Le Net est en train de faire face à deux changements majeurs et contradictoires : d’un côté il y a le grand boom des objets connectés dépourvus de sécurité, de l’autre, il y la deadline du règlement européen GRDP, relatif à la protection des données personnelles. Comment ces deux défis vont-ils changer le cours des choses ?
L’avènement des objets connectés au travers de l’IoT [Internet of Things ; Internet des objets, NDLR] est désormais une réalité concrète. Cela génère une explosion du volume des échanges de données qui viennent notamment alimenter les outils du « marketing 4.0 ». Ces données, encore appelées « Big Data », vont promouvoir de nouveaux modèles d’offres et changer certains enjeux, en particulier pour les opérateurs. Dans ce contexte, le législateur européen n’aura pas tardé à légiférer avec la mise en place de la nouvelle loi de protection des données personnelles, la GRDP 2016/679 [General Data protection Regulation (GDPR), NDLR]. Il se produit donc deux événements majeurs qui se rejoignent accidentellement dans le temps. C’est un chanceux concours de circonstance que le législateur n’avait pas prévu alors que l’IoT va produire en masse des données souvent sensibles. Suite aux affaires Google et Facebook, il était temps de mettre un terme à la domination américaine en matière de collecte des données au profit des acteurs GAFA [Google, Apple, Fracebook, Amazon, NDLR] et au détriment du citoyen européen. La mort du Safe Harbor et la législation française mais aussi européenne laissaient alors un champ libre à l’anarchie des données. Désormais, la réglementation européenne détermine une limite en contraignant les opérateurs et les acteurs de la « data » par l’interdiction de transférer une donnée nominative hors de la zone européenne mais surtout en la gérant selon des directives très strictes. Les contrevenants s’exposent à de fortes sanctions : jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires !
Comment le GPRD va-t-il peser dans la balance ? Et qu’est-ce que cela va changer pour les opérateurs de service ?
L’objectif premier du texte est donc de protéger le citoyen dans son identité digitale. Droit inexistant au demeurant si vous n’êtes pas citoyen européen ou hors du territoire européen, le tout applicable le 28 mai 2018. Le second objectif est une révolution pour les acteurs du numérique en charge de la collecte, de la gestion et de la diffusion des données personnelles. L’acteur économique le plus concerné par ces changements – l’infogérant des infrastructures – devra s’assurer auprès de ses clients qu’ils respectent bien la loi. Du coup, il financera les audits afin de se prémunir d’un défaut de moyen de son client ou d’un intermédiaire faute d’être lui-même directement mis en cause ! C’est un changement considérable pour les opérateurs. Il nécessite une révision de certains modèles économiques due aux impacts financiers, de contrôle et de rigueur qu’impose la réglementation.
Quid des objets connectés ? Sans législation de ce côté, le GPRD ne devient-il pas contradictoire ?
C’est la double peine ! Ils vont non seulement contraindre très fortement la bande passante internet mais aussi accroître les volumes de données et ceci sans nous dire si la donnée collectée est personnelle ou non ! Le législateur n’avait pas prévu cela, ayant oublié en première instance, de légiférer sur ces petits objets anodins au premier abord. Les directives techniques annoncées par Bruxelles laissent un an à la zone communautaire pour se préparer. Sans omettre que, suite au Brexit, va s’amorcer la mutation d’un grand nombre de centres de données britanniques vers la zone Schengen. Une bien belle opportunité pour l’Europe continentale. Il faut retenir de ce constat que la mutation 4.0 annonce un tournant pour l’Europe et les acteurs du monde numérique. Pour la première fois, les prestataires vont réellement assumer la protection directe des citoyens.
N’est-ce pas le prix à payer pour retrouver la souveraineté de nos données ?
Quoi qu’il en soit, le législateur a tout de même oublié de sanctuariser un minimum de normes pour assurer la sûreté des objets connectés. Sûreté qui devrait non seulement faciliter l’identification d’une donnée personnelle mais aussi protéger l’utilisateur du cyber-risque. Car l’avènement de l’IoT sans régulation de normes de sûreté engendre une prolifération de bombes cybernétiques à retardement.
Propos recueillis par Ségolène Kahn
Commentez