Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.
Les conditions de stockage et d’archivage des données issues de l’internet des objets (IoT, pour « Internet of things » en anglais) ne sont pas perçues comme un enjeu par Yesitis, star montante de la fabrication d’objets connectés pour l’industrie. « Nous ne stockons que des informations issues d’objets communicants et ne sommes donc pas directement soumis au RGPD » (Règlement général sur la protection des données), indique Laurent Coussonnet, président de cette start-up clermontoise.
« Yesitis a développé une expertise dans la sécurisation de ces objets et la gestion de leur traçabilité. Les identités attribuées aux objets ne sont pas directement rattachées à des individus. Mais elles sont uniques et impossibles à reproduire. » Toutes les données qui leur sont attachées sont transmises vers une plateforme sécurisée maison, hébergée sur un cloud, où elles peuvent être consultées par les opérateurs autorisés (clients, sociétés de maintenance, spécialistes de l’analyse des données ou de l’intelligence artificielle…).
La sauvegarde des données, à une fréquence très rapprochée, est assez simple dans la mesure où il s’agit de fichiers nombreux mais peu volumineux. « Notre préoccupation à nous est de tout faire pour que les données ne puissent pas être interceptées par un tiers. »
Stockage sur le cloud
Entre autres exemples, Yesitis vient de signer un partenariat avec Softcar — une entreprise suisse qui s’est lancée dans la conception de l’une des premières voitures totalement écologiques — pour développer « un compteur très compact associé à un BSI (boîtier serviciel intelligent) ».
Celui-ci est associé à une plateforme sécurisée, permettant de collecter et d’échanger des données, et il devrait faciliter la maintenance du véhicule sur le long terme, en remontant des informations sur les réparations effectuées, l’usure des pièces… Aux clients, partenaires et éventuellement chercheurs de décider de la durée de conservation de ces données et de leur utilisation.
Lire aussi : RGPD et protection des données : où en sont les organisations en 2022 ? (enquête)
Pour stocker les données collectées au quotidien, de nombreux fabricants d’objets connectés s’appuient sur des clouds internationaux ou français. C’est le cas de Scaleway (groupe Iliad), qui présente son IOT Hub comme « un pont parfait entre [les] équipements connectés et [l’] infrastructure cloud ».
C’est aussi le cas de 3DS Outscale. « Le trafic entrant/sortant des données est offert », précise David Chassan, directeur de la stratégie de cette filiale de Dassault Systèmes spécialisée dans les services et les solutions d’infrastructures cloud. « Chaque client est aussi libre de manipuler ses données sur des environnements répondant au plus haut niveau d’exigence en matière de sécurité avec la garantie de localisation et d’hébergement de ces données sur le sol français. »
Anonymes, vraiment ?
La frontière n’en est pas moins ténue entre les données d’identification des objets et les données personnelles, pour Bernard Benhamou, coordinateur d’un rapport sur l’internet des objets publié l’an dernier par l’Institut de la souveraineté numérique.
« L’anonymisation des données, même lorsqu’elle est effectuée, pose de nombreuses questions », explique cet expert. « À mon sens, plus les systèmes de traitement des données et d’intelligence artificielle progressent et plus cette anonymisation perd de son sens. Car ils permettent de croiser et de recouper de vastes quantités de données et de plus en plus souvent de remonter jusqu’aux individus qui possèdent les objets en question — du smartphone à la montre, en passant par le casque de chantier, dans certains pays. »
Il cite le cas des « data brokers » (courtiers en données), dont les activités sont scrutées par un certain nombre de régulateurs (en Europe ou aux États-Unis). « Ils agrègent des données personnelles issues de nombreuses sources différentes et consolident des profils d’utilisateurs », explique-t-il. Ces profils, susceptibles d’être revendus à des banques ou des assureurs, par exemple, « peuvent compter, dans certains cas, jusqu’à plusieurs dizaines de milliers de paramètres par individus. »
Lire aussi : Sécurité numérique : le plan stratégique 2022-2024 de la CNIL
Plus grave, on peut imaginer que l’agrégation et l’archivage des données remontées par certains objets communicants, comme les compteurs d’électricité ou de gaz, pourraient faciliter l’identification des pratiques de certains citoyens, par exemple lorsqu’ils modifient leurs habitudes de consommation pendant certaines fêtes religieuses.
Idem pour l’analyse des données de géolocalisation liées à ces objets (et potentiellement à leurs détenteurs), dont les auteurs du rapport de l’Institut de la souveraineté numérique soulignent qu’elle « peut à elle seule aider à constituer des profils, médicaux, religieux, sportifs ou encore politiques des individus ».
Angle mort du RGPD
Tout en saluant l’avancée majeure que constitue l’adoption du RGPD dans l’Union européenne, la sénatrice Catherine Morin-Desailly, rapporteure d’une proposition de loi relative à la lutte contre la manipulation de l’information, soulignait de son côté l’an dernier les limites de ce règlement en ce qui concerne l’IoT.
« Les objets connectés, entendus comme “objets physiques (possédant) des technologies embarquées de capteurs, d’intelligence et de connectivité, leur permettant de communiquer avec d’autres objets”, constituent l’angle mort du RGPD », écrivait-elle. « Il apparaît que nous ne saisissions pas tout à fait l’importance que revêtent ces nouvelles technologies en matière de collecte des données personnelles et de respect du droit à la vie privée. »
Sur la base d’une proposition de Bernard Benhamou, elle propose donc de mettre en place un droit au silence des puces, qui — en donnant à chaque personne équipée les moyens d’activer et de désactiver les fonctions communicantes de son dispositif — permettrait de lutter contre la collecte et l’archivage massifs de données.
Sécuriser avant d’archiver
Pour l’heure, le flou qui entoure les conditions de collecte et de stockage des données générées par l’IoT persiste sur le Vieux Continent. Mais il n’est pas exclu que cette situation évolue prochainement. Le Conseil de l’UE a en effet mandaté en 2020 l’Enisa — l’agence de cybersécurité européenne — pour l’élaboration d’un cadre de certification pour les objets connectés.
Ce cadre devra tenir compte « de l’utilisation accrue de produits de consommation et de dispositifs industriels connectés à l’internet et des nouveaux risques qui en découlent pour la protection de la vie privée, la sécurité de l’information et la cybersécurité ».
Lire aussi : Conservation des données de connexion : évolution du cadre juridique
La démarche va dans le bon sens pour le secrétaire général de l’Institut de la souveraineté numérique : il considère qu’il faut que la réglementation européenne s’attaque en priorité à la sécurité de ces objets, qui constitue « leur maillon faible » (ceux-ci offrent une nouvelle « surface d’attaque », qui a déjà été exploitée par des hackers au cours de ces dernières années). « Une fois cet angle couvert, d’autres aspects devront être abordés, tels les détournements d’usages et les risques liés à la protection des données personnelles. »