IoT

Objects connectés: rapport d'information de l'Assemblée nationale du 10 janvier 2017, quelles perspectives ?

Corinne Erhel et Laure de la Raudière ont présenté leur rapport d’information consacré à l’internet des objets le 10 janvier dernier dans le cadre des travaux de la commission des affaires économiques de l’Assemblée Nationale.  

Exhaustif, ce rapport embrasse toutes les questions posées par les objets connectés : du fait de pratiques extrêmement diverses (santé, agriculture, maintenance ou surveillance), l’internet des objets suscite en effet de très défis concrets, à commencer par la question d’un éventuel contrôle ou d’une régulation de ces nouvelles innovations.

 

Ce rapport souligne aussi le potentiel des objets connectés dans une perspective nationale, en se penchant sur les secteurs français en pointe (avec un focus sur certaines institutions comme l’INRIA), l’organisation des différentes formes de soutien à l’innovation (notamment avec la French Tech) et la question du financement de l’innovation. Le relevé de ces points forts s’accompagne aussi d’une réflexion sur les infrastructures nécessaires à terme (connexion sans fil, réseaux bas débit ou transition vers la 5G) comme sur l’environnement fiscal et règlementaire de ce secteur. Le déploiement d’un écosystème français des objets connectés nécessite également un effort de formation à la transition numérique, volet indispensable pour une approche globale.

 

C’est une tonalité positive et volontariste qui est adoptée par ce rapport : réussir le virage de l’internet des objets en France est à portée de main pour Corinne Erhel et Laure de la Raudière, à condition de relever certains défis. Cela implique d’améliorer l’environnement fiscal et réglementaire de l’innovation et la protection de l’innovation à travers certaines initiatives concrètes : renforcement du capital-risque, accroissement du nombre de business angels et du recours au financement participatif, meilleure structuration de l’accompagnement des entreprises, start-ups ou non.

 

Ce rapport appelle cependant deux remarques.

 

Le développement de l’internet des objets doit aussi s’appuyer sur une démarche cohérente en matière de protection des données personnelles et notamment au vu de la masse et des flux de données qui seront potentiellement générés. L’utilisation de ces données, leur exploitation comme leur circulation ne sont pas neutres et généreront à terme des écosystèmes particulièrement importants. La sécurité de ces données, leur contrôle, les modalités de consentement, la protection de la vie privée dans le cadre d’objets connectés touchant à la santé par exemple ou les risques de profilage auront une sensibilité particulière. Ces aspects doivent être pris en compte dans le cadre de la mise en œuvre en 2018 du règlement européen sur la protection des données personnelles mais pas seulement.

 

En effet, s’il n’existe pas encore de cadre juridique spécifique applicable aux objets connectés, un tel dispositif pourrait être proposé par Bruxelles pour faciliter le développement d’un « marché intérieur » de l’internet des objets. La Commission européenne l’a dit à plusieurs reprises, le G29 qui regroupe les autorités de protection des données également. Ces travaux préparatoires doivent donc être anticipés dès aujourd’hui par les professionnels de l’internet des objets pour aboutir à une sécurité juridique renforcée, vis-à-vis de leurs produits comme des données qu’ils génèrent.

Internet of Things and privacy: which European Union regulatory guidance?

Smart home, connected car, smart city, e-health ... the scope of the Internet of Things (IoT) is increasingly growing and could lead to a so-called “third internet” revolution, partly linked to the increasing volume of data uploaded. By 2020, the number of connected objects is an estimated between 20 and 50 billion, with an impact on the world economy between 2,000 and 5,000 billion per year. The spread of the Internet of Things today raises many technical issues (5G initiatives in Europe and the United States, network management costs, implementation of complex value chains) and many challenges in terms of protection of privacy, confidentiality, cyber security or regarding to the supervision of the generated and collected personal data.

While these technologies operate without boundaries and are designed mostly with global ambition, their deployment can not ignore the requirements of the European Union with regard to the right to the protection of personal data, right enshrined in Article 16 of the Treaty on the functioning of the European Union (TFEU) and the Charter of fundamental rights.

There is currently no specific legislation applicable to IoT at European level but its fundamentals and principles are being subject to thorough discussion in Brussels. And the adoption of the "data protection" package could give new impetus to these debates.

