Les enjeux de la démocratisation des objets connectés pour les entreprises

Quelle responsabilité du fait des objets connectés non sécurisés ?

Les entreprises fabriquant et commercialisant les objets connectés

Les objets connectés sont destinés aux services de la vie quotidienne comme je l’ai expliqué dans mon article intitulé Derrière les objets connectés il y a les services connectés(assurance, santé, déplacements).
Symantec a révélé récemment qu’un certain nombre de ces objets permettent à des tiers d’accéder aux données de l’utilisateur à son insu : ils contiennent des failles de sécurité.

Ils ne sont pas conçus dans le respect ni de la loi Informatique et Libertés française, qui encadre la collecte des données et la constitution de fichiers, ni des directives européennes sur la protection des données personnelles. Par exemple, un objet connecté vendu en France, mais utilisant un service exécuté aux USA, ne respecte a priori aucune de ces textes.

La responsabilité pour non respect de l’obligation de conseil ou d’information

Pour la société qui vend l’objet

Parfois, les entreprises qui fabriquent ne sont pas les mêmes que celles qui commercialisent les services liés à l’objet connecté.
Lorsqu’elles commercialisent des produits, elles doivent, en principe, en connaître toutes les caractéristiques.
Leur responsabilité peut être engagée sur le terrain du non respect de l’obligation d’information selon que leur client est un particulier ou un professionnel.
Elles peuvent envisager de se retourner contre le fabricant.

Actuellement, il est possible d’engager la responsabilité d’un fabricant de produits défectueux via la loi de 1998 introduisant la responsabilité pour le fait de produits défectueux. Mais les objets connectés sont hors du champ de cette loi.

Les objets connectés peuvent utiliser de manière non sécurisée un service ; ou utiliser un service lui-même non sécurisé.
Ils introduisent une nouveauté : le service lui-même peut être défectueux.

Il est donc légitime de se demander si les failles de sécurité de ces objets ont les mêmes caractéristiques que les failles de sécurité prévues par la loi de 1998 introduisant la responsabilité pour le fait de produits défectueux.
La responsabilité des entreprises qui les fabriquent peut-elle être engagée sur le fondement de la responsabilité pour le préjudice subi par l’utilisation de ces objets ?
Le législateur va-t-il réagir et permettre à la CNIL de sanctionner les fabricants qui ne respectent pas la loi Informatique et libertés ? Qu’en est-il des fabricants étrangers de produits importés ?

Pour la société qui utilise l’objet connecté

Comme je l’ai expliqué dans mon article intitulé derrière les objets connectés il y a les services connectés, de nombreux citoyens, salariés d’entreprises, utilisent un objet connecté de masse : le smartphone.
Ce dernier peut être connecté au Cloud de l’entreprise. Cela permet à son utilisateur d’avoir accès à des données clés de l’activité, par exemple des processus de fabrication des produits, ou même des données des clients de l’entreprise.

Le vol de smartphone est régulier : 1,2% de la population est concerné chaque année. Pour une entreprise de 300 personnes, cela signifie donc en moyenne 3,6 cas chaque année où des données d’activité sont dans la nature. Il s’agit d’un risque certain : qu’il soit pris en compte ou pas, ces fuites de données arrivent.

Il appartient à l’entreprise de mesurer son coût et d’engager les réactions adéquates pour le réduire. À défaut, sa responsabilité peut être mise en cause par le client. Et la responsabilité des dirigeants pourra être engagée par les actionnaires.
Il en est de même pour l’ensemble des objets connectés gérés par l’entreprise.

Pour les sous-traitants

Les entreprises peuvent être amenées à sous-traiter leurs services ou l’exécution d’un service destiné à leurs clients.
Selon leur contrat, elles doivent éventuellement respecter des obligations de confidentialité ou de secret défense.
Comme je l’ai déjà expliqué dans mon analyse sur les enjeux des données personnelles, il est illusoire de croire que les obligations soient transposées dans les chaînes de contrats.

Prenons l’exemple d’un grand cabinet d’avocats sur lequel pèse une obligation de confidentialité des informations de ses clients. Il va confier à une entreprise le stockage ou l’archivage des données de ses clients. Il ne va pas nécessairement vérifier qu’est respecté de manière continue le principe de sécurité de partage des informations “on a need-to-know basis“ évitant que les salariés de la société d’archivage non nécessaires à la réalisation du contrat n’accèdent aux données, mis en place au moment de la conclusion du contrat.

Si un salarié ou un des stagiaires de la société de stockage accède via un objet connecté (son smartphone) aux données du client du cabinet, la responsabilité de ce dernier peut être engagée.

Supposons maintenant que le service proposé par la société d’archivage soit de l’archivage papier dans un entrepôt sécurisé et que son coursier passe à la demande récupérer les documents importants à archiver (les documents fiscaux du client).

