Présents dans de nombreux foyers, des objets du quotidien sont aujourd’hui intelligents. Si le premier objet connecté date de 2003 avec la lampe d’ambiance DAL connectée en Wi-Fi, ce n’est qu’en 2007 avec l’arrivée des smartphones que les objets connectés ont connu un essor considérable. Ces objets constituent en réalité un lien entre le monde réel et le monde virtuel. Du simple « gadget, aux solutions censées révolutionner la vie de tous les jours », les objets connectés sont aujourd’hui de plus en plus nombreux et en 2020 leur existence est estimée à une cinquantaine de milliards. Cependant, le droit ne semble pas suivre ces innovations. En effet, aucune disposition de la législation française n’est relative aux objets connectés mais on ne peut cependant pas parler de vide juridique, puisque certaines dispositions du droit en vigueur sont assez larges pour y inclure ces innovations.
L’application de textes de substitution aux objets connectés
En l’absence de textes spécifiques dans le droit français, ce sont des textes de substitution qui ont vocation à s’appliquer aux objets connectés et notamment certaines dispositions du droit pénal. Il s’agit notamment des dispositions du chapitre relatif aux atteintes aux systèmes de traitement automatisé de données avec notamment l’article 323-2 qui « pourra trouver à s’appliquer dans le cadre de dépôt de virus ou encore pour sanctionner l’introduction sans titre ni autorisation dans un service quelconque du réseau pour, par exemple, perturber les dispositifs de sécurité ou fausser le fonctionnement du système ». Par ailleurs, l’article 323-3 du code pénal est lui aussi directement applicable puisqu’il punit de cinq ans d’emprisonnement et de 150 000 € d’amende le fait « d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ». Cependant, certaines dispositions du code pénal soulèvent de nombreuses interrogations. Il s’agit notamment de l’alinéa 4 de l’article 132-75 du code pénal qui dispose que « l’utilisation d’un animal pour tuer, blesser ou menacer est assimilée à l’usage d’une arme. » Dans la notion d’animal peut on peut y inclure les robots ? Le créateur d’un robot qui a pour objectif de tuer ou encore de blesser pourra-il être sanctionné sur le fondement de cet article ? Ces interrogations sont la preuve que du côté du droit pénal, le droit ne semble pas être adapté à ces innovations. Cependant, l’entrée en vigueur du nouveau règlement sur la protection des données personnelles du Parlement européen et du Conseil semble lui ,répondre à de nombreuses interrogations.
La place du RGPD dans l’encadrement des objets connectés
Qui dit objet connecté dit collecte et traitement des données et notamment des données personnelles. Si la loi informatique et liberté du 6 janvier 1978 constitue un véritable cadre de la protection des données personnelles, le règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) constitue le nouveau texte de référence en matière de collecte et de traitement des données à caractères personnels. Pour pouvoir fonctionner à la perfection, les objets connectés collectent nos données personnelles ce qui n’est pas sans conséquences. En effet, « certaines études montrent que 78 % des personnes interrogées se déclarent inquiètes en matière d’atteinte à la vie privée » et ces objets sont souvent la cible de piratage. Si ce règlement ne concerne pas directement les objets connectés, ces derniers sont en réalité concernés par cette nouvelle protection des données personnelles. Les rédacteurs du RGPD, afin de limiter les risques liés au vol ou encore à la fuite des données personnelles, ont posé un certain nombre de principes afin de protéger de façon optimale les données personnelles. L’article 25 du RGPD consacre le principe de privacy by design et le principe de privacy by default. Le principe de privacy by design signifie que la protection des données personnelles doit être intégrée « dès l’origine dans l’architecture de l’objet connecté ». Dès lors, dans le cadre des objets connectés, cela signifie que le responsable de traitement ou encore le fabricant de l’objet devront être attentifs aux différentes mesures de sécurité. Par exemple, ils devront « notamment justifier la quantité et qualité des données demandées, l’étendue du traitement (collecte, stockage, gestion), la durée de conservation, l’accessibilité de ces données (correspondant à un accès restreint à un certain nombre de personnes). » Le principe de privacy by default est intimement lié au principe de privacy by design. Ce principe permet aux « personnes dont les données sont collectées d’obtenir le plus haut niveau de protection possible, à l’instar du principe de Privacy by design ». La concrétisation de ce principe dans le cadre des objets connectés, passe par la mise en place d’un mécanisme d’obtention du consentement de l’utilisateur de l’objet pour les traitements des données. En effet, le fabricant de l’objet devra être dans la possibilité de démontrer qu’il a obtenu le consentement explicite de l’utilisateur. Cependant quel est le point de départ du traitement des données personnelles par un objet connecté et donc à quel moment le consentement de l’utilisateur doit-il être recueilli ? Par logique, le démarrage de l’objet semble être le moment propice pour obtenir le consentement de l’utilisateur cependant le moment de l’achat de l’objet semble être lui aussi le moment pour recueillir le consentement de l’utilisateur par le biais d’un formulaire à remplir, par exemple.
Les objets connectés sont des objets particuliers qui présentent par leur usage de nombreux risques et qui à juste titre soulèvent des interrogations en matière de responsabilité délictuelle.
La possibilité de l’avènement d’un nouveau régime de responsabilité propre aux objets connectés ?