Indeed, the future of the Internet of Things - with the exponential growth of the mass of data generated, collected, stored and possibly processed or transferred - is an issue that the EU can’t ignore. First to achieve the development of this sector (in terms of safety or reliability) but also to provide it with strong guarantees.

Are the provisions of a specific framework necessary to the IoT or could the existing rules be sufficient?

If there is no consensus regarding the added value that a specific European legislation may bring, there is a discussion committed to the framework or principles that should regulate the IoT.

Thus, a first contribution was made by the Article 29 Group (established by Directive 95/46 and said WP29). The WP29 issued an opinion in September 2014 on the Internet of Things, to contribute to a uniform application of existing EU framework with practical recommendations.

The WP29 has immediately pointed out that uncontrolled developments of the Internet of Things could lead to illegal forms of surveillance contrary to the European Union law. The WP identified six types of risk:

- Lack of control and information asymmetry flows;

- Quality of the user’s consent;

- The potential uses of the "raw data” transmitted and their use for purposes unrelated to their original collection (secondary uses);

- Risk profiling and privacy monitoring with the proliferation of sensors;

- Limitations on the possibility to remain anonymous when using services;

- Security with the need to ensure at all steps of the development of these tools, confidentiality, integrity and maximum safety criteria;

The WP29 also underlined the obligations of stakeholders of the Internet of Things, in the legal framework provided for by Directive 95/46 and Directive 2002/58 ("e-privacy") when applicable, namely: conditions of consent, legal basis of data processing, fair and proportionate collection of data, specific processing for sensitive data, requirements for transparency and security of processing. For example, the WP29 recalled the requirement for explicit consent regarding sensitive data and especially health data.

In its provisional findings, the WP29 requested:

- The systematic use of impact assessments;

- The deletion of unused collected data;

- The possibility for "users" to control their data and the use made of it (beyond the information that must be given to them);

- The limitation of the possibilities to locate or identify an individual continuously.

Secondly, the European Parliament issued a working document in September 2015[1], during the negotiation of the “data protection package”. The document dedicated to Big Data  had quite an offensive stance by recalling that the regulation of “IoT” should respect the fundamental right to personal data protection guaranteed by the Charter of fundamental rights.

It also included the conclusions of the WP29 Opinion to strengthen the effective control of users over their personal data, improve the quality of consent when collecting data and ensure a high level of protection of personal data when data are transferred to third parties outside the European Union –which is a constant concern of the European Parliament.

Lastly, the adoption of the "data protection" package (regulation plus directive) on April 2016 led to a new framework for the Internet of Things.

Even though it does not include specific provisions in this field, the regulation contains some recommendations of the G29, notably enshrining the principles of privacy-by-design (protection of privacy by design of the object) and privacy -by-default (protection of privacy by default), providing a toolbox for compliance or increasing the level of sanctions (eg in the situation of security breaches). The new provisions strengthening privacy (right to forget or to data portability) are also heading in the direction of greater information towards users from digital companies.

The regulation which will be applicable by May 2018, will be one of the regulatory basis of the Internet of Things and will provide a legal ground for any future consideration of more specific provisions.

The major players of the “IoT” will also be interested in by the revision of the e-privacy Directive.

The European Commission has launched a public consultation on the text until the 5th of July, with three issues:

- how to ensure consistency between this directive and the data protection package (eg on reporting data breaches)?

- Should the rules of the E-privacy Directive be modified, regarding new technological innovations and new players emerging in the field of electronic communications?

- How to strengthen the security and confidentiality of communications across the European Union?

Although the Commission has not yet reported on the provisions of the directive worth to be re-considered, the challenge is considerable for operators and players in the telecommunications sector since the revised directive will be -with the "data protection" regulation- a new regulatory scheme to the “IoT” field.

When these legislative projects will be passed, what shall be the added value of any new European legislation? And why should the European Commission propose one?

The European Commission has already raised some concerns[2] and reported problems such as fragmentation between national industrial policies, lack of interoperability standards or legal uncertainty of the transfers of datas outside the European Union.

The Commission knows it will be hard to advocate for specific legislation in the field of IoT. This is also the position of a majority of players in the sector including the AIOTI (Internet of Things Alliance for Innovation) who fear a regulation that would not be "technology neutral" and would freeze the extremely rapid evolution of this sector. This was often often said during the negotiation of the "data protection package".

