Data Act et AI Act, ou l’art de ménager la chèvre (innovation) et le chou (droits individuels)

Le Data Act et l’AI Act ont un objectif commun : tirer profit des opportunités offertes par les données, qu’elles soient issues d’objets connectés pour le premier, ou de modèles d’intelligence artificielle pour le second, tout en protégeant les droits des individus contre les dérives.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Les premiers mois de l’année 2024 ont été marqués par des développements substantiels sur le plan réglementaire concernant les données en Europe, développements à la lumière desquels le règlement général sur la protection des données (RGPD) est pensé de manière dynamique. Avec deux autres règlements que sont le Data Act (déjà en vigueur) et le AI Act (toujours en cours d’examen), l’Union européenne (UE) tente de préserver cet élan innovateur tout en assurant une protection efficace des droits individuels.

Socle solide de règles sur les données
Adoption du Data Act :
le 11 janvier 2024, le Conseil de l’UE a adopté le règlement portant sur des règles harmonisées en matière d’accès et d’utilisation équitables des données. Le texte vise à « relever les défis et à libérer les opportunités offertes par les données dans l’[UE], en mettant l’accent sur l’accès équitable et les droits des utilisateurs, tout en assurant la protection des données à caractère personnel » (1). Il s’inscrit dans une stratégie européenne pour les données afin de créer un marché unique des données garantissant la compétitivité et la souveraineté de l’Europe.
Projet d’AI Act : le 2 février 2024, le Conseil de l’UE a adopté à l’unanimité la proposition de règlement du Parlement européen et du Conseil de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, texte pour lequel un accord avait été trouvé dès décembre 2023 (2). Ce texte est pour le moment d’une ambition unique au monde. Le Data Act et prochainement l’AI Act prendront donc place aux côtés du Digital Services Act (entré en vigueur le 25 août 2023 dans le but de responsabiliser les plateformes numériques et de lutter contre la diffusion de contenus illicites ou préjudiciables ou de produits illégaux), du Digital Markets Act (entré en vigueur le 2 mai 2023 et visant à mieux encadrer les activités économiques des grandes plateformes numériques) et du RGPD (entré en application le 25 mai 2018 dans le but de protéger les droits des personnes concernées par un traitement de leurs données personnelles).
A eux cinq, ces règlements européens forment les principaux piliers de la régulation des plateformes et données en Europe. Un sixième texte, le Digital Governance Act, entré en vigueur le 23 juin 2022, concerne également les données, en traitant principalement du secteur public. Il s’agit de réglementer par-delà les frontières en s’appliquant aussi à l’international. Cette réglementation, devenue cruciale pour rechercher un usage éthique, transparent et équitable des données traitées massivement, demeurera exceptionnelle en ce qu’elle s’érige à un échelon européen et transnational capable d’atteindre des entreprises de toutes tailles, y compris les plus grandes, installées hors d’Europe. L’article 3 du Data Act prévoit que le règlement s’applique dès qu’un produit connecté ou un service connexe est mis à disposition sur le territoire de l’UE et/ou qu’un utilisateur ou destinataire de données sont situés dans les Vingt-sept. Et ce, quel que soit le lieu d’établissement du détenteur de données ou du fournisseur de services de traitement de données.
De la même manière, l’article 2 de l’AI Act prévoit que le règlement s’appliquera dès qu’un système d’IA sera mis sur le marché de l’UE ou qu’un utilisateur de système d’IA est établi ou est localisé sur le territoire des Vingt-sept, ou encore que le contenu généré par l’IA est utilisé au sein de l’UE. Le but est de ne pas favoriser les acteurs non européens au détriment des entreprises locales. Il s’agit donc, comme pour le RGPD, d’assurer une protection efficace des citoyens européens sans entraver la compétitivité des entreprises européennes. Les textes cherchent aussi à ne pas décourager les entreprises européennes à innover, en ayant notamment pour effet d’imposer de manière extraterritoriale, même aux plus grandes entreprises internationales, des obligations. Les Gafam ont mis en avant les risques liés notamment au AI Act, la mise en conformité entraînant des coûts importants.

