Article

La protection des données personnelles, priorité absolue des projets bâtis sur l’IoT
La protection des données personnelles, priorité absolue des projets bâtis sur l’IoT
Par Romain Doussau dans actualité Publié 19 janvier 2018 0 Commentaire

l’IoT offre de nouvelles opportunités aux entreprises, mais qui ne peuvent être saisies à n’importe quel prix. Les projets impliquent de mettre en place des mesures ad hoc pour protéger convenablement les données personnelles des utilisateurs.

Les lecteurs personnels de glycémie sont un exemple typique de cette nouvelle génération de dispositifs médicaux qui ont révolutionné la vie des patients dans le monde entier. Ceux-ci permettent aux diabétiques de connaître précisément leur glycémie et de déterminer s’il est nécessaire de renouveler leur injection d’insuline. Une fois connectés à un smartphone, ils peuvent, via des services sur le cloud, fournir au patient des informations et des analyses complémentaires. Cela étant, bien que les appareils de ce type contribuent indéniablement à l’amélioration de la qualité de vie des utilisateurs, ils accroissent le risque de perte ou de vols des données personnelles.

Que ce soit dans le domaine médical (appareils de suivi), l’industrie automobile (voitures connectées), l’agriculture (agriculture de précision) ou la domotique, les appareils qui tirent parti de l’Internet des Objets (IoT) génèrent une quantité de données sans précédent. Or, ces données sont bien souvent – comme dans le cas d’un lecteur de glycémie– confidentielles et personnelles.

D’ici 2021, la mise en conformité des infrastructures critiques portera les dépenses de sécurité découlant de l’adoption de l’IoT à un milliard de dollars à l’échelle planétaire, alors qu’elles représentent moins de 100 millions aujourd’hui. À travers leurs stratégies de gestion des données personnelles, les responsables de la sécurité et de la gestion des risques (SRM) doivent dissiper les inquiétudes des consommateurs s’ils veulent que les objets connectés s’installent durablement dans leur vie quotidienne.

S’astreindre à une évaluation continue des risques

Alors que les réglementations se voient renforcées et que les consommateurs se soucient de plus en plus de leurs données personnelles, les responsables SRM doivent asseoir leur démarche sur une évaluation continue des risques. Les modalités de rétention, d’exploitation et de protection des données doivent désormais être arrêtées dans des lignes directrices claires.

Une importante fraction des données générées par l’IoT seront réputées « privées » ou « personnelles » et devront ainsi faire l’objet d’une protection renforcée. Les responsables SRM devront s’assurer que leur organisation n’enfreint pas les règles qui encadrent la collecte de données. Ils devront dialoguer avec les parties prenantes et s’investir dans tous les programmes d’IoT pour contribuer à façonner les principes régissant leur conception, veiller à ce que les données personnelles générées soient convenablement protégées, et déterminer des procédures adaptées pour s’assurer de l’observation des lois et ainsi minimiser les risques juridiques encourus par leur entreprise.

S’entourer de spécialistes du droit

Les lois actuelles sur la protection de la vie privée et celles amenées à entrer en vigueur d’ici peu, à commencer par le règlement général sur la protection des données (RGPD), vont avoir une incidence importante sur la stratégie, la finalité et les méthodes de collecte des données de l’IoT par les entreprises. Les lois de pays comme l’Australie, le Canada ou ceux de l’Union européenne préconisent un « usage approprié » des données personnelles. Pour évaluer les possibles manquements aux obligations légales en place, il est impératif de déterminer les raisons motivant le recueil de données personnelles. Une fois la finalité de cette collecte établie et documentée, il est bien plus facile de définir le type de données dont le recueil est justifié. Pour atténuer le risque d’usage abusif, de perte, de mauvaise interprétation ou toute autre issue négative, il est essentiel de maîtriser le cycle de vie des données.

Les entreprises doivent permettre aux différents acteurs de mieux maîtriser les données personnelles tout au long de leur cycle de vie, et faire appel à des spécialistes du droit pour jauger les risques de non-conformité dans toutes les juridictions où elles sont présentes. Les mécanismes de rétention des données doivent être définis et documentés en fonction de leur raison d’être et les données collectées sans motif valable doivent être supprimées à la fin du cycle de vie défini.

Se concentrer sur le respect des lois sur la protection de la vie privée à long terme

Beaucoup d’objets connectés seront amenés à traiter des données dans des pays insuffisamment protégés, ce qui posera d’importantes difficultés aux responsables SRM soucieux de garantir la sécurité des données et le respect des lois. Pour ce faire, ils devront se concentrer avant tout sur les flux de données, la réponse aux menaces et la sensibilisation du public. En complément, il leur faudra déterminer si leur entreprise entend déployer l’IoT sur des appareils existants ou bien sur de nouveaux appareils, auquel cas il leur sera possible de mettre leur grain de sel dans la façon dont leur système de sécurité est conçu. Chaque situation réclame une approche différente afin d’assurer la sécurité et de garantir in fine le respect des données personnelles.

Source : www.zdnet.fr

Voir aussi : Mobilité et IoT : 3 astuces de cybersécurité à connaître