L’IoT pose de nouvelles questions auxquelles visiblement, les réponses manquent ou sont insuffisantes. De fait, lorsqu’on parle de régulation et de loi, le constat est simple: «il n’y a rien et c’est peut-être mieux ainsi, car cela va permettre d’explorer les usages de l’IoT!». Le vide n’en est que plus grand. Car comment, concrètement, protéger la vie privée quand on sait que, à l’horizon 2020, 40% de l’information proviendra de capteurs… et que, déjà, on en comptera 25 milliards en 2015?
Qui dit IoT dit hyperconnectivité -et donc surveillance permanente. Comment assurer le respect des libertés et droits des citoyens? Comment atteindre ce compromis entre garantie de la sécurité des citoyens et respect des libertés, tout en gardant leur confiance? Ces questions sont étudiées très activement à l’Université de Luxembourg. Présents au quatrième séminaire de l’année de l’APSI, les Prof. Dr. Yves Le Traon et Thomas Engel ainsi qu’Alicja Gniewek, étudiante, ont avancé plusieurs pistes de travail.
Toute nouvelle technologie est simultanément porteuse d’un surcroît de libertés comme de menaces inédites, a rappelé Yves Le Traon. Et l’IoT ne fait pas exception. Les anciens grecs l’ont bien compris, désignant sous le terme «pharmakon» cette double nature ambigüe de toute innovation, potentiellement tout à la fois remède, poison et bouc émissaire des problèmes qu’elle crée.
Avec l’IOT, le principe de connexion volontaire à Internet disparait au profit de capteurs «intelligents» toujours connectés. On parle même de «droit au silence des objets». Principe selon lequel le citoyen obtient la certitude que les objets connectés autour de lui ne divulguent aucune information le concernant sans son consentement. L’un des challenges est donc la garantie pour l’utilisateur de contrôler l’utilisation de ses données personnelles.
Tâche ardue s’il en est qui consistera à concilier des intérêts antinomiques. Qu’il s’agisse d’établir une législation contraignante en matière d’interopérabilité des systèmes ou d’exiger des constructeurs de capteurs qu’ils appliquent un principe d’opt-in, le processus législatif est nécessairement beaucoup plus lent que l’évolution technologique soumise aux seules contraintes d’une concurrence débridée.
«Peut-on encore se baser sur le cadre légal pour protéger la vie privée», interroge Thomas Engel. La question est à la base du concept «Privacy by Design», ce dispositif technique de protection intervenant en amont dès la conception du produit, avant que tout dommage ne puisse être réalisé, en respectant le principe tout au long de son cycle de vie. Possible, vraiment?
Pas d’opt-in, pas d’opt-out. Pas de consentement, donc. «Car si on ne sait pas quelles données vont pouvoir générer ces multiples objets, on ignore tout autant ce qu’il en sera fait demain; c’est le problème de la seconde vie des données», expose Alicia Gniewek. Durant l’exploitation des données, celles-ci sont stockées et peuvent rejoindre le big data, pour ressortir plus tard. Comment, dans ces conditions, un utilisateur peut consentir à la transmission de ces données s’il ne sait pas précisément de quelle manière elles seront exploitées? Face à ce challenge, le rôle des autorités de régulation devient central car ce sont les seules à pouvoir nous assurer que les données rejoignant le big data soient anonymisées irréversiblement pour éviter que l’on puisse remonter à l’identité des utilisateurs.
Le «paradoxe de la privacy»
On désigne ainsi le fait que, quelles que soient les valeurs ou les inquiétudes dont ils témoignent publiquement, certains n’hésitent pas à fournir beaucoup d’informations sur eux-mêmes, surtout s’ils estiment que la contrepartie en vaut la peine. Ils ne sont pas pour autant inconscients des risques, mais ils les gèrent, ils arbitrent. On passerait alors peut-être d’un droit centré sur la protection des individus à un droit centré sur la maîtrise par les individus de leurs données, de leurs manifestations, de leur image.