Transparence et secret des affaires : équilibre
Un enjeu du Data Act et de l’AI Act est de trouver un équilibre entre la transparence dans le traitement des données et la préservation du secret des affaires, afin de ne pas freiner l’innovation :
• Le Data Act : la maîtrise par l’utilisateur de ses données limitée par le secret des affaires. L’article 3 du Data Act prévoit l’obligation pour les entreprises concevant et fabriquant des objets connectés et des services connexes de rendre, par défaut, les données et métadonnées générées par ces objets et/ou services connexes facilement accessibles à l’utilisateur, voire lorsque cela est « pertinent et techniquement possible » directement accessibles à l’utilisateur par une simple demande électronique. A ce sujet, l’article 3.2 du Data Act prévoit qu’un certain nombre d’informations précontractuelles doivent être délivrées par le vendeur, le loueur ou le bailleur d’objets connectés « de manière claire et compréhensible ». Ces informations sont notamment relatives au type, format et volume estimé de données générées par l’objet en question ou encore à la capacité de l’objet de générer des données en continu et en temps réel (3). Aussi, l’article 5 du Data Act prévoit le droit pour l’utilisateur de partager des données avec des tiers.

Les obligations du détenteur de données
Cependant, afin d’assurer la compétitivité des entreprises en Europe, le texte prévoit, que ce soit au sujet du droit d’accès ou du droit de partage des données par l’utilisateur à des tiers, le respect du secret des affaires par lequel seraient protégées certaines données. Le détenteur de la donnée a ainsi l’obligation de recenser les données ou métadonnées protégées en tant que secret des affaires et de mettre en place des « mesures techniques et organisationnelles proportionnées » nécessaires à la préservation de la confidentialité des données partagées. Le texte prévoit notamment la possibilité d’élaboration de clauses de confidentialité entre le détenteur de données et l’utilisateur et/ou le tiers, ou encore l’adoption de « codes de conduite ».
A défaut d’accord ou si l’utilisateur ou le tiers contrevient aux mesures convenues avec le détenteur du secret des affaires, le détenteur de données peut bloquer ou suspendre le partage des données confidentielles. Il devra alors avertir l’utilisateur ou le tiers concerné et le notifier à l’autorité compétente. De surcroît, même si l’utilisateur ou le tiers respecte les mesures convenues avec le détenteur de données, ce dernier peut démontrer « qu’il est très probable qu’il subisse un préjudice économique grave du fait de la divulgation de secrets d’affaires » et ainsi refuser une demande d’accès pour les données en question en avertissant et en expliquant les raisons précises de sa décision et en le notifiant à l’autorité compétente. La décision du détenteur de données est toutefois susceptible de recours par l’utilisateur ou le tiers devant une juridiction d’un Etat membre et peut aussi être l’objet d’une réclamation auprès de l’autorité compétente. Enfin, l’utilisateur ou le tiers ont l’interdiction de se servir des données obtenues pour concurrencer le produit connecté en question.
L’AI Act : la « synthèse suffisamment détaillée » des données d’entraînement au cœur des interrogations. L’AI Act réalisera en substance le même compromis que le Data Act en ce qui concerne les données d’entraînement qui sont utilisées par les IA pour générer du contenu (4). En effet, le texte prévoit que les fournisseurs d’IA à usage général devront prendre des mesures pour respecter le droit d’auteur, en particulier le droit d’opposition des ayants droit, peu importe la juridiction où l’entraînement a lieu. Ces mêmes fournisseurs devront également, afin d’accroître la transparence sur les données d’entrainement, publier une « synthèse suffisamment détaillée » de ces données. Cette synthèse devra être globalement exhaustive dans sa portée plutôt que techniquement détaillée afin de faciliter aux parties ayant des intérêts légitimes, notamment les ayants-droits, l’exercice de leurs droits. Le texte donne simplement de vagues exemples d’informations fournies au titre de la synthèse détaillée, comme l’énumération des principales collections de données ou les ensembles utilisés pour former le modèle. Les fournisseurs de modèles d’IA gratuits et open source seront exemptés de cette obligation sauf s’ils présent un risque systémique, afin d’inciter leur développement dans la mesure où ils contribuent à la recherche à l’innovation sur le marché et peuvent être des sources de croissance importante pour l’économie de l’UE. Le « Bureau de l’IA » – « AI Office » tel que prévu dans la version consolidée de l’AI Act (5) datée du 21 janvier (6) – devrait entrer en vigueur le 21 février 2024 (7). Il fournira des modèles de synthèses à destination des fournisseurs d’IA concernés et veillera au respect de ces dispositions. La Commission européenne a d’ailleurs, dans une déclaration (8) publiée après l’adoption du texte, réaffirmé le rôle primordial du Bureau de l’IA dans la nouvelle réglementation et dans lequel la France a bien l’intention d’être représentée afin de faire entendre sa voix (9).
Cependant, afin de préserver l’innovation d’une règlementation trop encombrante, l’AI Act prévoit que les rédacteurs de cette synthèse suffisamment détaillée devront prendre en considération le besoin de protéger le secret des affaires et les informations confidentielles. Attention toutefois, à la différence du Data Act, cette mention figure dans les considérants et non pas dans le corps du texte du règlement.
Le Data Act a été pensé pour favoriser l’accès par les petites et moyennes entreprises (PME) à des données pertinentes et leur permettre ainsi d’innover et de rivaliser face à de grandes entreprises qui possèdent déjà une puissance économique considérable sur le marché. C’est précisément pour cette raison que le texte a exclu les entreprises désignées en tant que « contrôleur d’accès » au sens de l’article 3 du DMA (10) du bénéfice de la désignation en tant que « tiers »au sens du Data Act et donc de l’accès aux données issues d’objets connectés et services connexes par le biais du droit de partage de l’utilisateur.

