Objets connectés: Montres, bracelets et lunettes connectés

Les objets personnels connectés, que l’on porte sur soi, correspondent à toutes sortes d’usages. Munis de capteurs, ils sont capables de collecter et d’analyser des données sur l’activité physique, le sommeil, la fréquence cardiaque, etc. Connectés à Internet, soit directement soit par connexion Bluetooth avec un autre appareil tel qu’un smartphone, et munis d’une caméra, d’un micro et de fonctionnalités de géolocalisation, ils peuvent aussi servir à des fins de réalité augmentée. Ils présentent par conséquent, pour la protection des données, des risques très variables selon leur utilisation, tant pour l’utilisateur que pour les tiers.

Données de l’utilisatrice ou de l’utilisateur

La plupart des utilisateurs se servent de ces appareils pour mesurer leur propre activité physique ou sportive. Ils se fient en la matière à des logiciels, préinstallés ou non, qui leur fournissent, à partir des données collectées, des indications sur leurs performances sportives, sur leur santé et sur leur bien-être. Ces données sont hautement personnelles puisqu’elles sont mesurées à même le corps. Les données relatives à la santé sont des données personnelles sensibles dans la mesure où elles exposent à des risques élevés en cas d’abus. Comme ces appareils sont portés des journées entières, voire la nuit, ils permettent d’identifier des schémas tels que des profils de mouvement, qui permettent de tirer des conclusions concernant la santé, les habitudes de vie et la sphère intime. Bref, ces appareils en savent souvent plus leur utilisateur que l’utilisateur lui-même.

Questions à se poser avant l’achat

Avant d’acheter un objet connecté ou d’installer une application, mieux vaut vérifier l’usage que le fabricant ou le développeur fait des données collectées. Ces informations figurent dans les conditions d’utilisation et dans les déclarations de confidentialité. Il est recommandé de les lire attentivement afin d’être en mesure de prendre une décision éclairée sur le droit à l’autodétermination informationnelle. Voici les questions à se poser :

• Le produit a-t-il été conçu de manière à protéger les données ?

  Étant donné que l’utilisateur permet le traitement de données sensibles qui, en cas d’abus, peuvent entraîner des conséquences graves, il faut vérifier que le produit remplit des exigences élevées en matière de protection des données et de sécurité. C’est le cas des produits développés en Suisse ou en Europe, qui sont soumis à des règles strictes. Les fabricants doivent en outre respecter le principe de la protection des données dès la conception, garantir le cryptage intégral des flux de données, proposer des mises à jour de sécurité sur une longue période, et déceler régulièrement les faiblesses éventuelles afin d’y remédier rapidement.

• Comment s’organise le stockage des données ?

  Lorsque les données sont traitées localement, c’est-à-dire sur le terminal lui-même, l’utilisateur en conserve le contrôle intégral. La plupart des fonctionnalités d’un objet connecté prévoient toutefois un traitement en nuage public (public cloud), par exemple lorsque l’utilisateur souhaite synchroniser ses données sur plusieurs appareils, ou pour les fonctionnalités d’IA qui nécessitent une grande puissance de calcul. Si les données sont traitées dans un nuage du fabricant ou d’un tiers, il faut s’assurer du lieu exact et des conditions du traitement.

• Le traitement des données est-il décrit de manière détaillée et compréhensible, avec toute la transparence requise ?

  Il faut lire attentivement la déclaration de confidentialité et les conditions générales du fabricant avant l’achat. Il faut notamment vérifier si le fabricant ou le fournisseur s’engage à ne traiter les données qu’à la seule fin de fournir les prestations souhaitées, ou s’il se réserve la possibilité de les utiliser à d’autres fins. S'agissant de données relatives à la santé, le droit suisse exige le consentement exprès de la personne concernée pour l'utilisation à des fins de marketing ou de développement de produits propres (voir le guide du PFPDT sur les cookies). Il ne faut pas hésiter à comparer différents produits.

• Quels sont les interlocuteurs ou les services d’assistance proposés ?

  Le service à contacter en cas de problème devrait être clairement indiqué. L’idéal est de pouvoir consulter un conseiller en protection des données du fabricant ou du fournisseur. Si le service en question se trouve à l’étranger, mieux vaut vérifier s’il a un représentant en Suisse à qui l’utilisateur puisse s’adresser.

Conseils d’utilisation

En plus de vérifier les conditions d’utilisation et la déclaration de confidentialité, l’utilisateur peut réduire les risques qui pèsent sur ses données par son propre comportement :

Au moment d’installer une application ou d’utiliser certaines fonctions d’un appareil, l’utilisateur est souvent prié d’autoriser l’accès à certaines données (photos, géolocalisation, données de santé) ou à certaines fonctionnalités (caméra, micro, etc.). Mieux vaut toujours vérifier si ces autorisations sont vraiment nécessaires pour l’utilisation prévue. Les autorisations inutiles devraient être systématiquement refusées ou révoquées dans les paramètres. Une application respectueuse des données devrait respecter le principe de la minimisation des données. Si les autorisations requises paraissent injustifiées, mieux vaut renoncer à utiliser l’application ou à acheter l’appareil en question. Les mises à jour permettent de corriger des failles de sécurité. Il faut donc les effectuer régulièrement tant sur les applications que sur les logiciels des objets connectés afin de réduire les risques.

Données concernant ses propres enfants

Les objets connectés permettant la géolocalisation par GPS ou par Bluetooth, ils sont de plus en plus utilisés par des parents pour suivre leurs enfants à la trace. Mais attention : même si un mineur n’a pas l’exercice des droits de la personnalité, faute d’avoir l’exercice des droits civils, son représentant légal est tenu d’agir dans son intérêt et de le protéger en respectant ses sphères intime et privée. Un enfant ne peut pas consentir valablement au traitement de ses propres données aux fins de sa propre surveillance.

Données concernant des tiers

Les objets connectés munis d’une caméra ou d’un micro permettent à l’utilisateur de traiter des données concernant des tiers (proches, amis, collègues, patients, etc.), en enregistrant leur voix ou en les photographiant, par exemple. Cependant, comme ils sont plus discrets qu’un smartphone, ils comportent un risque accru de collecter, de traiter et de transférer les données d’un tiers à son insu. L’utilisateur doit savoir qu’il n’a pas le droit de traiter les photos et la voix d’un tiers à sa guise. La collecte dissimulée de données est susceptible d’enfreindre le code pénal (voir ci-dessous).

Particularité des lunettes connectées

Les lunettes connectées les plus modernes (p. ex. celles de Ray Ban ou d’Oakley) sont particulièrement discrètes. Elles permettent de photographier et de filmer une personne à son insu et de diffuser en temps réel les données ainsi recueillies sur les réseaux sociaux (streaming en direct), étant intégrées dans les produits et l’IA de Meta. Ces fonctionnalités présentent donc un risque accru pour les droits de la personnalité des tiers.

Tout traitement de données personnelles qui enfreint le principe de la transparence constitue une atteinte à la personnalité difficilement justifiable et par conséquent illicite. Les utilisateurs doivent donc s’assurer que les tiers éventuellement concernés ont été informés de l’enregistrement et consentent au traitement de leurs données.

Le non-respect de ces principes peut entraîner des conséquences non seulement civiles mais aussi pénales (en vertu, p. ex., des art. 179^bis à 179^quater du code pénal). Il incombe à l’utilisateur d’un de ces appareils de s’informer des dispositions légales en vigueur à l’endroit où il l’utilise. Nous renvoyons par ailleurs à la page "Prendre et publier des photos".