, ces deux lois excluent les fournisseurs de magasins d’électronique, marketplaces et autres moyens d'achat ou de téléchargement de logiciels. Elles prévoient également des exceptions limitées pour les entités réglementées par l’HIPAA (Health Insurance Portability and Accountability Act), en ce qui concerne les activités réglementées de santé. La loi de l'Oregon prévoit également une exception pour les activités réglementées par la FDA (Food and Drug Administration) en ce qui concerne les dispositifs médicaux.
Au-delà de la législation propre à l’IoT, les États-Unis semblent s’inspirer progressivement de la règlementation européenne et notamment en matière de données personnelles.
Les États-Unis disposent déjà du Privacy Act de 1974 qui protège déjà les données à caractère personnel, mais uniquement lorsque ces données sont détenues par le secteur public. Cinq principes sont prévus : le principe de transparence, le principe d’accès, le principe de correction, le principe de sécurité des données et le principe de limitation des finalités. Mais ce n’est qu’après le Privacy Act que le secteur privé fut réglementé sur la gestion des données privées. Par exemple, le Health Insurance Portability and Accountability Act qui protège les données de santé, le Gramm-Leach-Bliley Act pour les données financières, ou le Children’s Online Privacy Protection Act concernant les données des enfants. Ainsi, tous les États ont voté des lois spécifiques pour la défense de certains aspects de la vie privée : par exemple, l’État de Californie condamne les entreprises pour vente de données d’étudiants sans but éducatif dans le Student Digital Privacy Act et donne un droit à l’effacement à des utilisateurs mineurs de réseaux sociaux.
Le caractère commercial ou non des données personnelles est le critère de différenciation par rapport à la règlementation européenne et limite ainsi la régulation des données outre Atlantique. Par conséquent, les États-Unis s’inspirent désormais de la règlementation européenne.
Le CCPA (California Consumer Privacy Act), entré en vigueur le 1er janvier 2020, instaure de nouvelles obligations à la charge de toute entreprise opérant en Californie et générant un chiffre d’affaires de 25 millions de dollars ou qui récolte les données d’au moins 50 000 personnes ou enfin dont le chiffre provient pour moitié de l’exploitation de données utilisateurs.
Plus restreint dans son champ d’application que le RGPD, le CCPA instaure des droits particuliers. Le CCPA permet ainsi aux particuliers de savoir quelles données personnelles sont en possession d’une entreprise, de pouvoir demander la suppression desdites données et d’exiger que ces données ne soient plus vendues à des tiers (mécanisme d’opt-out). Il va sans dire que cette législation s’appliquera désormais aux objets connectés. Reste à savoir si les entreprises de la Silicon Valley en profiteront pour appliquer d’elles-mêmes les nouvelles mesures à l’ensemble de leurs objets connectés ou uniquement à ceux destinés à la Californie.
Les propositions de législation en matière de protection des données à l’échelle fédérale n’ont toujours pas abouti à l’instar du « Washington Privacy Act ». D’autres initiatives avaient également été proposées (« Democrats’ Consumer Online Privacy Rights Act » et le « Republicans’ United States Consumer Data Privacy Act of 2019 ») mais sans succès. D’autres propositions de législations sont en cours de discussion, sur des aspects sectoriels. Ces propositions montrent à quel point les Etats-Unis privilégient en pratique une législation point par point, qui n’aurait pas la vocation universelle du RGPD. Voici une liste de plusieurs projets à l’échelon fédéral, datant de moins d’un an et ayant pour trait de régler des questions particulières[v] :
Filter Bubble Transparency Act : Ce projet de loi oblige les sites web qui utilisent des données personnelles pour filtrer les résultats de recherche ou personnaliser des fils d'information à en informer les utilisateurs. Il exige également qu'ils offrent aux utilisateurs une version non altérée de leurs résultats de recherche ou de leurs fils d'information qui ne sont pas basés sur des données personnelles.
Social Media Privacy Protection and Consumer Rights Act : Ce projet de loi oblige les responsables de plateformes en ligne à informer les utilisateurs que leurs données sont collectées et traitées par le responsable, ainsi que par des tiers. Il donnerait également aux utilisateurs un droit d'accès à une copie de leurs données et obligerait les opérateurs à informer les utilisateurs en cas de violation des données.
