On parle de 50 milliards d’objets connectés d’ici 2020 dans le monde. Les objets connectés, tels que le smartphone ou la tablette, ont vocation à recueillir, à échanger et à exploiter des volumes massifs de données à caractère personnel. Les systèmes embarqués dans ces technologies permettent de connaitre précisément les habitudes des utilisateurs notamment sur leur consommation énergétique grâce aux compteurs intelligents, leurs déplacements par le biais de la géolocalisation ou encore leur santé (podomètres et autres objets de l’e-santé etc…).
Par exemple, en ayant spontanément téléchargé l’application de coaching sportif sur un smartphone, les mobinautes peuvent demeurer perplexes quand celui-ci annonce en fin de journée le nombre de pas effectués !
Bien qu’il s’agisse de technologies innovantes, elles sont néanmoins très intrusives de la vie privée. Et, sauf à vivre hors du temps, il est aujourd’hui difficile d’échapper à ce profilage permanent qui identifie les habitudes de vie de chacun et organise à leur insu l’exploitation de leurs données.
Devant ces nouveaux risques et face à l’augmentation des traitements de données numériques, les autorités Européennes ont réagi en imposant aux opérateurs économiques, responsables du traitement de données personnelles, d’anticiper les atteintes à la vie privée.
Le règlement européen du 27 avril 2016 (Règlement UE 2016/679) impose désormais aux responsables du traitement de données, de protéger la vie privée, dès la conception du système d’information. Il s’agit d’inscrire les opérateurs qui exploitent ces données, dans une démarche proactive, responsable et éthique, destinée à renforcer la confiance des utilisateurs.
Concrètement, le responsable du traitement de données devra se conformer aux exigences suivantes :
– minimiser l’utilisation des données personnelles ;
– limiter le volume des données traitées ;
– limiter la durée de conservation des données ;
– limiter les destinataires des données ;
– privilégier l’anonymisation des données ;
– assurer un niveau de sécurité élever de protection des données ;
– assurer une formation du personnel de l’entreprise ;
– documenter l’ensemble des mesures prises pour assurer le respect de ces mesures.
Le respect de la vie privée et la protection des données devront être envisagés dès le développement et la conception des systèmes informatiques et la conception des réseaux. Les développeurs d’applications, de plateformes et de produits électroniques devront absolument intégrer la gestion du risque informationnel à l’aune de cette nouvelle réglementation.
Les mesures techniques et organisationnelles devront être en place dans les entreprises, au plus tard, avant le 25 mai 2018. A défaut, l’absence de mise en œuvre du Privacy by Design pourrait conduire à de lourdes amendes, pouvant aller jusqu’à 10.000.000€ ou 2% du chiffre d’affaires mondial (article 83.4 du Règlement).
Au-delà des potentielles sanctions, l’anticipation de ces risques informationnels constitue pour les entreprises une opportunité de faire de la protection de la donnée un véritable outil de valorisation de leurs actifs et un moyen de regagner la confiance de leurs clients.