 

[1] http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf

[2]  Working document – Advancing the Internet of Things in Europe. 19 avril 2016 SWD(2016)110/2

L’Union européenne doit-elle réglementer l’Internet des objets ?

Maison intelligente, voiture connectée, smart city, e-santé… les domaines d’application de l’internet des objets (IoT) ne cessent de croître et constituent selon certains une troisième révolution de l’internet[1] en partie liée à l’accroissement du volume de données mises en ligne. A l’horizon 2020, le nombre d’objets connectés est estimé entre 20 et 50 milliards, avec un impact sur l’économie mondiale compris entre 2.000 et 5.000 milliards d’euros par an. Le déploiement de l’internet des objets soulève aujourd’hui de nombreuses questions techniques (initiatives 5G en Europe et aux Etats-Unis, coûts de gestion des réseaux, mise en place de chaînes de valeurs complexes). Il suscite aussi de nombreux défis en terme de protection de la vie privée, de confidentialité, de cyber-sécurité ou encore d’encadrement des données personnelles générées et collectées.

Alors que ces technologies ne connaissent pas de frontière et sont conçues le plus souvent avec une ambition globale, leur déploiement ne peut ignorer les exigences de l’Union européenne au regard du droit à la protection des données personnelles, droit consacré par l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) et par la charte des droits fondamentaux.

Si l’IoT ne connaît pas encore de dispositif législatif spécifique à l’échelle de l’Europe, une réflexion s’est engagée en son sein depuis plusieurs années quant aux fondamentaux et aux principes qui pourraient être dégagés. Et l’adoption du paquet « protection des données » pourrait donner un nouvel élan à ces débats.

En effet, l’avenir de l’Internet des Objets et la croissance exponentielle de la masse des données générées, collectées, stockées et éventuellement traitées ou transférées constitue un sujet que l’Union européenne ne peut laisser de côté.

D’abord pour garantir le développement de ce secteur (en termes de sécurité ou de fiabilité) mais aussi pour lui apporter des garanties fortes.

Faut-il pour autant un cadre spécifique ou les règles existantes sont-elles suffisantes ?

S’il n’y a pas de consensus quant à la plus-value qu’apporterait une législation européenne spécifique, la réflexion est néanmoins engagée quant au cadre ou aux principes qui devraient tout de même encadrer l’IoT.

Ainsi, une première contribution a été apportée par le groupe article 29 (institué par la directive 95/46 et dit G29). Ce dernier a adopté en septembre 2014 un avis[2] sur l’internet des objets, pour contribuer à une application uniforme du cadre européen existant, assorti de recommandations pratiques ciblées selon les différents acteurs.

Le G29 a d’emblée pointé que des développements incontrôlés de l’internet des objets pourraient conduire à des formes de surveillance illégales contraires au droit de l’Union européenne. Il a identifié 6 types de risques posés par ces objets :

  • le manque de contrôle comme le caractère asymétrique des flux d’informations ;

  • la qualité du consentement par l’usager ;

  • les usages potentiels des données « brutes » transmises et leur utilisation à des fins sans lien avec leur collecte originelle ;

  • les risques de profilage et de surveillance de la vie privée avec la multiplication des capteurs ;

  • les limitations à la possibilité de demeurer anonyme lors de l’utilisation de certains services ;

  • la sécurité, avec la nécessité de veiller à toutes les étapes du développement de ces outils à des critères de confidentialité, d’intégrité et de sécurité maximales

Le G29 soulignait aussi les obligations pesant sur les parties prenantes de l’Internet des objets, dans les cadres prévus par la directive 95/46 et la directive 2002/58 (« e-privacy ») lorsqu’elles trouvent à s’appliquer, à savoir : conditions du consentement, base légale du traitement de données, collecte loyale et proportionnée des données, traitement spécifique des données sensibles, exigences en terme de transparence et sécurité des traitements. A titre d’exemple, le G29 rappelait l’exigence d’un consentement explicite pour les données sensibles et plus particulièrement les données de santé.

Dans ses conclusions provisoires, le G29 a demandé :

  • le recours systématique à des études d’impact ;

  • la suppression des données non utilisées et collectées ;

  • la possibilité pour les « utilisateurs » de contrôler leurs données et l’usage qui en est fait (au-delà de l’information qui doit leur être apportée) ;

  • la limitation des possibilités de localiser ou d’identifier en continu une personne.