Ménager les PME, éviter les monopoles
Concernant l’AI Act, la Commission européenne a lancé le 24 janvier 2024 des mesures visant à soutenir les jeunes pousses et les PME européennes dans le développement de l’IA (11). Cette volonté se retrouve donc logiquement dans le texte de l’AI Act dont les rédacteurs ont souhaité accélérer l’accès au marché pour les PME en éliminant les obstacles. Le texte entend ainsi permettre des moyens simplifiés de conformité pour les entreprises de plus petite taille et éviter un monopole des plus grandes entreprises dotées d’une grande force de frappe, comme OpenAI. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des médias et des technologies

Le nombre d’objets connectés à un réseau mobile (cartes MtoM) franchit la barre des 20 millions

Pour la première fois, l’Internet des objets (IoT) en France dépasse les 20 millions de cartes SIM connectées à un réseau mobile (Bouygues Telecom, Free, Orange ou SFR). La croissance annuelle à deux chiffres montre le dynamisme de ce marché des objets intelligents que convoitent aussi les GAFA.

Depuis près de trois ans, la croissance annuelle des cartes SIM dites MtoM (Machine-to-Machine) est égale ou supérieure en France à 3 millions d’unités supplémentaires : plus ou moins 20 % par an. Rien qu’au troisième trimestre 2019, malgré un ralentissement de la croissance, la hausse sur an a été d’un peu plus de 3 millions d’objets connectés de plus à un réseau mobile – pour atteindre un parc total de 20,3 millions au 30 septembre dernier. C’est ce que montrent les nouveaux chiffres des services mobiles que l’Arcep a publiés le 7 novembre (voir tableau ci-dessous).

