droitdu.net

Un site utilisant Plateforme OpenUM.ca

Internet des objets, enfants et Amish

6 décembre 2017
Commentaires
Permalien

De la montre intelligente à la ville intelligente, il ne se passe pas une semaine sans qu’on entende parler de la mise en marché d’un nouveau produit ou d’un nouveau service exploitant la manne financière entourant l’Internet des Objets (IdO). Ce concept, développé en 1999, fait référence « aux réseaux d’appareils, d’objets et de machines qui sont connectés par liaison IP et qui peuvent communiquer entre eux sans intervention humaine» et illustre « l’extension d’Internet à des choses et à des lieux du monde physique ». Ce réseau titanesque devrait atteindre plus de 30 milliards d’appareils connectés en 2020 et représenterait un marché mondial de 11.1 billions de dollars américains en 2025.

Les objets connectés sont désormais omniprésents dans nos vies ; et si la pertinence de certains est douteuse (par plaisir : le EggMinder, un plateau à œuf connecté qui permet de se renseigner sur le nombre et la fraîcheur de ses œufs via téléphone intelligent), d’autres sont franchement inquiétants, notamment les objets intelligents pour enfants. Ces derniers jouissent d’un très grand succès et sont allègrement adoptés par les familles. Selon une étude par le Hart Research Associates, 45% des parents indiquent que leurs enfants ont en leur possession trois appareils connectés ou plus et 70% d’entre eux sont à l’aise avec le fait que leurs enfants aient de tels objets. Or, avant de les intégrer dans la vie intime de nos enfants, ne devrait-on pas s’assurer qu’ils soient sécuritaires et qu’ils respectent un tant soit peu notre expectative de vie privée ? Plus fondamentalement, ces objets sont-ils conformes à nos valeurs ?

Les enjeux de sécurité

La sécurité des objets de l’IdO est un enjeu majeur non résolu qui participe davantage à vulnérabiliser nos enfants plutôt qu’à en assurer leur sécurité. Dans un rapport publié en 2014, HP a évalué qu’environ 70 % des dispositifs de l’IdO comportaient des points faibles pouvant être exploités. Les objets pour enfants ne sont pas épargnés. Pour illustrer, une enquête de Which?, une association de consommateurs britannique, a révélé les vulnérabilités de quatre jouets pour enfants (tous disponibles au Canada) qui par des manœuvres assez simples permettent de communiquer à distance avec eux.

C’est d’ailleurs la combinaison des risques de sécurité et de surveillance illicite qui a mené l’Agence fédérale des réseaux allemands à bannir la poupée Mon amie Cayla et les montres intelligentes pour enfants (toutes disponibles au Canada). Concernant ces dernières, l’Agence a découvert que les parents les utilisaient pour écouter les enseignants en classe. En outre, si ces appareils offrent un sentiment de contrôle et de sécurité aux parents, les risques de piratages sont réels : « Une étude publiée par Forbrukerrådet, l’organisation de consommateurs norvégienne membre du Beuc, a révélé que des inconnus peuvent prendre le contrôle des montres testées afin de les utiliser pour suivre à la trace et mettre sur écoute les enfants ». Ainsi, ces technologies de contrôle et de surveillance ne donnent non seulement un faux sentiment de sécurité, mais contribuent à vulnérabiliser davantage nos enfants.

Les enjeux en matière de protection de la vie privée et des renseignements personnels

Un des enjeux les plus alarmants en matière d’IdO est la protection de la vie privée. En Europe, suite aux travaux effectués par le groupe de travail « Article 29 » sur la protection des données, la Commission européenne a adopté une posture à ce sujet. Côté canadien, on constate plutôt les faiblesses du régime actuel canadien en matière de protection de la vie privée et des renseignements personnels, ce qui est loin de rassurer les canadiens qui, pour la majorité, indiquent être « préoccupés par l’usage que des organisations pourraient faire de leurs renseignements personnels accessibles en ligne ». De plus, dans un rapport de 2014, le Commissariat à la protection de la vie privée du Canada en est même arrivé à questionner la compatibilité de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) dans le contexte de l’IdO.

