Internet des Objets à l'horizon 2025

Recherche

Légende

Orange : Tendance lourde

Bleu : Incertitude majeure

Violet : Rupture possible

Contact

Cécile Désaunay
Tél. +33 (0)1 53 63 37 78

Article étude réservé

Quelle réglementation pour l'IoT ?

Le déploiement des systèmes IoT et leurs impacts potentiels sur les individus et les entreprises font émerger de nouvelles problématiques de réglementation avec un besoin d’adaptabilité à un domaine mouvant (protection des données, vie privée, sécurité…).

Les prémices d’une réglementation fragmentée

 

Comme indiqué précédemment, il existe beaucoup de réticences à établir une réglementation spécifique dans un secteur jugé encore immature. De ce fait, les réglementations afférentes à l’IoT reposent sur des réglementations existantes, qui sont adaptées au fur et à mesure pour répondre aux besoins engendrés par ces développements.

Deux types d’initiatives réglementaires sont en cours :

— Des initiatives sectorisées, portées par les acteurs industriels souhaitant établir un cadre réglementaire pour leurs activités sectorielles. Ainsi, en janvier 2014, la Commission européenne a lancé et financé le projet AdaptIVe avec des constructeurs automobiles et des équipementiers autour de l’automatisation des véhicules.

— Des interventions des autorités publiques dans des domaines nécessitant des arbitrages entre les parties prenantes (industriels, société civile…).

  • En Europe : une réglementation axée sur la donnée

D’un point de vue réglementaire, l’Union européenne s’intéresse peu à l’objet connecté lui-même et préfère concentrer sa réflexion sur les données. La croissance exponentielle des données générées par l’essor de l’IoT incite les autorités européennes à adapter la législation. Ainsi, un nouveau texte vient d’être adopté par le Parlement européen en avril dernier, qui vient remplacer la directive de 1995 (95/46/EC) concernant les données, jugée dépassée. La négociation pour remplacer la directive de 2002 (2002/58EC) dédiée aux communications électroniques a commencé en 2016 à Bruxelles. Plusieurs articles ont été ajoutés à l’ancienne législation :

— Le droit à l’oubli.
— Un meilleur contrôle des parties qui détiennent des données privées.
— Le droit pour un individu de récupérer les données personnelles qu’il a fournies et de les transmettre à un autre fournisseur de services (droit à la portabilité).
— Le droit pour les utilisateurs d’être informés dans un langage simple et clair.
— Le droit pour l’utilisateur d’être informé en cas de piratage des données.
— La mise en place de limitations claires au recours au profilage par les entreprises.

Parallèlement, plusieurs réflexions sont toujours menées par le groupe de travail de l’« article 29 » (réunissant les autorités nationales de protection des données, comme la CNIL en France). Ces réflexions ont pour but d’aider les utilisateurs à maîtriser leurs données. L’objectif affiché est d’arriver à mettre en place des marchés d’échanges de données avec une régulation adaptée. Ces réflexions se concentrent sur des principes d’anonymisation, de droit à la portabilité et à l’accès des données par les individus, sur la typologie des données (différencier les données sensibles) et sur le privacy by design, le respect de la vie privée intégré dès la conception de l’objet.

  • Aux États-Unis : une réglementation centrée sur l’objet

Une audience du comité sénatorial américain sur le commerce, la science et les transports, du 11 février 2015, illustre la vision des organismes de régulation américains qui souhaitent se concentrer sur l’objet. Le panel de personnes interrogées représentant toute les parties prenantes (industriels, chercheurs, associations…) s’accorde sur le fait qu’une régulation nationale sur l’IoT ne serait pas une bonne réponse aux enjeux soulevés. Une vision partagée par la Federal Trade Commission. Le panel souligne en revanche que l’intégration de la sécurité dans l’objet est primordiale. En d’autres termes, la notion de privacy by design est privilégiée pour assurer le respect de la vie privée et les pratiques de sécurité.

Cette notion est aussi celle retenue par l’Union internationale des télécommunications, qui déclare que cette approche est la plus désirable pour assurer la sécurité et protéger la vie privée des individus.

Quelles règles pour la concurrence, la propriété des données et la responsabilité ?

  • Les règles de la concurrence : l’écosystème de l’IoT étant émergent, les répercussions en termes d’évolution des business models et de la concurrence sont encore peu connues. Néanmoins, des évolutions de marché sont déjà palpables, notamment concernant les risques d’abus de position dominante. Des mécanismes institutionnels devront alors être mis en place pour améliorer la compétitivité du domaine de l’IoT. Les réglementations économiques actuelles (concurrence, fiscalité, etc.) pourraient être complétées par des dispositions spécifiques à l’IoT.
  • La propriété des données : l’intervention de multiples acteurs au sein des différentes couches complique l’application d’un droit sur les données et l’attribution d’un droit de propriété.
  • La responsabilité : les organismes régulateurs devront déterminer les responsabilités de chacun en cas de défaillance d’un système. Cela pourrait se faire au cas par cas.

Vers une localisation des données?

