On ne compte plus les innovations qui transforment des objets du quotidien en véritables machines intelligentes et la créativité des fabricants n’a pas de limite pour développer ce segment de marché : les applications de santé, les montres, les ustensiles de cuisine, les accessoires de sports, la domotique…
Les déclinaisons sont infinies et les perspectives vertigineuses puisque ces objets seront le socle des villes, des immeubles, des moyens de transport et des foyers de demain ! Mais ce pourrait également être l’avenir du corps humain grâce à l’intégration de dimensions technologiques dans notre organisme (c’est le fondement du courant transhumaniste qui met en avant la notion d’humanité augmentée).
Avant toute chose, il est nécessaire de circonscrire le champ de l’analyse en définissant ce qu’on entend par « objet connecté » ou « objet intelligent » (en anglais « Internet of Things » – IoT). Il est communément admis qu’il s’agit d’objets reliés par un réseau sans fil (internet, Wifi, bluetooth…) et qui proposent aux consommateurs des services sur la base des informations collectées par des puces ou des capteurs. Les objets connectés reposent principalement sur le traitement à grande échelle de données personnelles plus ou moins sensibles des utilisateurs afin de les analyser et de les partager (on parle parfois de « quantified self »).
Si l’on met de côté les enjeux sociétaux (ie. la prise de conscience de la nécessité d’adopter une certaine « hygiène » face à ces innovations) et les enjeux industriels (ie. les challenges rencontrés par les fabricants pour innover et produire ces nouveaux produits), il est primordial d’aborder la question de la régulation de ces objets connectés ou intelligents.
Le cadre juridique résulte de la conjonction de plusieurs ensemble de règles issues de différentes spécialités juridiques, ce qui impose que le juriste connaisse cette variété de normes et appréhende avec précision le fonctionnement effectif de ces objets. Pour aller au cœur des problématiques, nous avons sélectionné les enjeux clés.
1/ Les données personnelles : pour connaitre le client, comprendre ses besoins et fournir le service adéquat, les objets connectés reposent sur le traitement des données personnelles de l’utilisateur. Les règles résultant du RGPD et la loi informatique et libertés (en particulier, celles relatives aux données sensibles comme la santé) s’appliquent. Tous les acteurs de cette nouvelle industrie doivent en faire une priorité, en particulier car les articles 226-16 du Code pénal prévoient de lourdes sanctions en cas de violation des règles.
À titre d’illustration des (très nombreux) enjeux relatifs aux données personnelles on peut mentionner l’article 34 de la loi informatiques et libertés relatif à la sécurité des données. Ce texte dispose que le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. C’est ainsi que la CNIL a sanctionné Dailymotion pour manquement à la sécurisation des données de ses utilisateurs car le stockage des identifiants administrateurs était « en clair », ce qui permis à des tiers d’accéder aux données des utilisateurs (délibération n°SAN-2018-0008 du 24 juillet 2018).
Or, pour les objets connectés, l’identité du « responsable de traitement » pourrait être débattue dans certaines situations en raison des multiples intervenants sur les objets : est-ce le fabricant de l’objet lui-même ? des puces ou du système informatique ?
2/ La protection de la vie privée : principe légal, conventionnel et protégé par la jurisprudence du Conseil Constitutionnel, la protection de la vie privée fait face à de nouveaux défis avec le traitement massif et la diffusion à grande échelle des données personnelles des individus. C’est d’autant plus important lorsqu’il s’agit d’objets connectés ou intelligents qui se trouvent dans les immeubles, sur notre corps ou dans les voitures, c’est-à-dire qu’ils ont accès à l’intimité des individus.
Cette problématique est directement liée au traitement des données personnelles car les opérateurs/fabricants d’objets connectés auront accès à une multitude de données et la ligne sera fine entre respecter/violer la vie privée. À titre d’exemple, la Cour de Justice de l’Union Européenne a jugé contraire aux règles relatives aux donnés personnelles « la conservation généralisée et indiférenciée de l’ensemble des données relatives au trafic et des données de localisation des abonnés et utilisateurs inscrits » (arrêt du 21 décembre 2016, Tele 2 Sverige, aff. C-203/15).
