Internet est en train de se propager à des milliards d’objets, en plus des presque
2,5 milliards d’humains qui y ont accès à ce jour. Mais cette réalité augmentée
– hyper-connectée – ne va pas sans présenter de risques pour les libertés fondamentales. La question d’une régulation se pose.

Par Rémy Fekete, avocat associé, Gide Loyrette Nouel

Qui a fait référence à Internet des objets en parlant de “la première vraie révolution technologique du XXIe siècle” ? Jean-Luc Beylat, président d’Alcatel-Lucent Bell Labs France. Plus prosaïquement, il s’agit d’un « réseau de réseaux qui permet, via des systèmes d’identification électronique normalisés et unifiés, et des dispositifs mobiles sans fil, d’identifier directement et sans ambiguïté des entités numériques et des objets physiques, et ainsi de pouvoir récupérer, stocker, transférer et traiter, sans discontinuité entre les mondes physiques et virtuels, les données s’y rattachant » (1).

NFC, SIM, RFID, … Quels risques ?
Cet Internet élargi permet aux objets d’échanger des données sur un réseau au moyen
de différentes technologies : les NFC (2), étiquettes électroniques sans contact équipant notamment les pass Navigo, les cartes SIM (3) implantées de manière croissante au
sein même des machinesoutils, mais surtout les puces RFID (4), ces étiquettes à radiofréquences appelées à remplacer les code-barres. Cet Internet ubiquitaire au large potentiel industriel et économique concerne d’innombrables secteurs (comme la santé, l’environnement, la traçabilité alimentaire, le transport (5), l’énergie). L’IoT (Internet of Things) vise à rendre plus réactifs aux besoins des utilisateurs les objets qui seront amenés à communiquer entre eux.
Pour autant, l’Internet des objets présente un risque d’atteinte potentielle à la vie privée
et à la protection des données personnelles. Dès 2008, l’Organisation de coopération
et de développement économiques (OCDE) considérait que « la création d’un Internet
des objets, le développement et la diffusion ubiquitaire des technologies basées sur les capteurs, vont à terme brouiller les frontières entre monde virtuel et monde physique et pourraient modifier la nature même de la vie privée » (6). Pour Eric Schmidt, président de Google, « si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire » ! (7).
Le gouvernement français et la Commission européenne ont renforcé la défense des libertés fondamentales. A la suite du séminaire gouvernemental sur le numérique du
28 février 2013, la France a établi une feuille de route, dont la mesure n°13 porte sur la
loi sur la protection des droits et libertés numériques qui sera présentée au Parlement début 2014. A l’occasion de la conférence LeWeb’12 sur le thème de l’Internet des objets, organisée à Paris en décembre dernier, le Premier ministre Jean-Marc Ayrault avait réuni plusieurs dirigeants du Net à Matignon pour évoquer avec eux sa volonté de faire de Paris une capitale du numérique. Quant à la ministre déléguée à l’Innovation et à l’Economie numérique, Fleur Pellerin, elle relance le projet d’une Silicon Valley à la française. L’Europe, elle, a mis en place en juin 2009 (8) un plan d’action pour l’Internet des objets, décliné en 14 lignes d’action, parmi lesquelles la nécessité d’un suivi du contenu des questions relatives à la vie privée et à la protection des données personnelles.

Etendre les pouvoirs de la Cnil
Les données générées par ces objets connectés pourraient potentiellement permettre,
à qui y parviendrait, d’établir des profils particulièrement détaillés de leurs utilisateurs. Or, désireuse d’éviter une traçabilité permanente dans un environnement « hyper connecté », la Commission européenne a lancé entre avril et juillet 2012 une consultation publique sur l’Internet des objets afin de réfléchir au cadre réglementaire nécessaire, en particulier en vue d’assurer le respect de la confidentialité des données. Une recommandation sur le sujet sera présentée cet été.
Les objets communicants devenant intelligents, la collecte des données des utilisateurs pourrait être automatique. Quels seraient les modes d’accord préalable à la collecte ? Qu’adviendra-t-il du traitement de ces données et de leur conservation ? Des aménagement des pouvoirs de la Commission nationale de l’informatique et des libertés (Cnil) pourraient s’avérer nécessaires si les données collectées par ces objets connectés sont considérées comme des identifiants assimilables à des données personnelles au sens de la loi Informatique et Libertés (9). Les droits d’accès, de rectification et d’opposition à la collecte des données devront également être adaptés aux spécificités des objets connectés, afin de trouver un équilibre entre l’inévitable et souhaitable innovation technologique et le respect des droits essentiels de la personne humaine.