 

En matière de droit des données, les distinctions sont conséquentes entre les États appliquant une politique juridique forte de protection des données personnelles (Europe, Canada, Argentine…), les États où cette protection est limitée par d’autres impératifs (économiques, sécuritaires…) et enfin les États majoritairement émergents n’appliquant aucune législation particulière. Ces distinctions s’inscrivent dans un contexte plus large de développement de la souveraineté numérique, illustré par la problématique de la localisation des données.

Actuellement, plusieurs pays adoptent des lois visant à assurer le stockage des données de leurs ressortissants sur le sol national. Ce mouvement s’appuie sur des préoccupations à la fois économiques, compte tenu des valeurs potentielles des informations, sécuritaires (affaire Snowden) et légales pour des raisons de juridiction en matière de droit des données.

Ainsi, en 2013, le Brésil a lancé un projet de loi intitulé « Marco Civil da Internet » prévoyant l’obligation pour les entreprises de l’Internet de conserver leurs serveurs au Brésil. Cette obligation a finalement été exclue de la version définitive adoptée en avril 2014 par les législateurs brésiliens. Néanmoins, plusieurs pays comme le Canada, le Nigeria, l’Australie, l’Indonésie ou bien encore le Viêtnam ont déjà adopté des exigences similaires de localisation des données majoritairement en faveur des données issues d’organismes publics. La loi adoptée par la Russie en 2014 et entrée en application en septembre 2015 va plus loin en imposant aux opérateurs de collecter, stocker et traiter les données des citoyens russes uniquement via des serveurs localisés en Russie[1].

Dans le cas de l’Union européenne, la directive sur la protection des données s’applique aux pays de l’Union et ceux de l’Espace économique européen. Le transfert des données personnelles vers d’autres pays n’est possible que si un niveau de protection adéquat est garanti. Cette politique de protection des transferts de données était aussi au coeur de l’accord Safe Harbor entre l’Europe et les États-Unis. Cet accord prévoyait qu’une entreprise européenne pouvait transférer ses données à une entreprise américaine si celle-ci était certifiée Safe Harbor et fournissait régulièrement des preuves de conformité. Cet accord a été invalidé le 6 octobre 2015 par la Cour de justice européenne et est en cours de renégociation.

Ces politiques juridiques de localisation des données intéressent désormais de nombreux pays. En cas de mise en oeuvre, elles pourraient avoir un impact important sur les possibilités d’échanges de données et, par-là, sur l’interopérabilité et le développement même des objets connectés.

Perspectives à l’horizon 2025

Les réglementations s’établiront principalement sur la base des dispositions et méthodes existantes. À cet égard, en Europe au moins, la gouvernance des données constituera une référence essentielle pour l’IoT. Ceci d’ailleurs inclura la monétisation des données qui entrera progressivement dans les faits en raison du développement des échanges dans le domaine.

En revanche, les aspects spécifiques à l’IoT et notamment les questions de standardisation pourront faire l’objet de régulation selon plusieurs schémas. Des initiatives poussées majoritairement par les acteurs industriels permettront d’appréhender les spécificités de l’IoT. Une partie des règles et des méthodes pourrait être déterminée par la volonté d’acteurs disposant d’une puissance significative sur le marché[2] et ayant réussi à imposer un standard, ou par des écosystèmes d’entreprises souhaitant se différencier de la concurrence. Les pouvoirs publics formuleraient alors des réglementations permettant d’orienter les décisions de ces acteurs.

Dans le même temps, en raison des changements induits par l’IoT, des normes sectorielles ou sous-sectorielles seront adoptées en complément de ce qui existe déjà, comme par exemple pour la domotique, l’automobile, l’aéronautique ou les réseaux de distribution d’énergie, etc.

Cependant, même si les jeux d’acteurs (notamment des industriels) seront déterminants, des arbitrages seront poussés et favorisés par la puissance publique en fonction de ses objectifs. Les autorités publiques pourraient ainsi favoriser la corégulation. Par exemple, la Federal Trade Commission américaine[3] souhaite voir se développer des formes de corégulation entre acteurs publics et privés. Elle pourrait, de même, imposer une réglementation, en arbitrant entre les parties prenantes sur un domaine qu’elle jugerait nécessaire (protection de la vie privée, sécurité etc.).

 


[1] BOWMAN Courtney M., « A Primer on Russia’s New Data Localization Law », Proskauer Privacy Law Blog, 27 août 2015. URL : http://privacylaw.proskauer.com/2015/08/articles/international/a-primer-on-russias-new-datalocalization-law/. Consulté le 24 août 2016.

[2] Puissance sur le marché : voir à ce propos les lignes directrices adoptées par la Commission européenne, publiées au Journal officiel des Communautés européennes, en juillet 2002. URL : http://www.arcep.fr/fileadmin/reprise/textes/ligne-dir-072002.pdf. Consulté le 24 août 2016.

[3] « FTC Report on Internet of Things Urges Companies to Adopt Best Practices to Address Consumer Privacy and Security Risks », communiqué de presse FTC, 27 janvier 2015. URL : https://www.ftc.gov/news-events/pressreleases/2015/01/ftc-report-internet-things-urges-companies-adopt-best-practices. Consulté le 24 août 2016.