Sa géolocalisation partagée en temps réel sur les réseaux sociaux via son smartphone privé apporte un nouveau risque : la localisation en temps réel de ces documents hors toute sécurité.

Les entreprises dont le business modèle est déjà fondé sur l’exploitation massive de données personnelles

Google initiateur de l’exploitation des données vraies

En ce domaine, Google a été précurseur. Il a apporté deux nouveautés par rapport à AltaVista :
il ne dégrade pas la qualité de ses résultats avec des publicités : elles sont dans des espaces séparés des résultats de recherche ; les publicités ne sont pas vendues « à l’affichage », mais « au clic », permettant une rationalisation des dépenses de publicité pour les annonceurs.

C’est AdWords, la régie publicitaire de Google, qui génère l’ensemble de ses revenus, et AdWords nécessite le moteur de recherche associé.
Pour garantir ses revenus via AdWords, il est essentiel de garantir la qualité des résultats et donc de qualifier au mieux les recherches.

Qualifier les recherches sans augmenter le nombre de mots des expressions entrées par l’utilisateur nécessite de contextualiser la recherche d’une autre manière ; par exemple, en regardant les recherches habituelles de cet utilisateur. C’est ainsi que sont nés les comptes utilisateurs de Google, qui lui permettent de proposer à une recherche donnée d’un utilisateur donné les résultats appréciés (ceux sur lesquels il a été cliqué) par les utilisateurs de profil similaire (faisant globalement les mêmes recherches).

Cette qualification des utilisateurs, strictement nécessaire pour Google face à l’accroissement du web, a alors créé un marché embryonnaire des données personnelles : les publicités dépendent des historiques de recherche des utilisateurs.

Cette approche a ensuite été généralisée dans les produits ultérieurs de la société : les publicités dans Google Mail dépendent du contenu des mails.
L’activité de Google est donc actuellement fondée sur l’exploitation massive des données personnelles de ses utilisateurs, ce qui ne peut changer sans provoquer une baisse de qualité permettant à ses compétiteurs de le remplacer via les mêmes pratiques d’exploitation des données personnelles.

Google, depuis le début, cherche à exploiter des données vraies : l’historique de recherche d’une personne ne peut pas être maquillé à la différence d’un compte Facebook.
Les sociétés récentes, qui essayent d’utiliser un business modèle similaire à celui de Google, comme Twitter et Facebook ou encore LinkedIn ou Viadeo sont orientées sur les données scénarisées. Elles cherchent désormais à proposer aux entreprises friandes de statistiques des données vraies : le numéro de téléphone et la géolocalisation pour Facebook, la carte bancaire et la géolocalisation pour Twitter.

Un contrôle toujours plus grand des droits sur les données personnelles par les sociétés de l’industrie des données personnelles

Malgré les révélations d’E. Snowden sur l’absence de sécurité de l’ensemble des matériels et applications et services internet, ces sociétés continuent à pousser le citoyen à les laisser utiliser ses droits sur ses données comme si elles en étaient le propriétaire.

En utilisant ces applications via de nouveaux objets connectés avec de nouvelles possibilités, par exemple l’application Facebook via une montre connectée prenant le pouls, l’utilisateur donne définitivement son accord général sur l’exploitation des nouvelles données par la société de l’application, ici l’exploitation de l’historique de son pouls par Facebook.
La quantité et la qualité des données que la société va exploiter vont être de plus en plus importantes et impossibles à contrôler.

Ce ne sera plus seulement les photos prises à la maison qui vont être hackées, mais l’ensemble de la vie quotidienne du citoyen (ses maladies génétiques, ses finances).

Corrélation entre les données médicales du dirigeant et la valeur boursière de la société

Les évolutions numériques apportent quelquefois des risques nouveaux.
Les données médicales des dirigeants ayant un impact sur la valeur en bourse des sociétés cotées, leur divulgation via des objets connectés représente un risque.

La démocratisation des objets connectés augmente la gravité et la fréquence des incidents ayant des conséquences financières.

Cet article est sous licence Creative Commons 3.0. Vous êtes libre de reproduire, distribuer et communiquer cette création au public selon les conditions suivantes :
– citer le nom de l’auteur original,
– pas d’Utilisation Commerciale : ne pas utiliser cette création à des fins commerciales.
– pas de Modification : Vous n’avez pas le droit de modifier, de transformer ou d’adapter cette création.
Si vous republiez cet article, vous devez obligatoirement inclure la mention suivante : « Ce contenu est issu de Ethical Social Network (http://blog.ethicalsocialnetwork.org.org) où il a été publié à l’origine sous le titre « Titre de l’article » (URL de l’article) sous la licence Creative Commons 2.0. Vous êtes libre de reproduire, distribuer et communiquer ce contenu ».