par Julien CHASSIBOUT, étudiant du Master 2 Droit des communications électroniques
Ce jeudi 10 octobre, ABC news a rapporté plusieurs cas de piratage, survenus ces derniers mois, du robot aspirateur Deebot X2 de la marque chinoise Ecovacs. En effet, un hackeur a pu contrôler l’aspirateur, disposant de sa caméra, de son micro ainsi que de son haut-parleur, ce qui lui a permis de diffuser des insultes racistes, récolter des images du domicile ou même s’amuser à poursuivre le chien des propriétaires. Si ces attaques se sont déroulées dans plusieurs villes américaines, ce modèle de robot aspirateur est également commercialisé en France et de nombreuses familles comptent sur ce Deebot X2 pour faire le ménage de leurs domiciles. Toutefois, est-ce que le droit français est adapté pour faire face à de telles cyberattaques ?
Une étude de la société IoT Analyctics de 2021 estime à 12,3 milliards le nombre d’objets connectés dans le monde. En effet, ces objets connectés qui envahissent notre quotidien et pénètrent nos maisons sont de plus en plus nombreux. Cette arrivée de la connectivité et de l’automatisation des objets au sein de notre domicile a aujourd’hui pris le nom de domotique. Et si cette dernière offre un certain confort à l’utilisateur, elle n’est pas sans risque comme l’ont montré les cyberattaques rapportées par ABC news.
Pour commercialiser un objet connecté sur le territoire français, un niveau d’exigence en matière de sécurité doit être respecté.
Avant qu’un produit soit introduit sur le marché, un contrôle s’assurant du respect des normes est organisé par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) afin de protéger le consommateur. Même si le secteur de la domotique ne fait pas l’objet d’un encadrement légal spécifique, la loi impose bien aux fabricants d’objets connectés d’assurer un niveau de sécurité et de fiabilité mis à jour régulièrement pour faire face à toutes cyberattaques. Ainsi, la DGCCRF peut ordonner le retrait du marché d’un produit qui ne respecte pas les exigences en matière de sécurité des réseaux de données exigées par la Directive sur les équipements radioélectriques (2014/53/UE).
Dès lors, il existe une série de normes qu’a dû respecter Ecovacs pour commercialiser les aspirateurs Deebot X2 afin qu’ils ne deviennent pas trop aisément le maillon faible ouvrant la porte à notre environnement numérique personnel. C’est dans cette optique que la DGCCRF collabore avec la Commission nationale de l’informatique et des libertés (CNIL) pour garantir une conformité aux exigences de transparence et de protection des données.
Les obligations pesant sur l’usage des objets connectés qui fonctionnent sur la base de traitements de données personnelles.
La protection des données personnelles est un droit fondamental reconnu par une myriade de textes nationaux comme la loi informatique et liberté de 1978, et dont les juridictions rappellent la portée, à l’image de l’ordonnance du Conseil d’État « La quadrature du net » du 18 mai 2020. Mais cette protection s’est également construite avec l’appui de la législation européenne récente, que ce soit celle de l’Union européenne avec le Règlement général relatif à la protection des données de 2016 (RGPD), ou celle du Conseil de l’Europe, avec par exemple l’arrêt de la Cour européenne des droits de l’Homme du 27 juin 2017, « Satakunnan Markkinaporssi Oy et Satamedia Oy c. Finlande ». Dès lors, les entreprises doivent se soumettre à de nombreuses obligations comme tenir un registre de traitement des données ou ne collecter que les données strictement nécessaires. De plus, l’utilisateur s’est vu confier plusieurs droits comme ceux d’information, d’accès, de rectification ou bien même d’effacement. Tous ces droits et obligations protègent les individus contre la violation ou la collecte de leurs données à leur insu par un objet connecté et les dotent de véritables armes juridiques afin de faire respecter une transparence du traitement desdites données.
L’entreprise chinoise Ecovacs ne pourra alors pas tirer profit ou stocker des données personnelles collectées sans transgresser le RGPD. Le flux et les données collectées par le robot doivent être strictement nécessaire à son bon fonctionnement. Cette exigence est contrôlée par un responsable de traitement, en cas de fuite de données collectées ou de non-respect d’un des principes du RGPD, ce dernier sera tenu responsable.
La sanction encourue par l’auteur d’une infraction commise à l’aide d’un objet connecté.
Les données collectées par les objets connectés qui nous entourent sont une véritable mine d’or pour les pirates informatiques. Or la société américaine HP a dès 2014 estimé que 70 % des appareils connectés ont des failles de sécurité exploitables facilement par un hacker peu expérimenté.
Si la collecte de données personnelles, et notamment la géolocalisation, peut s’avérer utile pour les enquêteurs depuis la loi du 28 mars 2014, ces données peuvent également être utilisées à mauvais escient par des personnes malintentionnées.
C’est pourquoi le code pénal s’est modernisé et prévoit en ses articles 323-1 et suivants une sanction pour les infractions commises par l’intermédiaire ou qui porteraient atteinte à un système de traitement automatisé de données (STAD). Il n’existe pas de définition d’un STAD mais les tribunaux ont aujourd’hui une conception large de cette notion, incluant un ordinateur portable, une montre ou bien un objet connecté. Dès lors le pirate qui obtient un plan de la maison ou qui regarde en direct le flux vidéo produit par l’appareil est puni de 3 à 5 ans d’emprisonnement et de 100 000 à 150 000 euros d’amende.
Le gouvernement a d’ailleurs compris qu’en matière de cybersécurité, la prévention est primordiale et a donc mis en avant sur son site internet de nombreux gestes réflexes et bonnes pratiques pour prévenir la cyberattaque.
Cet encadrement des objets domotiques continue à se construire strate par strate au niveau national comme européen.
François-Xavier de Jeuland président de l’Observatoire de l’immobilier connecté et responsable (OICR) a dans une interview au Figaro du 15 juillet 2022 encouragé la création d’une certification qui permettrait de distinguer les objets connectés fiables et sécurisés à l’image des normes CE et NF.
La législation européenne évolue aussi avec la directive NIS 2 publiée au Journal Officiel de l’Union européenne en décembre 2022. Cette directive vise à construire une cybersécurité au niveau européen et étend son périmètre d’application et ses objectifs par rapport à NIS 1. Elle vise principalement les collectivités territoriales, administrations publiques ou moyennes et grandes entreprises. Il en est de même pour le Cybersecurity Act proposé le 15 septembre 2022 qui vise à renforcer la cybersécurité tout au long du cycle de la vie des produits numériques.
/ SOURCES :
- Bensoussan, A., & Forster, F. (2017). Droit des objets connectés et télécoms. Bruylant.
- Thiérache, C. (2016). L’agrégation des données ouvertes dans le cadre de plateformes : les objets connectés dans le domaine de la santé. LEGICOM, N° 56(1), 101‑109. (https://doi.org/10.3917/legi.056.0101)