Faut-il réguler spécifiquement le secteur des objets connectés ? La présidente de la commission de la Culture au Sénat en est persuadée. Catherine Morin-Desailly a déposé une proposition de résolution européenne sur l’encadrement des objets connectés et le développement de l’Internet des objets dans l’Union européenne.
Avec le développement des objets connectés, « des inquiétudes légitimes se manifestent quant aux usages qui peuvent être faits des données personnelles recueillies par ces objets ainsi qu’à la sécurité de ces dispositifs » explique Catherine Morin-Desailly dans les propos introductifs.
Elle cite en exemple des dispositifs « cruciaux dans la vie quotidienne voire même vitaux pour leurs usagers, » dans le secteur de la santé ou des voitures connectées et bientôt autonomes.
Dans la résolution, tout juste enregistrée au Sénat, mais que nous avons pu obtenir en avant-première, elle propose ainsi plusieurs pistes pour cet encadrement, mais sans définir ce qu'est un objet connecté.
Elle demande en premier lieu « l’adoption d’un outil réglementaire de reconnaissance et d’autorisation des objets connectés à destination des consommateurs européens prenant la forme d’une certification européenne ». L’idée ? Qu’une certification soit instaurée en Europe afin d’imposer un haut niveau de sécurité et de confidentialité.
Droit au silence des puces
Elle considère en effet qu’avec cette certification, chaque utilisateur doit disposer d’un « droit au silence des puces », avec lequel l’objet connecté pourra être désactivé en tout ou partie. De même, elle introduit « l’obligation de rendre possibles les mises à jour de sécurité pour tout objet connecté à destination des consommateurs ».
À l’image du RGPD, qui prévoit déjà une sécurité renforcée pour les traitements ingurgitant des données sensibles (opinion, orientation sexuelle, etc.), la présidente de la commission de la Culture recommande « l’usage de technologies cryptographiques » afin d’assurer des « niveaux de sécurité plus exigeants ».
Elle rappelle en ce sens l’importance d’offrir à chaque utilisateur un droit de rectification, d’effacement et d’opposition. Rien de révolutionnaire ici puisque c’est un écho au règlement général sur la protection des données.
Une obligation de localisation et de traitement dans l'UE
Néanmoins, une disposition va beaucoup plus loin, c'est celle concernant le Data Residency. Derrière l’expression, on trouve l'« obligation de localisation et de traitement des données personnelles des consommateurs européens sur le territoire de l’Union européenne ». Cette contrainte n’est pas prévue par le RGPD, qui autorise par exemple les transferts de données au-delà de l’Union, mais sous couvert du respect d’un certain nombre de garanties.
Pour justifier cette mesure, la parlementaire veut tenir compte du « risque de surveillance, par des entités non européennes soumises à des régimes juridiques autorisant les intrusions gouvernementales dans leur système d’information ».
Parmi les autres pistes de sa proposition de résolution, relevons le souhait que « l’Union européenne développe sa présence dans les enceintes internationales d’établissement des normes et des standards de sécurité en matière numérique, et particulièrement l’Internet des objets ».
Les résolutions européennes, lorsqu’elles aboutissent, sont des instruments non contraignants qui servent à faire connaître une volonté politique déterminée. Elles peuvent néanmoins servir de sources d’inspiration ou de lignes directrices pour les futurs textes du législateur européen.