Relais de croissance pour les opérateurs
Les objets connectés aux réseaux mobiles constituent un nouvel Internet qui rend intelligents toutes sortes d’appareils, le plus souvent à usages professionnels mais aussi et de plus en plus à utilisation grand public. « Les communications provenant de ces cartes sont généralement réalisées sans intervention humaine. Ces cartes sont par exemple utilisées pour le traçage des objets et outils de travail (flottes de véhicules, machines, …), à des fins d’actualisation de données (relevés à distance de compteurs, de capteurs, …), d’identification et de surveillance de tous ordres (alarmes, interventions à distance, …) », indique l’Arcep dans son observatoire des services mobiles. Cela peut aussi concerner des caméras de surveillance, des matériels communicants, voire des terminaux en tous genres. Les villes intelligentes (Smart Cities) et transports connectés ont de plus en plus recours à des cartes SIM pour certains objets connectés. Les quatre principaux opérateurs mobiles français – Bouygues Telecom, Free, Orange ou SFR – commercialisent les cartes MtoM essentiellement auprès d’une clientèle professionnelle.
En 2018, le chiffre d’affaires généré par ces cartes SIM dédiés aux objets connectés s’est élevé à 125 millions d’euros pour un revenu mensuel moyen par carte MtoM de 0,6 euro HT. La croissance annuelle de ces revenus est significative : + 10 %. Ce qui, selon les calculs de Edition Multimédi@, devrait porter ce segment de marché français à 137,5 millions d’euros cette année. Les opérateurs télécoms voient donc dans ce que les Anglo-saxons appellent l’IoT (Internet of Things) un relais de croissance, alors que la croissance de leur marché mobile global tend à ralentir. Le taux de pénétration des cartes SIM en France est actuellement de 113 %, ce qui laisse suggérer que la maturité du marché mobile se le dispute à la saturation. Certains modèles de montres connectées peuvent accueillir une carte SIM (Apple Watch, Samsung Gear, LG Urbane, …). Pour autant, les cartes SIM pour des communications MtoM sont loin de représenter la totalité du marché des objets connectés. Car il n’y a pas que les fréquences mobiles (3G et 4G) pour les faire tous communiquer. D’autres objets connectés, notamment ceux liés à la domotique, peuvent se contenter d’une connexion Wifi fournie par la « box » de la maison. C’est le cas aussi des enceintes connectées à assistant vocal. En mobilité, la technologie sans fil Bluetooth peut aussi faire l’affaire lorsqu’il s’agit de connecter une montre intelligente (smartwatch) ou un bracelet de santé (activity bracelets) à un smartphone doté de l’application correspondante. Bien plus que les seules cartes MtoM encore très orientées vers les professionnels et les industriels, le vaste marché des « wearables » grand public (montres connectées, trackers/moniteurs d’activité, bracelets de santé, etc) attise les convoitises. Le 1er novembre dernier, Google a annoncé le rachat de Fitbit, l’un des leaders et pionniers mondiaux des objets connectés consacrés au fitness. La transaction de 2,1 milliards de dollars doit être finalisée en 2020. Selon le cabinet d’études IDC, le marché mondial des objets connectés est dominé par le chinois Xiaomi, suivi par Apple (numéro un mondial sur les seules montres connectées), Huawei, Fitbit et Samsung. @

Charles de Laubier

Dégrouper la « box » des opérateurs aux Etats-Unis : idée transposable aux objets connectés en Europe

Le régulateur américain des communications, la FCC, s’apprête à changer
de président pour être « Trump » compatible. Du coup, ses propositions de dégrouper les set-top-boxes des câblo-opérateurs risquent d’être enterrées
avant d’avoir existé. Pourtant, elles méritent réflexion – y compris en Europe.

Par Winston Maxwell*, avocat associé, Hogan Lovells

La prise de fonctions le 20 janvier 2017 du nouveau président des Etats-Unis, Donald Trump, sera suivie de la démission du président actuel de la FCC (1), Tom Wheeler. Le successeur
de ce dernier, issu du Parti républicain, sera nommé pour le remplacer. Le départ de Tom Wheeler (2) signifie l’abandon probable de l’idée de dégrouper le décodeur des câblo-opérateurs américains. Cette idée, qui a fait l’objet d’une proposition adoptée par la FCC le 28 février dernier, mérite néanmoins notre attention car elle illustre les enjeux liés à la télévision connectée et plus généralement au partage de données collectées dans le cadre des objets connectés.