Les règles relatives à la vie privée dans le numérique vont prochainement être renforcées avec le règlement relatif à la vie privée et aux communications électroniques (dit « e-privacy » – voir le projet ici) qui devrait prochainement être adopté.
3/ Le consentement pour la souscription de contrats : puisque les objets sont « intelligents » et que la technologie renforce ses propres capacités, notamment avec l’apprentissage permis par l’intelligence artificielle, il arrive (et cela ira croissant) que les objets prennent des décisions de manière autonome. À titre d’illustration, on peut citer le système « Instant Ink » d’HP qui permet à l’imprimante de commander des cartouches d’encre avant que le stock soit épuisé.
Les règles du droit des contrats sont claires : pour conclure un contrat, il est nécessaire d’avoir un contenu licite et certain, le consentement des parties et une capacité de contracter. On peut raisonnablement penser que l’objet connecté (quelque soit son degré de sophistication) n’est pas la contrepartie du vendeur dans la transaction. De même, il est impossible de concevoir que l’objet soit porteur d’un mandat de l’utilisateur car le mandataire doit être « une personne ». L’objet connecté ne semble pas pouvoir être considéré comme le vecteur du consentement, ce qui crée des challenges intéressants pour les fabricants de ces objets.
De même, le droit de la consommation a un rôle déterminant à jouer pour protéger les utilisateurs, ce qui est un frein (plus ou moins justifié) au développement de pratiques liées aux objets connectés. Actuellement, il est nécessaire de confirmer une commande réalisée à distance et le professionnel doit informer le consommateur des caractéristiques du produit, son prix et les détails. Or, quelle place peut avoir la technologie permettant à un objet en panne de solliciter automatiquement le SAV ? La question est passionnante.
4/ Le droit de la responsabilité : les objets intelligents peuvent être amené à adopter des fonctionnements qui pourraient créer des conséquences défavorables pour leurs propriétaires (par exemple, l’ouverture d’une voiture sans que le titulaire de la clé soit à proximité ou la défaillance dans le fonctionnement d’une serrure connectée).
Dans pareille hypothèse, un débat juridique pourrait s’ouvrir sur la personne responsable du/des dommages, ce qui pourrait être complexe. En effet, beaucoup d’intervenants sont impliqués dans la conception, la fabrication et l’entretien de ces objets technologiques, ce qui pourrait rendre le travail du juge complexe. L’essentiel est, en amont, pour les sociétés qui commercialisent ces produits de s’interroger sur les hypothèses litigieuses pour anticiper.
5/ Le droit à « ne pas être connecté » : les objets sont reliés à un réseau (en particulier, internet) mais également entre eux, de sorte que de nombreuses communications ont lieu automatiquement et sans que les individus soient au courant et/ou aient donné leur consentement, ce qui pose la question de la « déconnexion ». C’est ainsi que la Commission Européenne a publié une recommandation le 12 mai 2009 (voir le texte ici) qui vise à promovoir la faculté pour les utilisateurs de désactiver les puces des objets connectés ou intelligents.
Dans la même logique de liberté de rupture avec ces innovations connectées, les débats sur l’installation des compteurs « Linky » qui communiquent directement avec le gestionnaire du réseau électrique. Beaucoup de débats ont eu lieu concernant l’installation de ces compteurs et certaines mairies ont même pris des arrêtés interdisant les compteurs. Dans un jugement du 11 septembre 2018, le tribunal administratif de Toulouse a rappelé qu’Enedis ne pouvait pas entrer dans les lieux pour installer le compteur sans accord des occupants, que les données personnelles des clients devaient être préservées et a invalidé le fait pour une mairie de l’interdire sur tout le territoire de la commune (en l’occurrence, Blagnac).
Ce nouveau marché interroge donc les catégories juridiques et génère de nouveaux questionnements, en particulier concernant l’encadrement du traitement des données personnelles, la sécurité des produits et le risque de surveillance généralisée.
Les opérateurs économiques de ce nouveau marché doivent adopter une approche responsable et mesurée en mettant ces enjeux au cœur de leurs préoccupations afin de favoriser le maximum de sécurité juridique et d’assurer le développement de leur business.
Droit du Partage continuera à suivre ces enjeux pour vous.
Droit du partage 