Internet des Objets et GDRP, le dilemme du tout-connecté

article in English

La future réglementation européenne sur la protection des données (RGPD ou GDPR) a d’ores et déjà un impact considérable sur les entreprises dans toute l’Europe. Celles-ci doivent en effet mieux maitriser leur processus de collecte, d’intégration, de certification, de publication, de supervision et, bien entendu, de protection de toutes leurs données relatives aux personnes, qu’il s’agisse de leur employés, clients et autres tiers, afin d’être en parfaite situation de conformité d’ici l’entrée en vigueur du règlement en mai 2018. Si le sujet n’est pas nouveau, puisqu’il y a déjà des réglementations en vigueur sur ce sujet, il prend une nouvelle envergure tant dans le périmètre des obligations à respecter que dans la dimension des pénalités à considérer en cas de non-respect.

Dans cette optique, et face à la multiplication des fuites majeures de données, les entreprises se sont jusqu’ici focalisées sur la sécurité des données. Elles sont en revanche généralement bien moins organisées vis-à-vis des pratiques imposées par la nouvelle réglementation en termes de gestion et partage des données personnelles, ce qui représente un risque sérieux pour deux grandes raisons.

Tout d’abord, le terme « confidentialité des données » est très vaste dans le cadre de la GDPR. Les responsabilités des organisations y sont très étendues de façon à les obliger à mettre en place les mesures et techniques adéquates pour que la confidentialité et la protection des données ne soient plus mises au second plan. Par exemple, GDPR impose de considérer le respect de la vie privée en amont de la conception de toute nouvelle application (c’est la notion de privacy by design), et élargit le droit des individus sur les données qui le concernent (droit à l’oubli, droit à l’exactitude des données, portabilité des données, etc.)

Deuxième élément : l’émergence, voire l’avènement de l’Internet des Objets (IoT) donne un poids supplémentaire à ces problématiques. L’IoT concrétise le concept de client connecté en permanence.  Ce modèle est précieux pour les entreprises cherchant à générer et à capturer d’importants volumes de données sur les préférences et les comportements de leurs clients afin de se démarquer de la concurrence. 

Bien que l’essentiel de ces données soient davantage liées aux produits qu’aux individus, le risque sur le plan de la confidentialité subsiste. Car à partir du moment ou un objet connecté est explicitement associé à celui qui l’utilise, il devient porteur de données personnelles. Ainsi les informations fournies par un véhicule connecté, deviennent des données personnelles à partir du moment où l’on peut l’associer à l’identité de celui qui l’utilise. Les fabricants de dispositifs connectés prennent désormais conscience qu’une fois que leurs produits se trouvent entre les mains des clients, toutes les données transmises peuvent être potentiellement considérées par défaut comme personnelles. D’où la nécessité pour eux de tenir compte dès le départ des principes de confidentialité, et ce non seulement dans leurs propres environnements qu’avec l’ensemble des fournisseurs impliqués dans la collecte le stockage et le traitement des données. 

Le fabricant de produits d’électronique grand public Vizio s’est récemment vu infliger une amende de 2,2 millions de dollars après que l’autorité américaine de protection des consommateurs ait découvert qu’il utilisait des logiciels de reconnaissance de contenu afin d’effectuer un suivi de ses utilisateurs sans leur consentement. Près de 11 millions de téléviseurs connectés à Internet auraient ainsi pu espionner les habitudes de visionnage des consommateurs et relier ces données à des informations sociodémographiques, pour être ensuite partagées avec des sociétés de marketing tierces. L’entreprise a affirmé pour sa défense que ses télévisions « n'associaient jamais des données de visionnage à des informations personnelles comme des noms ou des coordonnées ».

Si l’amende infligée paraît significative, il est important de souligner que dans l’hypothèse où Vizio (désormais filiale de LeEco, une société chinoise avec un chiffre d'affaires de 7,3 milliards de dollars) vendrait ses téléviseurs HD et barres de son haut de gamme en Europe d’ici mai 2018, date de démarrage de GDPR, l’entreprise s'exposerait cette fois à une amende supérieure à 292 millions de dollars !

 

« Où sont mes données ? »                   

Autre problématique de poids pour les entreprises : savoir où résident leurs données privées et sensibles, et qui en a la responsabilité. Bon nombre d’entre elles sont incapables de répondre clairement à ces questions, car leurs données sont dispersées dans différents départements (commercial, marketing, financier, service client, etc.). L’incapacité à disposer d’une vue unifiée sur les clients et employés d’une entreprise représente un véritable problème dans le cadre de la conformité à GDPR.

Selon ce règlement, le contrôleur de données dispose d’un mois pour répondre aux demandes d’accès de la part des usagers, même si cette période peut être étendue pour les requêtes particulièrement complexes. Cette politique est bien plus stricte que celles des réglementations actuelles. Aujourd’hui en France ce délai est de 60 jours. Mais les droits des individus ne seront pas limités à l’accès aux données : la GDPR garantit également un droit de rectification, de suppression (droit à l’oubli), de restriction/d’objection au traitement de données, ou de non évaluation dans le cadre de traitements automatisés. Tous ces droits ont un impact considérable sur les pratiques en matière de gestion de données.   

 

Organiser la riposte

Comment les organisations peuvent-elles faire face aux problématiques énoncées ci-dessus dans le cadre de la gestion de leurs données ? La première étape pour elles serait d’en effectuer un inventaire afin de savoir quels types de données sont en leur possession et où elles résident. Elles pourront alors mieux en déléguer la responsabilité au personnel compétent. Cet élément essentiel peut ensuite servir de base pour une stratégie de gouvernance plus stricte, comme l’exige la GDPR. 

Vient ensuite le problème de la qualité, une problématique particulièrement urgente pour les organisations en train de déployer leurs capacités de gestion de l’IoT. En effet, dans ce domaine, la volonté de limiter les coûts pousse souvent les organisations à faire avec des réseaux médiocres, ce qui peut affecter la qualité et la sécurité des données.

Dans le contexte de la GDPR, la faible maîtrise de la qualité et l’harmonisation des données devient une problématique critique, en particulier si cela empêche les organisations de dégager une vision unique de leurs clients, contrairement à ce qu’exige la réglementation. L’une des principales problématiques en la matière vient de l’existence de silos de données difficiles à intégrer. Prenons le cas où une entreprise disposerait d’informations sur un client à la fois issues de dispositifs IoT, d’applications de gestion telles des ERP ou des applications de gestion de la relation client et d’applications de marketing. En cas de demande, l’entreprise serait alors tenue de lui fournir l’ensemble de ses données privées le concernant (silos inclus), comme l’exige la GDPR. Les entreprises devront donc rapprocher l’ensemble de leurs informations, y compris celles provenant de l’IoT. 

 

Appréhender les problématiques de l’IoT en matière de données

L’IoT devrait apporter une multitude d’avantages aux organisations du monde entier générant de vastes volumes de données, et s’en servant dans le cadre de leurs processus décisionnels. Grâce à ce système, les entreprises peuvent relier le monde physique et numérique, et ont l’opportunité de définir les expériences clients de demain. Cependant, comme souligné dans cet article, ces données représentent également des défis, notamment en matière de confidentialité, et donc de conformité avec la GDPR.

Le mois de mai 2018 approche à grands pas, et les entreprises doivent agir vite. Pour pouvoir tirer parti de l’IoT et s’assurer de leur conformité avec la GDPR, elles doivent mettre ces questions à l’ordre du jour de leur conseil d’administration, et prendre les mesures nécessaires pour résoudre ces problématiques sans plus tarder. 

 

Share

Leave a comment

Ajouter un commentaire

More information?