Captation illicite : infraction pénale ?
Défendu par la Commission européenne lors de la conférence ministérielle du Conseil de l’Union européenne d’octobre 2008 à Nice, le « droit au silence des puces » permettrait aux utilisateurs d’objets communicants de déconnecter les puces de leur environnement réseau, par une démarche active, à tout moment, sur le principe de l’opt out, rendant la puce inactive.
L’émergence de ce droit nouveau permettrait de lutter contre le phénomène de captation involontaire d’informations par les puces. Aux Etats- Unis, cette captation – dénommée
« skimming » est considérée comme un délit à part entière. Mesure de lutte qu’il serait sans doute opportun de compléter par la reconnaissance, au rang d’infraction pénale,
de l’action consistant à placer des puces dans les objets amenés à être connectés,
sans information préalable des individus concernés.
Autant dire qu’il y a des défis technico-sécuritaires à relever. Le principe de l’Internet des objets consiste à ce que chaque objet soit, à terme, associé à un identifiant unique, lisible et transmissible via un protocole sur le réseau Internet. La rareté des adresses IP disponibles constitue un défi technique, le protocole IPv4 arrivant à saturation et n’étant pas en mesure de supporter la connexion à venir de milliards d’objets. Or ces derniers seront immanquablement amenés à générer en masse des données qui alimenteront le Big Data, lequel – vidéo aidant – se mesurera en Terabits, Petabits, Zettabits, voire en Yottabits ! Actuellement, seulement 1 % des objets sont connectés, la Commission européenne (10) prévoyant 25 milliards d’objets connectés dans le monde en 2015 et
50 milliards en 2020. La migration vers le protocole IPv6, déjà encouragée par Viviane Reding dès la conférence ministérielle d’octobre 2008, devrait s’accélérer.
En second lieu, l’Internet des objets nécessitera la mise en place d’un service de nommage – dénommé ONS (Object Name Service) – calqué sur le modèle du DNS (Domain Name System). Selon le souhait exprimé par la Commission européenne dans sa communication « L’Internet des objets – Un plan d’action pour l’Europe » du 18 juin 2009. Enfin, l’Internet des objets nécessite un effort de sécurisation accru des points d’accès, alors que les accès Wifi sont pour l’instant particulièrement vulnérables. Il sera utile que les règles de sécurité relatives à l’Internet des objets soient définies en amont
du processus de création des puces RFID, des systèmes de cryptage pouvant devenir nécessaires, notamment pour les puces contenant des informations particulièrement sensibles (comme les objets connectés traitant des données de santé).
Certains experts – notamment Vinton Cerf, le concepteur du protocole TCP/IP, actuellement en poste chez Google – considèrent inquiétante l’absence de systèmes d’authentification efficaces sur les réseaux, alors que de nouveaux risques liés à la cybercriminalité sont susceptibles d’apparaître, comme l’usurpation d’identité non plus
de l’homme, mais de l’objet : des utilisateurs malveillants pourraient, par exemple, chercher à induire les machines en erreur afin de les amener à divulguer des informations confidentielles.

Pour un statut juridique de l’objet
L’objet ne dispose pour l’instant d’aucun statut juridique, mais l’émergence de l’Internet des objets devrait amener à de profonds bouleversements, en portant les objets connectés à sortir de leur “passivité” et suggérer à l’utilisateur des actions en fonction
de ses habitudes, devenant ainsi de véritables acteurs d’aide à la décision. Munis d’une intelligence artificielle, capables de réagir à des événements préprogrammés, ces objets “intelligents” devraient pouvoir être dotés d’un statut ad hoc qui, sans leur conférer une quelconque capacité juridique, pourrait faire évoluer le principe selon lequel l’être humain est en toutes circonstances responsable des objets qu’il a sous sa garde (11). @