  • Consentement

Plusieurs se questionnent sur la pertinence du modèle de consentement actuel. En effet, comment obtenir un consentement valide lorsque les objets connectés n’ont souvent pas d’interface utilisateur permettant d’en contrôler les paramètres ou d’accepter les mises à jour ? De plus, les utilisateurs semblent très souvent manquer d’information quant au traitement des données effectué par ces objets. Décidément, on se pose trop peu de questions à ce sujet. D’ailleurs, plus tôt cette année, les utilisateurs de CloudPets (disponible au Canada) ont été scandalisés d’apprendre que ces jouets qui étaient activés par la voix enregistraient toutes les interactions dès qu’ils étaient en « mode activation ». De surcroît, ces enregistrements étaient dirigés de manière non sécurisée à une base de données en ligne publiquement accessible à l’insu des utilisateurs.

Par ailleurs, en présence d’objets connectés pour enfants, on devrait se demander si ces derniers peuvent valablement consentir à une collecte de données les concernant. Compte-tenu des difficultés susmentionnées, il serait peut-être judicieux de s’inspirer d’ailleurs. En effet, aux É.-U., sous le régime de la Children’s Online Privacy Protection Act (COPPA), avant même d’effectuer une collecte de données, un consentement parental vérifiable est exigé lorsque les exploitants de sites Web, d’applications et de services en ligne s’adressent aux enfants américains de moins de 13 ans ou qu’ils recueillent sciemment des renseignements à propos d’eux. Également, dès l’entrée en vigueur du Règlement Général Européen sur la Protection des Données (RGPD), en 2018, il faudra obtenir le consentement par le titulaire de la responsabilité parentale pour effectuer un traitement licite des données des enfants au sein de l’U.E.

  • Collecte de données et renseignements personnels

La notion même de renseignements personnels est compliquée par le contexte de l’IdO. Si les organisations doivent s’assurer de la protection, par des moyens appropriés, des renseignements personnels selon leur degré de sensibilité (art. 4.7 et ss.), une autre difficulté posée par l’IdO est qu’il n’est pas toujours possible de prévoir si les données recueillies permettraient éventuellement d’identifier un individu, soit par leur combinaison avec différentes données ou par l’utilisation d’algorithmes. La difficulté de déterminer ce que constitue une information personnelle ou sensible a vraisemblablement comme conséquence que les mesures actuelles pour en assurer la protection sont inconsistantes. Ne devrait-on pas exiger davantage de garanties de protection, tout particulièrement en ce qui a trait aux objets connectés pour enfants ? S’assurer que les mesures de sécurité adoptées par l’ensemble des intervenants soient conformes à nos attentes ?

  • Responsabilité

Même si la responsabilité sous la LPRPDE est claire, c’est-à-dire qu’elle tient les organisations responsables de la collecte, de la gestion et de la protection des renseignements personnels qu’elle a sous sa garde, même lorsqu’elle les confie à une tierce partie (art. 4.1 et ss.), « [c]ela peut être plus facile à dire qu’à faire dans l’environnement de l’Internet des objets où il y a une multitude d’intervenants, comme les fabricants d’appareils, les plateformes sociales et les applications de tierces parties. » Tous ces intervenants jouent un rôle dans la chaîne des données. Ainsi, où commence et prend fin la responsabilité pour chacun de ceux-ci ? En cas de dommage, à qui devrait être attribuée la responsabilité ?

En faisant le survol rapide de la LPRPDE, on s’aperçoit assez vite que le cadre légal en matière de vie privée n’est pas tout à fait adapté aux enjeux de l’IdO. Réalistement, la majorité des consommateurs ne se pose pas la question du cadre légal suffisant en achetant leurs produits, mais il faut se sensibiliser à ces enjeux pour éviter de mauvaises surprises plus tard ; surtout lorsque la sécurité et la vie privée de nos enfants est en jeu.

L’IdO, la prudence et l’approche Amish

La sécurité de nos enfants et la protection de leur intimité est sans aucun doute au cœur des préoccupations de notre société. Compte-tenu de l’encadrement légal insuffisant en matière d’IdO et des risques majeurs de sécurité, ne serait-il pas plus sage de ne pas intégrer de telles technologies dans la vie de nos enfants ? D’exiger un meilleur encadrement légal les concernant ? Le RGPD le souligne dans son préambule : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. » En attendant de meilleures garanties de sécurité et de vie privée, et avant de faire nos achats de Noël, pourquoi ne pas se laisser guider par la manière de faire Amish ? C’est-à-dire d’amorcer la réflexion sur les nouvelles technologies en supposant ne pas en avoir besoin et de les adopter que si elles sont conformes à nos valeurs. En effet, il est grand temps de se demander si entourer nos enfants d’objets connectés est véritablement le reflet de nos valeurs en tant que société.

 

Sur le même sujet

Derniers tweets