Do Not Track (DNT) Act : En vertu du projet de loi, les entités visées ne pourraient pas collecter de données auprès des utilisateurs qui envoient des signaux DNT c’est-à-dire qui refusent que leurs données personnelles autres que celles données nécessaires au fonctionnement de leur site web, service ou application soient traitées. Le projet interdirait également d’utiliser ces données à des fins secondaires, telles que la publicité ciblée, ou de partager les données avec des tiers, sauf si l'utilisateur y consent expressément. Il serait également interdit aux entités couvertes de refuser l'accès aux services ou de fournir différents niveaux d'accès ou de service aux utilisateurs qui utilisent le signal DNT.
DASHBOARD Act : Ce projet de loi impose aux services de médias sociaux comptant plus de 100 millions d'utilisateurs actifs par mois de divulguer non seulement les types de données qu'ils collectent, mais aussi la valeur de ces données. En outre, le projet de loi donnerait aux utilisateurs le droit de demander la suppression de tous les champs ou de certains champs de données que les opérateurs commerciaux ont collectés à leur sujet.
ACCESS Act : Ce projet de loi oblige les grands fournisseurs de plateformes de communication à « initier le transfert sécurisé des données de l'utilisateur », à la demande de ce dernier, accordant essentiellement aux utilisateurs le droit à la portabilité des données.
BROWSER Act : Ce projet de loi exige que les fournisseurs de services d'accès internet à haut débit et de services de périphérie informent les utilisateurs de leur politique en matière de protection de la vie privée. Il exige également que les entités visées obtiennent l'accord d'un utilisateur pour utiliser ou divulguer des informations sensibles et qu'elles obtiennent l'accord d'un utilisateur pour utiliser ou divulguer des informations non sensibles.
Protecting Personal Health Data Act : Le but de ce projet de loi est de combler les lacunes de la réglementation de la loi sur la portabilité et la responsabilité en matière d'assurance maladie en réglementant des entités telles que les appareils de suivi de la condition physique portables et les sites de médias sociaux qui recueillent des informations sur la santé.
Commercial Facial Recognition Privacy Act : ce projet interdit l'utilisation des technologies de reconnaissance faciale en l'absence d'un consentement positif des individus.
Facial Recognition Technology Warrant Act : le projet de loi obligerait notamment le « Federal Bureau of Investigation and Immigration and Customs Enforcement », à obtenir un mandat pour utiliser la technologie de reconnaissance faciale afin de surveiller les personnes.
Ces différentes législations s’appliqueraient à l’utilisation d’internet et par conséquent aux utilisateurs d’objet connectés.
Une telle inflation législative outre Atlantique présente le risque de procéder à un encadrement désordonné, par Etat ou par champ d’application. Procéder de la sorte pourrait aussi engendrer des frais importants de mise en conformité par Etat ou par secteur d’activité, une insécurité juridique pour les entreprises face à des régulations diverses et non unifiées mais également un manque de lisibilité pour les particuliers.
Enfin, la FCC (Federal Communications Commission) a récemment adopté un plan favorisant la 5G (5G FAST Plan[vi]) pour réduire la réglementation fédérale faisant obstacle au déploiement des infrastructures nécessaires à la 5G et l’IoT :
Restoring Internet Freedom Order : définit une politique nationale cohérente pour les fournisseurs d'accès à l’Internet.
[1] Mireille Delmas-Marty, Les forces imaginantes du droit, op. cit., p. 18 et s.
[ii] http://www.assemblee-nationale.fr/14/rap-info/i4362.asp
[iii] https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=2ahUKEwipgpTUq6roAhXizIUKHVoUCeoQFjACegQIBBAB&url=https%3A%2F%2Fec.europa.eu%2Fdocsroom%2Fdocuments%2F38941%2Fattachments%2F1%2Ftranslations%2Fen%2Frenditions%2Fnative&usg=AOvVaw1ErLyb5W5fS8tZ9ts1aBIs
[iv] https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_fr.pdf
[v] https://iapp.org/news/a/tracking-the-politics-of-federal-us-privacy-legislation/