Des set-top-boxes peu performantes
D’abord examinons la notion de « dégroupage » d’un décodeur, appelé aux Etats-Unis set-top-box. Les services de transmission d’un câblo-opérateur se divisent en deux
« tuyaux » logiquement distincts. Le premier tuyau consiste en la transmission de programmes utilisant de la bande passante réservée à cet effet. Il s’agit de services de transmission gérés de bout en bout par le câblo-opérateur. Le deuxième tuyau consiste en la fourniture d’un service d’accès à Internet. Cette deuxième partie du service est ouverte et soumise aux règles sur la neutralité de l’Internet. Pour accéder à l’offre télévisuelle sur la partie gérée du service, le téléspectateur doit utiliser un décodeur fourni par le câblo-opérateur. Aux États-Unis, la fourniture de cette « box » est payante, le téléspectateur s’acquittant d’un loyer mensuel. Selon la FCC, ce décodeur est non seulement cher, mais il est aussi peu performant, la technologie ayant peu évolué depuis une décennie. Les téléspectateurs américains semblent donc prisonniers d’une situation où le câblo-opérateur leur impose la location d’un décodeur peu performant. En 2015, la FCC, a lancé une première consultation publique pour mettre fin au monopole de fait qui existe en faveur des câblo-opérateurs pour la fourniture de leurs décodeurs. L’idée était de créer un marché dynamique où les développeurs indépendants pourraient proposer des fonctions qui aujourd’hui sont regroupées au sein du décodeur. Car cette « box » agrège plusieurs fonctions distinctes. La fonction
la plus basique consiste à transformer les signaux vidéo en images et sons lisibles par le téléviseur. Mais elle gère également l’accès aux programmes payants. Pour ce faire, elle a une fonction d’authentification et de gestion des conditions d’accès. Ces systèmes font régulièrement l’objet d’attaques par des pirates qui essayent de contourner le système afin d’organiser un marché noir d’accès aux programmes payants. C’est pour cette raison que les câblo-opérateurs et les ayant droits ne souhaitent pas que cette fonction soit séparée du décodeur, car l’existence d’un décodeur physique permet d’augmenter les mesures d’anti-piratage. Une autre fonction de la « box » est de fournir le guide électronique de programmes – Electronic Program Guide (EPG) – et de gérer les fonctions de recherches de programmes et de navigation. Les décodeurs actuels semblent archaïques comparé à l’interface d’une tablette ou d’un smartphone. C’est pour cette raison que la FCC a souhaité envisager de dégrouper les différentes fonctions du décodeur afin de permettre plus d’innovation et de choix au bénéfice du téléspectateur. La première proposition de la FCC aurait contraint les câblo-opérateurs à fournir des flux de données selon un standard ouvert, de manière à permettre à n’importe quel développeur d’intégrer ces fonctions dans différents types de terminaux. Ces fonctions pourraient être intégrées par exemple
dans le logiciel de navigation d’une tablette, ou d’une télévision connectée. La FCC
a rencontré une forte résistance de la part des câblo-opérateurs et des ayant droits. Dégrouper la fonction d’authentification et de gestion des conditions d’accès augmenterait le risque de piratage. La FCC a ainsi fait marche arrière et a proposé
une solution de compromis par laquelle le câblo-opérateur fournirait une application téléchargeable sur une tablette ou télévision connectée. Cette application resterait
sous le contrôle du câblo-opérateur permettant un niveau plus élevé de sécurité que
s’il s’agissait d’une application tierce.

Les enjeux de l’interface et des données
Mais la sécurité n’est pas le seul enjeu. La FCC souhaitait également ouvrir à la concurrence les fonctions du décodeur liées à l’interface avec les utilisateurs.
Cette proposition s’est également heurtée à une opposition des câblo-opérateurs
qui craignaient la perte de leurs relations commerciales avec leurs abonnés. L’enjeu était ici commercial. La maîtrise de l’interface de navigation permettrait à un prestataire tiers d’organiser la page d’accueil, d’apposer ses propres marques, et surtout de collecter des données sur les habitudes des téléspectateurs. Aux yeux des câblo-opérateurs, le décodeur reste un rempart contre la captation de la valeur des données par les grands prestataires d’Internet.

