Notre cabinet spécialisé dans la protection des données personnelles vous accompagne dans la mise en conformité de vos objets connectés aux dispositions du RGPD.
Nos prestations
I. Les objets connectés
A. Définition :
Les objets connectés sont des « Objets qui captent, stockent, traitent et transmettent des données, qui peuvent recevoir et donner des instructions et qui ont pour cela la capacité à se connecter à un réseau d’information. »
On parle alors d’Internet des objets (Internet of Things en anglais - IoT) qui est l’interconnexion entre Internet et des objets.
Deux facteurs sont à prendre compte dans le régime juridique des objets connectés :
- Les droits de propriété intellectuelle : les objets connectés ont le droit à une protection particulière concernant les dessins et modèles de ces objets, de la marque mais également des logiciels utilisés pour faire fonctionner ces objets.
- La protection des données personnelles : les objets connectés vont collecter toute sorte de données à caractère personnelles qui sont protégées par les dispositions prévues dans le Règlement général de la protection des données (RGDP). Les concepteurs doivent donc mettre en place tous les éléments afin d’avoir une sécurisation fiable de ces données à caractère personnel.
B. Les règles applicables aux objets connectés :
Les objets connectés doivent donc être conformes aux différentes dispositions, les inventeurs doivent mettre en place différents procédés en matière de Réglementation sur les données personnelles :
- Le « Privacy by design » : ce principe est prévu à l’article 25 du RGPD qui prévoit : « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données ». Le responsable du traitement doit donc mettre en place une protection des données dès la conception du traitement de ces dernières.
- Le « Privacy by default » : prévu également au deuxième point de l’article 25 du RGPD, le responsable du traitement doit mettre tout en œuvre afin d’assurer la sécurité des données personnelles aux utilisateurs. Cette mesure s’applique à la quantité des données qui vont être collectées, à la finalité de leur traitement, mais également à la durée de conservation et leur accessibilité par les personnes autorisées pour le faire.
Le responsable du traitement doit également faire preuve d’un principe de loyauté dans la collecte des données des utilisateurs. La collecte doit être pertinente à la vue de la finalité du traitement prévu.
La collecte des données personnelles doit être réalisée dans les règles juridiques prévues. Il est commun aujourd’hui que les montres connectées, les smartphones, les balances, peuvent collecter vos données de santé. Or, les données de santé sont considérées comme des données sensibles et ne peuvent donc pas être collectées. Excepté dans certains cas prévus à l’article 9 du RGPD (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2).
Cette collecte est également permise après accord de la CNIL. De plus, l’hébergeur doit avoir un agrément spécifique délivré par le Ministère de la Santé après décision de la CNIL.
- Normes AFNOR :
Ces objets connectés doivent également être conforme pour disposer de la certification de la norme AFNOR.
Qu’est-ce que l’AFNOR ?
L’Association française pour la NORmalisation (AFNOR) a été créée en 1926 et élabore des normes. Elle délivre des certifications nationales ou internationales en collaboration avec l’ISO (organisation internationale de la commercialisation).
La conformité d’un produit aux normes françaises est désignée par un label officiel français qui est un gage de qualité et de sécurité.
C. Les risques des objets connectés
Les objets connectés peuvent faire l’objet de :
- Cyberattaques : en étant relié à un système Internet, les objets connectés peuvent être piratés. Les hackers peuvent avoir l’accès à vos données personnelles.
- Piratage dû à l’utilisation de vos données personnelles ce qui amènera à une atteinte de votre vie privée.
Un enjeu d’anonymisation est à relever dans ce cas de figure des données par le responsable afin de garantir une sécurité et une protection maximale des données des utilisateurs.
II. Les sanctions et le contrôle de la CNIL
Sanction en matière de données à caractère personnel
Le Code pénal, à l’article 226-17, prévoit : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l'article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d’amende. »
En cas de non-respect des dispositions du RGPD, le responsable du traitement pourra être puni de 5 ans d’emprisonnement et de 300 000 euros d’amende.
En cas de contrôle de la CNIL, si des manquements sont relevés, elle pourra sanctionner d’une amende administrative de 300 000 euros d’amende ou d’un montant qui s’élève à 5% du chiffre d’affaires mondial en cas de réitération dans les 5 ans de la première amende.
Le RGPD prévoit également des sanctions. Les amendes peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Dans le cadre d’une violation d’un droit de propriété intellectuelle
En tant que professionnel, si vous êtes victime de contrefaçon, ou de concurrence déloyale, vous pouvez agir.
Contactez notre cabinet, nos Avocats vous conseilleront et vous représenteront dans le cadre d’une action en contrefaçon ou d’une action en concurrence déloyale.
Point focus sur la majorité numérique :
Il est important de s’intéresser à cette question dans le cadre des objets connectés, car de plus en plus d’enfants et d’adolescents sont sujets à utiliser ces objets, rentrés dans la vie des français depuis plusieurs années.
Qu’est-ce que la majorité numérique ?
La majorité du numérique est l’âge à partir duquel un enfant peut consentir seul au traitement de ses données personnelles.
Le RGPD prévoit que la majorité numérique est à 16 ans, mais laisse une marge aux manœuvres aux Etats de fixer l’âge, mais cela ne peut pas être moins de 13 ans.
Loi du 20 juin 2018 relative à la protection des données personnelle fixe à 15 ans en Franca la majorité numérique.
Me Steve OUTMEZGUINE
Fondateur du Cabinet Avomedias
Contactez nous
contact@avomedias.law
01 84 14 52 02
Notre adresse
47 Avenue Hoche
75008 Paris
Premier rendez-vous gratuit
Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 17h
Nous écrire
Droit de l'Internet
Contactez-nous
Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle