Aller au contenu principal

Protection des données personnelles et objets connectés

Objets connectés et données personnelles

Les objets personnels connectés recueillent des données auprès des utilisateurs ou de leur environnement. Ces données sont transmises à un serveur internet proposé par le fabricant de l’objet, soit directement (par Wifi par exemple), soit par l’intermédiaire de l’application compagnon de l’objet (installée sur le smartphone ou la tablette de l’utilisateur).

Les données transférées sur les serveurs Internet des fabricants sont stockées dans des bases de données. Ce stockage, au-delà de faciliter à l’utilisateur l’accès à distance et permanent à ses données, peut également être exploité par le fabricant ou l’un de ses partenaires pour la réalisation de statistiques ou d’études liées aux comportements des utilisateurs.

 

Les différents types de données

Les objets connectés sont soumis au respect de la vie privée et à la protection des données personnelles, dont le cadre légal est défini par la Directive européenne 95/46/CE. Cette Directive définit les différents types de données générées par les objets connectés, auxquels la loi impose des contraintes spécifiques aux entreprises collectant ces données :

  • des données personnelles dites “sensibles” : elles « font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. ». La loi européenne interdit de traiter et de collecter ce type de données sauf en cas de consentement “exprès” de la personne concernée. La loi française impose des règles de sécurité supplémentaires pour les données dites « de santé »  
  • des données personnelles : elles peuvent être directement rattachées à un individu mais ne relèvent pas du cadre des données sensibles. Le fabricant peut ainsi s’affranchir de certaines contraintes pour leur traitement et leur collecte.
  • des données « non personnelles » : type de données ne permettant pas de relier les informations stockées à un individu précis (pas d’adresse courriel ni postale, pas de numéro de téléphone dans la base de données).

 

Attention

Malgré ce cadre, il n’existe pas de définition légale de la « donnée de santé » permettant d’harmoniser les pratiques des fabricants pour le traitement et la collecte des données issues des objets connectés. Par conséquent, chaque fabricant adopte le cadre réglementaire qu’il juge approprié : anonymisation des données collectées pour être considérées comme des données non personnelles, considérer les données collectées comme non sensibles pour relever uniquement du cadre des données personnelles, ou déclaration de données de santé pour s’imposer une sécurisation maximale des données…

Vos droits

Le cadre légal qui s’applique à l’entreprise hébergeant les données personnelles (appelé légalement le « Responsable de Traitement ») est celui du lieu de résidence où il est établi. Par exemple, si celui-ci se trouve en Italie, le cadre réglementaire italien sera appliqué. 

Tout utilisateur d’un objet connecté dispose :

  • d’un droit à l’information (connaître l’identité du responsable de traitement, la finalité poursuivie par le traitement)
  • d’un droit d’opposition à ce que ses données personnelles fassent l’objet d’un traitement
  • d’un droit d'interroger le Responsable de traitement sur les types de traitements réalisés avec ses données personnelles 
  • d’un droit de rectification (modifier, effacer, verrouiller l’accès à ses données personnelles) 

L’utilisateur est informé de ses droits ainsi que de l’utilisation qui sera faite de ses données (stockage, modalités pratiques pour exercer ses droits, exploitation, cession à des tiers à des fins de prospections commerciales, propriété des données…) dans les Conditions générales d’utilisation (CGU) de l’application. Le Guide de la santé connectée vous apporte les éclairages nécessaires à l’interprétation de ces informations.