Facebook EmaiInACirclel
Systèmes embarqués – IoT

Comment appliquer le RGPD à l’IoT ?

Mickaël Hiver
Mickaël Hiver
Revenue Operations Manager

Entré en vigueur en 2018, le RGPD (Règlement Général sur la Protection des Données) repose sur 3 points essentiels :

  • Renforcer les droits des personnes

  • Responsabiliser les acteurs traitant les données

  • Atténuer les fractures juridiques entre les pays de l’UE

L’application du RGPD a amené les entreprises à repenser la façon dont la protection des données est intégrée dans leur stratégie, distinguant ainsi privacy by design et privacy by default. Nous vous invitons à découvrir quelles sont les nouvelles obligations des entreprises au regard du RGPD et qui sont à retrouver dans le livre blanc IoT Pentalog « IoT : Enjeux économiques et défis technologiques à grande échelle ».

 

 

Considérée comme le nouvel or noir du numérique, la data permet de connaître plus en détail les habitudes de chacun afin de proposer de nouveaux services sur-mesure. Cependant, la collecte et le traitement des données vont irrémédiablement de pair avec la question de la sécurité de ces dernières. Comment s’assurer que les données ne soient pas vendues à des sociétés pour un profilage marketing ou utilisées contre la personne et avoir des conséquences discriminantes ?

C’est tout l’enjeu du RGPD (Règlement Général sur la Protection des Données, ou GDPR : General Data Protection Regulation), mesure européenne entrée en vigueur le 25 mai 2018.

IOT et RGPD

Au regard du RGPD, les entreprises doivent repenser la façon dont elles intègrent la protection des données à leur stratégie.

Quel est l’objectif du RGPD ?

Le RGPD est un ensemble de 99 articles qui vise à offrir un cadre juridique concernant le traitement et la circulation des données personnelles de tout résident de l’UE. Il abroge la directive sur la protection des données personnelles de 1995. En outre, le RGPD atténue également les fractures juridiques entre les pays membres de l’UE.

Une donnée personnelle est une information qui permet d’identifier une personne physique.

L’objectif du RGPD est double :

  • Offrir plus de contrôle et de visibilité à l’utilisateur quant aux données qu’il partage (autorisation préalable sur la collecte de data, droit à l’oubli, rectification/exactitude/portabilité des données, etc.)

  • Renforcer la qualité de la protection des données du côté entreprise

Le RGPD change radicalement la façon dont les entreprises doivent intégrer la protection des données à leur stratégie : si auparavant la protection des données était un sujet qui arrivait en bout de chaîne, aujourd’hui les entreprises doivent l’intégrer au produit dès les premières ébauches de création ; c’est ce qui distingue le privacy by design du privacy by default :

  • Privacy by design : toute action prise par une société qui implique la gestion de données personnelles doit être faite en gardant à l’esprit la protection des data et de la vie privée

  • Privacy by default : une fois qu’un produit ou un service est commercialisé, une protection a minima des données doit être appliquée et ce, sans action requise de la part de l’utilisateur. Le type de données et la durée de stockage doivent s’en tenir strictement à la nécessité que le produit ou le service a besoin pour offrir la prestation promise.

Il est considéré et accepté qu’un objet connecté qui est explicitement associé à la personne qui l’utilise est un porteur de données personnelles.

Côté entreprise, cela signifie que la sécurité des données personnelles est une problématique qui se pose au fabricant, mais également aux fournisseurs impliqués dans la collecte, le stockage et le traitement des données.

Inventorier les données personnelles

Avec l’entrée en vigueur du RGPD, toute la difficulté des entreprises est d’inventorier ou de faire un audit de l’ensemble des données qu’elles possèdent (bien souvent éclatées entre différents services : marketing, SAV, etc.), de supprimer celles qui ne sont plus pertinentes et de déléguer la responsabilité et la gestion à un service spécifique.

Une personne dédiée à la protection des données peut être nommée afin de piloter ces actions de mise à jour mais aussi coordonner et organiser les procédures internes quant à la manipulation des données des individus.

Sanctions en cas de non-respect du RGPD

Les règles et les sanctions prévues par le RGPD concernent aussi bien les entreprises européennes que les entreprises étrangères, à partir du moment où elles ont affaire aux données personnelles de tout résident de l’UE.

En cas d’infraction, des amendes jusqu’à 20M€ ou 4% du CA annuel mondial peuvent être réclamées aux entreprises fautives

Dès la création du produit connecté, les entreprises doivent se poser la question de la protection des données personnelles et ce, à chaque étape de la construction de la base de données.

L’enjeu des entreprises est d’arriver à atteindre un savant équilibre entre la gestion du nombre croissant de personnes et de l’ensemble des données qui gravitent autour de leurs objets connectés (également toujours plus nombreux) ; et du traitement du volume de data. De la pertinence de l’interprétation des données et leur protection dépendent le succès ou l’échec du produit digital.

Afin de faire face à l’afflux grandissant des données, la Blockchain pourrait également constituer un rempart efficace pour la protection des données. Cette problématique, parmi d’autres comme l’identification des objets connectés ou encore leur interaction avec l’environnement, est détaillée dans le livre blanc sur l’IoT, à télécharger gratuitement.

 

Vous avez un projet concernant l’IoT ? N’hésitez pas à nous contacter !

 

 

Consultez aussi :

IoT, enjeux économiques et défis technologiques : le livre blanc Pentalog

IoT : Comment va-t-il être influencé par le Machine Learning et le Deep Learning ?

IoT livre blanc : la Blockchain est-elle la sécurité qu’il manquait aux données ?

IoT : perspectives d’évolution avec la 5G

IOT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *