Lexique > Internet des Objets

Lexique IT

Internet des Objets

L’Internet des Objet, ou Internet of Things (IoT), fait référence aux dispositifs fixes et mobiles connectés à l’Internet.

Ces dispositifs permettent généralement une communication directe entre eux, avec ou sans fil, et ainsi l’échange d’informations.

Ils peuvent être autonomes ou dépendants à d’autres systèmes (smartphone, ordinateur…).

L’Internet des Objets représente une source importante de vulnérabilités exploitables dans un plus grand nombre d’environnements et, en raison de la qualité élevée des interconnexions entre les périphériques et les systèmes, une voie de propagation potentielle plus rapide vers de multiples appareils.

La mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées au risque doit donc être assurée dans tous les éléments d’un système connecté, car une vulnérabilité dans un composant donné peut potentiellement compromettre l’ensemble.

L’Internet des Objets traitant par principe un nombre élevé de diverses catégories de données à caractère personnel, mais créant également par eux-mêmes de nouvelles données et métadonnées, leur conformité au RGPD est donc importante pour les droits et liberté des personnes concernées, mais également des tiers.

En particulier, l’Internet des Objets permet l’établissement de connexions entre des informations qui semblent isolées et sans lien.

Il permet également de générer des connaissances à partir de données banales, voire de données considérées comme « anonymes » en raison de la prolifération de capteurs, révélant des aspects spécifiques des habitudes, des comportements et des préférences des personnes physiques.

Le volume d’information collecté par l’Internet des Objets présente un intérêt dans le cadre du Big Data, mais également du développement de l’Intelligence Artificielle.

Point RGPD

« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »

Article 25 du RGPD

Point jurisprudence

L’autorité de contrôle espagnole a pu rappeler que « la façon dont les envois de prospection commerciale directe sont mis en œuvre a évolué. Au lieu de simples courriers électroniques atteignant les boîtes mail des clients, apparaissent actuellement sur les écrans des téléphones intelligents et des ordinateurs des publicités ciblées. Dans un avenir proche, la publicité pourrait également être intégrée sur des appareils intelligents connectés à l’internet des objets ».

Agencia Española de Protección de Datos, 6 juillet 2021, N° PS/00259/2020

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.