Avec 8,4 milliards d’objets connectés à travers le monde, l’année 2017 aura probablement été une année charnière pour les objets 3.0. En Allemagne comme en France, le marché des montres connectées, tant pour les adultes que pour les enfants, est en pleine expansion et semble annoncer pour les années futures une belle croissance. Dans cette course à toujours plus de numérisation et à toujours plus de rentabilité sur un marché en plein essor, de nombreuses failles sont révélées et mises sur le devant de la scène. Les fabricants d’objets 3.0 ont parfois tendance à occulter certaines normes élémentaires telles que la sécurité ou le respect de la vie privée des utilisateurs. L’Allemagne en réponse à ces préoccupations a réagi très fermement le mois dernier en retirant de la vente et en ordonnant la destruction des milliers de montres connectées pour enfants. Au-delà des frontières allemandes, les montres connectées posent aujourd’hui de réels problèmes. La France tout aussi consciente des risques reste en alerte et surveille l’implantation de ces objets sur le territoire national.
MONTRES CONNECTÉES : UNE ATTEINTE A LA VIE PRIVÉE DES UTILISATEURS
En octobre dernier, l’autorité de régulation des télécommunications allemande a décidé de retirer de la vente des montres connectées pour enfants. Ces montres, dont l’utilisation principale n’est évidemment plus de donner l’heure, sont dotées d’une multitude de fonctions, telles que le GPS par exemple. Les parents, par une intrusion toujours plus significative dans la vie de leurs enfants, peuvent suivre leurs déplacements et regarder s’ils sont arrivés à bon port, comme à l’école par exemple. Dans la même logique, ils peuvent observer leurs parcours, leurs éventuels détours, changement de chemin, etc. D’autres fonctions sont également disponibles et peuvent permettre aux parents d’écouter les conversations en déclenchant à distance (par le biais d’une application) un micro. L’agence allemande de régulation des télécommunications a considéré que ces montres étaient des émetteurs non autorisés et que la surveillance dissimulée, c’est-à-dire l’écoute de conversations à l’insu des personnes était interdite, surtout en présence de mineurs. Elle a considéré qu’il y avait une atteinte à la vie privée des mineurs, et ceci nécessitait des mesures importantes, voire radicales, comme le retrait de ces objets du marché.
En France, le respect à la vie privée est un droit fondamental. Il trouve une reconnaissance tant sur le plan national avec l’article 9 du Code civil et l’article 1er de la loi de 1978 informatique fichier et liberté, que sur le plan européen avec l’article 7 de la Charte des droits fondamentaux de l’Union européenne, ou encore sur le plan international avec l’article 16 de la Convention de New York relative aux droits des enfants. Par conséquent, et à partir du moment où la France reconnait dans son droit positif la nécessité du respect à la vie privée (tant pour les mineurs que les majeurs), il va de soi que les préoccupations allemandes relatives aux objets connectés pour ce qui concerne les failles sécuritaires ou juridiques, trouvent leur application sur le territoire national. De telles montres qui pourraient suivre « à la trace » les utilisateurs, et espionner leurs interactions sans qu’ils ne s’en doutent posent d’immenses problèmes. La question de la réaction des autorités de contrôle peut aussi être ouverte. Faut-il mettre en demeure les fabricants et les forcer à modifier leurs objets (en vue d’une protection des utilisateurs et des données normale c’est-à-dire un minimum acceptable) pour pouvoir être vendus, ou faut-il directement emprunter la position de l’Allemagne, à savoir interdire purement et simplement la vente de ces objets.
La France, par le biais de la CNIL a choisi une position moins radicale, car elle préfère mettre en demeure publiquement les fabricants sur les risques liés au respect de la vie privée des utilisateurs. Cependant, la CNIL lors de ces mises en garde met en alerte les constructeurs sur d’autres problèmes beaucoup plus alarmants notamment en ce qui concerne la sécurité. De ce fait, il est possible de se demander si la position actuelle de la CNIL reste suffisante.