Dégroupage des objets connectés ?
A première vue, le dégroupage des « box » semble similaire à l’ouverture à la concurrence des téléphones dans les années 1990. Le dégroupage des téléphones a conduit à une vague d’innovation sans précédent, aux extrémités des réseaux. Cette innovation se perpétue encore aujourd’hui sur l’Internet, où il est possible d’« innover sans permission » – pour emprunter les termes de Yochai Benkler (3) – aux extrémités du réseau. Le droit d’innover aux extrémités du réseau est aujourd’hui garantie par la régulation sur la neutralité de l’Internet. Mais les règles sur la « Net Neutrality » ne s’appliquent pas aux services « gérés », comme la télévision accessible sur les « box ». S’agissant d’un opérateur de télécommunications bénéficiant d’un monopole juridique, imposer le dégroupage des terminaux en 1990 semblait logique. La question devient plus complexe lorsque l’opérateur en cause évolue dans un marché concurrentiel.
La proposition de la FCC fournit un exemple des complexités qui se transposent facilement à l’Internet des objets, où l’accès aux données est devenu un enjeu clé
pour l’innovation : compteurs électriques intelligents, maisons connectées, ou encore véhicules connectés. Obliger une entreprise privée à ouvrir à des tiers l’accès aux données de ses clients peut sembler à première vue attrayant pour encourager l’innovation. Mais vue de plus près, la question est complexe (4) et la notion
d’« innovation » incertaine (voir encadré ci-dessous), sans même parler de la protection des données à caractère personnel, un enjeu crucial. L’étude de l’Autorité de la concurrence (France) et de la Competition and Markets Authority (Grande-Bretagne) sur les écosystèmes et leurs effets sur la concurrence – analyse conjointe publiée en décembre 2014 (5) – montre que l’existence d’un écosystème fermé ne se traduit pas forcément par une diminution de la concurrence et de l’innovation. Chaque situation doit être examinée séparément. La même conclusion découle de l’étude récente conduite par la même Autorité de la concurrence avec cette fois la Bundeskartellamt (Allemagne) sur la collecte de données par les plateformes – analyse conjointe publiée en mai 2016 (6). Cette collecte de données ne conduit pas forcément à une diminution de l’innovation et de la concurrence.
La Commission européenne s’est exprimée le 10 janvier dernier sur le partage de données collectées dans le contexte des terminaux, compteurs ou encore véhicules connectés. Selon sa communication intitulée « Construire une économie européenne de la donnée » [« Building a European Data Economy », lire l’article pages 6 et 7, ndlr], la Commission européenne souligne la nécessité d’encourager le partage tout en respectant les négociations commerciales, la sécurité des systèmes, et l’investissement des entreprises ayant permis la production des données. Le débat sur le dégroupage des « box » et autres plateformes d’objets connectés promet de rester vif. @

* Winston Maxwell a eu l’occasion d’exposer la question du
dégroupage des « box » aux Etats-Unis au CSA Lab lancé
14 juin 2016, dont il est l’un des neuf membres experts,
ainsi qu’au Conseil d’Etat lors du colloque « Concurrence et
innovation à l’ère du numérique » le 9 décembre 2016.

ZOOM

Encourager l’innovation par la régulation, mais quelle « innovation » ?
Pour élaborer un système réglementaire qui favorise l’innovation, encore faut-il pouvoir la mesurer. Or, mesurer le niveau d’innovation est compliqué. Dans les années 1990, des recherches ont été faites aux Etats-Unis sur le lien entre la régulation sur la protection de l’environnement et l’innovation. A l’époque, certains disaient que la régulation favorisait l’innovation : cela s’appelait « l’hypothèse de Porter ». Valider cette hypothèse nécessite de se mettre d’accord sur ce que l’on entend par « innovation ».
Si l’on mesure l’innovation par les dépenses de recherches dédiées aux problèmes
de conformité (on parle de compliance innovation), alors, oui, la régulation conduit généralement à une augmentation de l’innovation. En revanche, si l’on mesure l’innovation par d’autres critères, par exemple le nombre de brevets déposés ou le nombre de start-up levant des fonds de capital risque, la réponse sera différente. Sans pouvoir mesurer l’innovation, on navigue à l’aveugle. La régulation peut elle-même innover. Certains auteurs prônent une régulation « adaptative » et « expérimentale »
qui s’adapterait en fonction des résultats observés. Préconisée dans la dernière étude annuelle du Conseil d’Etat, la réglementation expérimentale serait particulièrement bien adaptée aux marchés numériques, où le risque d’erreur est élevé. Mais cette forme de régulation nécessiterait des mécanismes de suivi sur l’efficacité de la régulation, et ces mécanismes sont rares. @

Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @