24 avril 2015 — Télévision qui obéit au son de notre voix, bracelet qui enregistre nos performances sportives, thermostat qui se déclenche à distance quand on approche de la maison, montres intelligentes, réfrigérateur qui fournit des recettes en fonctions des aliments qu’il contient ; tout ceci n’est pas de la science-fiction!
Ces objets existent et sont offerts au grand public. Ils touchent tous les secteurs de nos vies : maison, sports, loisirs, santé, mode, famille, automobile, etc. Ils sont connectés à Internet, contiennent des capteurs et sont capables de communiquer entre eux. On parle d’objets connectés ou intelligents, mais aussi d’Internet des objets. Ce marché est en pleine expansion. Selon une étude du cabinet IDATE, 80 milliards d’objets connectés devraient être en circulation en 2020.
Alimentés par les habitudes de vie de leurs utilisateurs, ces objets intelligents sont très gourmands lorsqu’il est question de renseignements personnels.
Bien que consciente des avantages pratiques de ces objets intelligents, la Commission d’accès à l’information (ci-après « CAI ») est néanmoins préoccupée par les enjeux soulevés en matière de protection des renseignements personnels, et notamment :
- La collecte massive de renseignements personnels : elle semble dépasser ce qui est nécessaire pour assurer l’offre de service de l’objet en question. De plus, l’interconnectivité croissante de ces objets fait craindre une augmentation considérable de la quantité de renseignements personnels collectés et par conséquent amplifie l’intrusion dans la vie privée des utilisateurs ;
- Les finalités aux contours parfois flous : les renseignements personnels collectés à une fin précise connue de l’utilisateur (p. ex. : calcul de la vitesse de course sur un bracelet qui enregistre les performances sportives) peuvent être utilisés à d’autres fins. Elles sont souvent méconnues des utilisateurs et elles visent un objectif prospectif et indéterminé. Ainsi, les renseignements personnels vont être collectés dans l’hypothèse où ils pourraient servir un jour ;
- La qualité de l’information fournie aux personnes concernées : récemment, l’actualité nous a montré que la plupart des acheteurs d’une télévision intelligente ne savaient pas que les conditions d’utilisation précisaient que leurs conversations personnelles étaient enregistrées par le micro intégré à celle-ci et pouvaient être transmises à des tiers. La transparence est essentielle : l’entreprise doit informer les personnes concernées notamment des renseignements personnels collectés, des fins de la collecte et de la durée de conservation. Une information claire et compréhensible doit être fournie aux utilisateurs ;
- La communication de renseignements personnels à des tiers : de nombreux acteurs gravitent autour de l’écosystème des objets connectés: fabricants, développeurs d’applications, plateformes sociales, courtiers en données ou locateurs d’objets connectés peuvent échanger entre eux, voire vers d’autres tiers, les renseignements personnels collectés. En outre, d’autres compagnies et/ou organismes peuvent se montrer très intéressés par les renseignements personnels collectés. Les assureurs qui souhaitent de plus en plus adapter le coût des primes d’assurance aux habitudes de vie des consommateurs pourraient être intéressés par les renseignements recueillis à l’aide d’objets utilisés au quotidien ;
- La sécurité des objets connectés : il est impératif que les fabricants et les autres acteurs impliqués mettent en place des mesures de sécurité adaptées afin de limiter la vulnérabilité de ces objets. Une sécurité inadéquate pourrait encourager les tentatives de piratage, exposant ainsi les renseignements personnels des utilisateurs à des vols d’identité et/ou à d’autres atteintes graves à la vie privée.
La CAI invite les consommateurs à faire preuve de prudence et à paramétrer leurs objets intelligents afin de limiter, lorsque cela est possible, le caractère intrusif de ces derniers sur leur vie privée et leurs renseignements personnels.
Aussi, la CAI invite les fabricants à prendre en considération la protection de la vie privée et des renseignements personnels dans le processus de développement de ces produits. Cette préoccupation peut notamment se faire grâce à la mise en place d’évaluations d’impact sur la vie privée (ou en anglais de « privacy impact assessments ») et de paramètres par défaut protecteurs des renseignements personnels.
Pour rappel, les autorités mondiales de protection des renseignements personnels ont adopté une résolution (disponible seulement en anglais) en ce sens en octobre 2014 à l’occasion de leur conférence annuelle.