ABSENCE CRUELLE DE SÉCURITÉ : QUAND LES MONTRES CONNECTÉES SE RETOURNENT CONTRE LES UTILISATEURS
Comme nous l’avons démontré ci-dessus, les montres connectées pour enfants munies d’une multitude de capteurs et fonctions en tout genre, permettent aux parents de suivre à la trace leurs enfants et de les écouter sans même qu’ils s’en rendent compte. Après avoir été qualifiées comme potentiellement dangereuses par l’agence allemande des télécommunications, c’est au tour du Bureau européen des unions de consommateurs (dont la France fait partie avec UFC que choisir), d’alerter sur les failles engendrées par l’utilisation de ces objets. En effet ce « Bureau » met en avant le risque majeur que présentent ces montres, notamment en termes de sécurité. Ces objets peuvent être piratés par un tiers qui peut prendre le contrôle et utiliser toutes les fonctionnalités de l’appareil à l’insu de son propriétaire : Il pourra suivre l’enfant, et le mettre sur écoute sans qu’il s’en aperçoive, etc. C’est en d’autres termes le schéma de l’arroseur arrosé. Le Bureau Européen des unions de consommateurs soulève que les fabricants de ces produits ignorent très souvent le droit des utilisateurs notamment en ce qui concerne la protection de leurs données personnelles. À ces préoccupations, plusieurs questions restent encore sans réponses. L’Union européenne ne devrait-elle pas être plus présente en la matière et imposer des normes de sécurité obligatoires pour les objets 3.0 ? Quel sera l’avenir de tels objets avec l’entrée en vigueur du RGPD (relatif à la protection des données personnelles) en mai prochain ? Il semblerait que les fabricants vont devoir se mettre très rapidement à jour au risque de supporter des sanctions pécuniaires très importantes.
C’est en raison de ces multiples risques que l’Allemagne a pris la décision de retirer ces objets du marché. La France quant à elle a été confrontée au même dilemme avec la poupée « Cayla » déjà interdite en Allemagne en février dernier, et avec un robot connecté « I-QUE ». Ces deux objets ont la particularité d’être équipés d’un microphone et d’un haut-parleur associés à une application mobile. La CNIL a constaté qu’il était très facile de pirater à distance ces objets, permettant au hacker « d’entendre, d’enregistrer les paroles échangées entre l’enfant et le jouet comme toute conversation se déroulant à proximité de celui-ci. De même, il est possible d’entrer en contact avec l’enfant en diffusant un message à travers le jouet ». Aussi, la CNIL relève que ces objets collectent sans avoir préalablement informé les utilisateurs, une multitude d’informations personnelles sur les enfants et leur entourage tels que les voix, le contenu des conversations, etc. Toutes ces données sont envoyées hors de l’Union européenne pour être analysées et traitées (Hong Kong). La CNIL contrairement à l’Allemagne, a choisi de mettre en demeure la société qui commercialise ces jouets. Ils ont deux mois pour se conformer à la loi de 78 informatiques, fichier et liberté. À défaut, la CNIL prendra des sanctions.
Il est alors possible de se demander si la position actuelle de la CNIL est suffisante, et si les mises en demeure répétées ont une véritable force probante à l’encontre de sociétés basées hors Union européenne. Lorsque des failles sont aussi conséquentes, ne faudrait-il pas être à la hauteur des risques encourus ? Ainsi, le débat reste ouvert quant à savoir s’il ne serait pas nécessaire d’imposer des normes sécuritaires obligatoires à l’échelle européenne en matière d’objets connectés, ou plutôt adopter des positions plus radicales telles que celles entreprises par l’Allemagne, quitte à impacter le marché.
SOURCES :
LAUSSON (J.), « Jouets connectés : la Cnil épingle les failles de sécurité du robot i-Que et de la poupée Cayla », Numérama, publié le 4 décembre 2017, consulté le 10 décembre 2017. http://www.numerama.com/politique/311501-jouets-connectes-la-cnil-epingle-les-failles-de-securite-du-robot-i-que-et-de-la-poupee-cayla.html
KLEIS (J.), « Des failles de sécurité alarmantes dans les montres connectées destinées aux enfants », The European Consumer Organisation, consulté le 23 décembre. http://www.beuc.eu/publications/beuc-pr-2017-015_des_failles_de_securite_alarmantes_dans_les_montres_connectees_destinees_aux_enfants.pdf
LAUSSON (J.), « L’Allemagne interdit les montres connectées pour les enfants », Numérama, publié le 20 novembre 2017, consulté le 10 décembre 2017. http://www.numerama.com/politique/307486-lallemagne-interdit-les-montres-connectees-pour-enfants.html
CNIL, « Jouets connectés : mise en demeure publique pour atteinte grave à la vie privée en raison d’un défaut de sécurité », Cnil, publié le 4 décembre 2017, consulté le 10 décembre 2017. https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-atteinte-grave-la-vie-privee-en-raison-dun-defaut-de