Les objets connectés apportent nombre de nouvelles opportunités. Malheureusement, ils sont trop souvent conçus et déployés sans prendre en compte les principes de base de sécurité et de protection des données. Par ignorance, par économie ou par gain de temps, ils font courir des risques importants à leurs utilisateurs.

Des objets courants

De plus en plus d’objets (appareils électroniques, machines industrielles et simples objets du quotidien) sont connectés à un réseau, le plus souvent Internet. Cela leur permet de transmettre ou recevoir des informations utiles, par exemple le «Amazon Dash Button» qui commande des produits avec une seule pression du bouton, les nombreuses montres et applications smartphones mesurant l’activité physique ou encore la maintenance prédictive, soit l’analyse de données massives pour détecter en temps réel lorsqu’une opération de maintenance sera prochainement nécessaire et la planifier au moment le plus opportun. Il y a donc évidemment de très belles opportunités.

Quelle sécurité ?

Ces objets ne sont plus déconnectés et indépendants, mais ce sont désormais des ordinateurs et des logiciels informatiques connectés à des réseaux externes. Ils devraient être traités comme tels et sécurisés. C’est rarement le cas et ils sont exposés aux virus, failles de sécurité, prises de contrôle à distance et autres vulnérabilités. La durée d’utilisation d’un réfrigérateur connecté pourrait bien dépasser largement celle des mises à jour du logiciel qu’il contient. Si ce logiciel est corrompu, le réfrigérateur ne pourra causer directement que des dégâts limités, mais il sera en revanche une porte d’entrée sur l’ensemble du réseau auquel il est connecté (réseau privé ou Internet), ce qui crée alors un risque de sécurité important. Cela ne concerne plus seulement quelques infrastructures techniques complexes, mais n’importe quelle maison ou appartement.

Quelles informations ?

Il ressort du 4e ratissage pour la protection de la vie privée (Privacy Sweep) effectué en 2016 sous l’égide du Global Privacy Enforcement Network (GPEN) portant sur 314 appareils (moniteurs d’activité physique, thermomètres, moniteurs de fréquence cardiaque, téléviseurs, automobiles, compteurs intelligents, jouets et appareils ménagers connectés) que:

  • 59% des énoncés sur la protection de la vie privée n’expliquent pas adéquatement comment les informations personnelles sont recueillies, utilisées et communiquées;
  • 68% des utilisateurs ne sont pas pleinement informés de la façon dont les informations personnelles recueillies par l’appareil connecté sont stockées et protégées; et
  • 72% des énoncés sur la protection de la vie privée n’expliquent pas à l’utilisateur les mesures à prendre pour supprimer les informations le concernant.

De nombreux principes de protection des données sont donc régulièrement violés, en particulier les obligations de transparence, proportionnalité, et sécurité, ainsi que les règles applicables au consentement.

Et mon amie Cayla?

Mon amie Cayla est une poupée interactive équipée d’un micro et d’un haut-parleur, associée à une application mobile téléchargeable sur téléphone mobile Connectée à Internet elle répond aux questions posées par les enfants sur divers sujets tels que des calculs mathématiques ou encore la météo. D’autres jouets, comme le robot I-QUE fonctionnent de la même manière.

Le problème est que ces jouets, destinés aux enfants, collectent une multitude d’informations personnelles sur les enfants et leur entourage: les voix, le contenu des conversations échangées avec les jouets, etc., sans fournir d’information suffisante à ce sujet.

Pire, ces jouets ne sont pas sécurisés. Il est donc facile pour une personne située à 9 mètres dans un bâtiment (certainement plus à l’extérieur) de connecter son téléphone au jouet via Bluetooth et non seulement d’entendre et d’enregistrer les paroles échangées entre l’enfant et le jouet ou encore toute conversation se déroulant à proximité de celui-ci, mais aussi de communiquer avec l’enfant via le jouet (avec tous les risques que cela représente si l’enfant ne se rend pas compte que c’est un inconnu qui lui parle).

L’Allemagne a interdit ces jouets en février 2017 et en France la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure en décembre 2017 la société GENESIS de se mettre en conformité avec la loi pour pouvoir continuer de commercialiser ses jouets connectés. La procédure est en cours.

En Suisse, aucune mesure n’a été prise. Le Conseil fédéral considère que les jouets connectés doivent notamment respecter la Loi fédérale sur la protection des données (LPD), l’Ordonnance du DFI sur la sécurité des jouets (OSJo) et l’Ordonnance sur les installations de télécommunication (OIT). L’écoute et l’enregistrement de conversations peut en outre être constitutif d’une infraction pénale (art. 179ter ss CP).

En théorie, le préposé fédéral à la protection des données et à la transparence (PFPDT) pourrait par exemple recommander à l’entreprise concernée de cesser de traiter les données et si sa recommandation n’est pas suivie, il pourrait alors saisir le Tribunal administratif fédéral pour qu’il rende une décision. La LSPro ne protège pas les données personnelles et la sphère privée, et l’OSJo concerne surtout les propriétés mécaniques, l’inflammabilité, la radioactivité, les propriétés chimiques et électriques, ainsi que l’hygiène. Reste donc la possibilité pour une personne concernée d’engager seule une procédure civile basée sur la LPD ou pénale (enregistrement de conversations privées), voire en dommages et intérêts (si un dommage a été subi et qu’il peut être prouvé).

C’est donc une protection bien faible qui est offerte à la sphère privée et aux enfants…