6 décembre 2017 − En cette période de fin d’année et afin de faire écho à plusieurs articles parus ces derniers jours sur les jouets connectés (poupées, appareils d’apparence ludique permettant d’enregistrer et de communiquer avec un enfant, etc.), tant ici qu’à l’international, la Commission d’accès à l’information (la Commission) entend rappeler certains enjeux en matière de protection des renseignements personnels soulevés par ces jouets et, plus généralement par les objets connectés qui sont de plus en plus présents dans notre quotidien.
En effet, ces objets existent et sont offerts au grand public. Ils touchent tous les secteurs de nos vies : maison, sports, loisirs, santé, mode, famille, automobile, etc. Ils sont connectés à Internet, contiennent des capteurs et sont capables de communiquer entre eux. On parle d’objets connectés ou intelligents, mais aussi d’Internet des objets. Ce marché est en pleine expansion. Selon une étude du cabinet IDATE, 80 milliards d’objets connectés devraient être en circulation en 2020.
Alimentés par les habitudes de vie de leurs utilisateurs, ces objets intelligents sont très gourmands lorsqu’il est question de renseignements personnels.
La Commission invite les consommateurs à faire preuve de prudence lors de l’achat de ces jouets, de ces objets et à les paramétrer afin de limiter, lorsque cela est possible, le caractère intrusif de ces derniers sur leur vie privée et leurs renseignements personnels.
Bien que consciente des avantages pratiques de ces objets intelligents, la Commission est néanmoins préoccupée par les enjeux soulevés en matière de protection des renseignements personnels, et notamment :
- La collecte massive de renseignements personnels faite par les fabricants : cette collecte, qui se fait souvent à l’insu du consommateur, et ce, quel que soit son âge, semble dépasser ce qui est nécessaire pour assurer l’offre de service de l’objet en question. De plus, l’interconnectivité croissante de ces objets fait craindre une augmentation considérable de la quantité de renseignements personnels collectés et par conséquent amplifie l’intrusion dans la vie privée des utilisateurs ;
- Les finalités aux contours parfois flous : les renseignements personnels collectés à une fin précise connue de l’utilisateur (par exemple : calcul de la vitesse de course sur un bracelet qui enregistre les performances sportives) peuvent être utilisés à d’autres fins. Elles sont souvent méconnues des utilisateurs et elles visent un objectif prospectif et indéterminé. Ainsi, les renseignements personnels vont être collectés dans l’hypothèse où ils pourraient servir un jour ;
- La qualité de l’information fournie aux personnes concernées : l’actualité nous rappelle que la plupart des acheteurs d’une poupée ou d’une télévision intelligente ne savaient pas que les conditions d’utilisation précisaient que leurs conversations personnelles, et celle de leur enfant, étaient enregistrées par le micro intégré à cet objet et pouvaient être transmises à des tiers. La transparence est essentielle : l’entreprise doit informer les personnes concernées notamment des renseignements personnels collectés, des fins de la collecte et de la durée de conservation. Une information claire et compréhensible doit être fournie aux utilisateurs ;
- La communication de renseignements personnels à des tiers : de nombreux acteurs gravitent autour de l’écosystème des objets connectés: fabricants, développeurs d’applications, plateformes sociales, courtiers en données ou locateurs d’objets connectés peuvent échanger entre eux, voire vers d’autres tiers, les renseignements personnels collectés. En outre, d’autres compagnies et/ou organismes peuvent se montrer très intéressés par les renseignements personnels collectés. Les assureurs qui souhaitent de plus en plus adapter le coût des primes d’assurance aux habitudes de vie des consommateurs pourraient être intéressés par les renseignements recueillis à l’aide d’objets utilisés au quotidien ;
- La sécurité des objets connectés : il est impératif que les fabricants et les autres acteurs impliqués mettent en place des mesures de sécurité adaptées afin de limiter la vulnérabilité de ces objets. Une sécurité inadéquate pourrait encourager les tentatives de piratage, exposant ainsi les renseignements personnels des utilisateurs à des vols d’identité et/ou à d’autres atteintes graves à la vie privée.
La Commission invite les fabricants à prendre en considération la protection de la vie privée et des renseignements personnels dans le processus de développement de ces produits. Cette préoccupation peut notamment se faire grâce à la mise en place d’évaluations d’impact sur la vie privée (ou en anglais de privacy impact assessments) et de paramètres par défaut protecteurs des renseignements personnels.
Pour rappel, les autorités mondiales de protection des renseignements personnels ont adopté une résolution (disponible seulement en anglais) en ce sens en octobre 2014 à l’occasion de leur conférence annuelle.