En second lieu, un document de travail du Parlement européen[3] de septembre 2015 consacré au Big Data et intervenu pendant la  négociation du paquet « protection des données » a fait état d’une position plus offensive, en rappelant d’abord que la règlementation de l’IoT devait respecter le droit fondamental à la protection des données personnelles garanti par la Charte des droits fondamentaux.

Cette étude a repris les exigences formulées par le G29 afin de renforcer le contrôle effectif des usagers sur leurs données personnelles, d’améliorer la qualité du consentement lors du recueil des données et de garantir un niveau élevé de protection de ces données lors de transferts à des tiers ou hors de l’Union européenne, sujet récurrent de préoccupation pour le Parlement européen.

Enfin, le règlement « protection des données » adopté le 14 avril 2016 a créé un nouveau cadre pour l’internet des objets.

Alors même qu’il ne comprend pas de dispositions spécifiques à ce domaine, le règlement reprend certaines préconisations du G29, notamment en consacrant les principes de privacy-by-design (protection de la vie privée dès la conception de l’objet) et privacy-by-default (protection de la vie privée par défaut), en apportant une boite à outils en matière de conformité ou en renforçant le niveau des sanctions (par exemple dans le cas des failles de sécurité). Les nouvelles dispositions renforçant la vie privée (droit à l’oubli ou à la portabilité des données) vont également dans le sens d’une plus grande information des usagers vis-à-vis des acteurs du numérique.

Ce règlement qui sera applicable en avril 2018 constituera l’une des bases de la règlementation de l’internet des objets et fournira la base de toute réflexion future sur des dispositions plus spécifiques.

Le chantier de la révision de la directive vie privée intéressera aussi les acteurs de l’IoT.

La Commission européenne a ouvert une consultation publique sur ce texte jusqu’au 5 juillet prochain, avec trois objectifs :

  • assurer la cohérence entre cette directive et le paquet protection des données (par exemple sur la notification des failles de sécurité) ;

  • modifier le cas échéant les règles de la directive au vu des innovations technologiques et des nouveaux acteurs émergeant dans le domaine des communications électroniques ;

  • renforcer la sécurité et la confidentialité des communications à travers l’Union européenne.

Même si la Commission n’a pas encore communiqué sur les dispositions du texte qu’elle souhaite réviser, cette consultation est importante et l’enjeu est de taille pour les opérateurs et les acteurs du secteur des télécommunications puisque le futur texte constituera avec le règlement « protection des données » un socle règlementaire révisé pour l’internet des objets.

Lorsque ces chantiers législatifs seront terminés, quels pourront être les arguments de la Commission européenne pour proposer une –éventuelle- législation spécifique ?

Cette dernière a déjà évoqué quelques préoccupations et signalé des difficultés comme la fragmentation entre les politiques industrielles nationales, le risque de moindre inter-opérabilité des standards[4] ou encore l’insécurité juridique des transferts hors Union Européenne des données personnelles collectées dans le cadre de l’IoT.

La Commission sait qu’il sera difficile de militer en faveur d’une législation spécifique à l’internet des objets. C’est en effet la position d’une majorité d’acteurs du secteur et notamment de l’AIOTI (Alliance for Internet of Things Innovation[5]) qui redoutent une règlementation qui ne serait pas « technologiquement neutre » et qui figerait l’évolution extrêmement rapide de ce secteur, argument largement recevable et qui avait été souvent repris lors de la négociation du « paquet protection des données ».

Le message de la Commission européenne est néanmoins clair, selon nous. Aujourd’hui c’est aux opérateurs de renforcer la sécurité de l’IoT de façon générale. En l’absence d’initiatives concrètes et effectives, notamment dans le domaine de la protection des données personnelles, elle interviendra pour fixer les règles du jeu, au besoin en s’appuyant sur le Parlement européen.

 

[1] L’internet des objets (page 156) in La protection des données personnelles. Guillaume Desgens-Pasanau. Lexis Nexis, décembre 2015

[2] Avis du groupe de l’article 29 numéro 8/2014 sur les récents développements de l’internet des objets. 16 septembre 2014.

[3] http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf

[4] Document de travail de la Commission européenne – Advancing the Internet of Things in Europe. 19 avril 2016 SWD(2016)110/2

[5] Rapport de l’AIOTI – WG Policy du 15 octobre 2015

Suivez nous sur les réseaux sociaux

Follow us on social networks

// Aseptio