Objets connectés et données personnelles
Les objets personnels connectés recueillent des données auprès des utilisateurs ou de leur environnement. Ces données sont transmises à un serveur internet proposé par le fabricant de l’objet, soit directement (par Wifi par exemple), soit par l’intermédiaire de l’application compagnon de l’objet (installée sur le smartphone ou la tablette de l’utilisateur).
Les données transférées sur les serveurs Internet des fabricants sont stockées dans des bases de données. Ce stockage, au-delà de faciliter à l’utilisateur l’accès à distance et permanent à ses données, peut également être exploité par le fabricant ou l’un de ses partenaires pour la réalisation de statistiques ou d’études liées aux comportements des utilisateurs.
Les différents types de données
Les objets connectés sont soumis au respect de la vie privée et à la protection des données personnelles, dont le cadre légal est défini par la Directive européenne 95/46/CE. Cette Directive définit les différents types de données générées par les objets connectés, auxquels la loi impose des contraintes spécifiques aux entreprises collectant ces données :
- des données personnelles dites “sensibles” : elles « font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. ». La loi européenne interdit de traiter et de collecter ce type de données sauf en cas de consentement “exprès” de la personne concernée. La loi française impose des règles de sécurité supplémentaires pour les données dites « de santé »
- des données personnelles : elles peuvent être directement rattachées à un individu mais ne relèvent pas du cadre des données sensibles. Le fabricant peut ainsi s’affranchir de certaines contraintes pour leur traitement et leur collecte.
- des données « non personnelles » : type de données ne permettant pas de relier les informations stockées à un individu précis (pas d’adresse courriel ni postale, pas de numéro de téléphone dans la base de données).