Il n’existe pas de droit spécial des objets connectés, dès lors le droit civil a vocation à s’appliquer de façon résiduelle à ces objets. Dans la pratique on distingue deux types de responsabilité civile à savoir la responsabilité contractuelle qui a pour objet la réparation d’un dommage lorsque le contrat n’a pas été exécuté ou mal exécuté et la responsabilité délictuelle ou quasi délictuelle qui s’applique en « l’absence de contrat entre l’auteur du dommage et la victime, mais à la suite d’un fait volontaire ou non » mais c’est en matière de responsabilité délictuelle que les objets connectés soulèvent le plus d’interrogations. En effet, l’utilisation des objets connectés n’est pas sans risques, il peut s’agir d’une erreur « commise par l’objet connecté lors de la transmission de l’instruction » ou encore « d’une défaillance dans la connexion de l’objet au réseau »
L’article 1242 alinéa du code civil pose la responsabilité du fait des choses qui peut être engagée si quatre conditions sont réunies : il faut une chose, un fait de la chose, un gardien de la chose et enfin un dommage. Si la nature juridique ou encore physique de la chose importe peu en réalité, la nature même des objets connectés met en évidence les limites de l’application de la responsabilité du fait des choses à ces innovations. En effet, afin de pouvoir engager la responsabilité du fait des choses, il faut être gardien de la chose. A la suite de l’arrêt Franck en date du 2 décembre 1941, la notion de garde suppose la réunion de trois conditions à savoir l’usage, la direction et le contrôle de la chose. Si la condition de l’usage semble être parfaitement remplie ainsi que celle de la direction puisque « l’objet apprend avec l’utilisation », les objets connectés sont des choses spéciales qui disposent en réalité d’une véritable autonomie et dont le contrôle peut être rapidement remis en cause. En effet, une récente affaire à montrer les limites des objets connectés aux Etats Unis et notamment au regard du contrôle même de ces objets puisque le terminal d’une enceinte connectée a contacté la police pendant une dispute d’un couple. L’enceinte avait en réalité mal interprété le message en pensant qu’il s’agissait d’un ordre. Ainsi, le droit commun de la responsabilité ne semble pas répondre à ces types d’innovation.
Si l’on se place du côté du régime spécial de la responsabilité du fait des produits défectueux, défini par les articles 1245 et suivants du code civil, la victime du « dommage causé par un objet connecté serait fondée à agir contre le « producteur » sans s’interroger indéfiniment sur le véritable responsable du sinistre », ce qui est plutôt favorable à la victime. Par ailleurs, l’article 1245-5 du code civil définit le producteur de manière large, ce qui permet également à la victime d’avoir de véritable chance d’être indemnisée à condition qu’elle démontre que le caractère défectueux du produit est consécutif de son dommage. Cependant, les objets connectés sont des produits nouveaux et ce n’est qu’à l’heure actuelle que les dérives possibles apparaissent et au regard de l’article 1245-10 du code civil « le producteur est responsable de plein droit à moins qu’il ne prouve » « que l’état des connaissances scientifiques et techniques, au moment où il a mis le produit en circulation, n’a pas permis de déceler l’existence du défaut ». Dès lors les producteurs pourront invoquer cette disposition en cas de défaillance de l’objet connecté afin de ne pas voir leur responsabilité engagée.
Si l’ensemble des dispositions du droit commun semble être à priori, applicable aux objets connectés, ce dernier n’est pas, en réalité adapté à ces nouveaux objets. Dès lors la mise en place d’un régime propre à ces types d’objet semble être la solution idéale comme celle qui se construit notamment pour les véhicules autonomes.
SOURCES :
DAOUD (E)., PLÉNACOSTE (F)., « Cybersécurité et Objets Connectés », Dalloz IP/IT 2016, p409
DEVEZEAUD C., « Objets connectés & Protection des données à caractère personnel : un mariage nécessaire pour la confiance des utilisateurs », dpo-consulting.fr, mis en ligne le 27 mars 2017, consulté le 8 décembre 2017 < http://www.dpo-consulting.fr/single-post/2017/03/27/Objets-connect%25C3%25A9s-Protection-des-donn%25C3%25A9es-%25C3%25A0-caract%25C3%25A8re-personnel-un-mariage-n%25C3%25A9cessaire-pour-la-confiance-des-utilisateurs>
FERRER A., « Développement des objets connectés et vide juridique : Quels enjeux ? », insurancespeaker-wavestone.com, mis en ligne le 6 avril 2016, consulté le 8 décembre 2017
GALICHET C., « Les grands principes du Règlement européen sur la protection des données personnelles. », village-justice.com, mis en ligne le 23 août 2017, consulté le 9 décembre 2017. <https://www.village-justice.com/articles/les-grands-principes-reglement-europeen-sur-protection-des-donnees-personnelles,25684.html>
GUEZILLE S., « Objets connectés : le casse-tête de la responsabilité civile » argusdelassurance.com, mis en ligne le 23 février 2017, consulté le 10 décembre 2017.
LAUSSON J., « En pleine dispute conjugale, un appareil connecté appelle la police par erreur », numérama.com, mis en ligne le 10 juillet 2017, consulté le 9 décembre 2017 <http://www.numerama.com/tech/274400-en-pleine-dispute-conjugale-un-appareil-connecte-appelle-la-police-par-erreur.html>
LAVERDET C., « Les enjeux juridiques de l’Internet des objets », web.lexisnexis.fr, consulté le 10 décembre 2017. <http://web.lexisnexis.fr/newsletters/avocats/09_2014/pdf11.pdf>