Objets connectés et cybersécurité : quels défis pour les libertés ?
La VIIIe Agora du FIC s’est déroulée le 27 juin 2019 à la Maison de la Chimie à Paris. Le thème de cette édition était « 50 milliards d’objets connectés en 2020 : enjeux de sécurité et défis pour les libertés » et Gandi écoutait attentivement.
Le FIC (Forum International de la Cybersécurité) est une conférence annuelle, tandis que l’Agora a lieu chaque trimestre.
Objets connectés et RGPD
Gwendal Le Grand, secrétaire général adjoint de la CNIL, évoque tout d’abord comment les objets connectés appréhendent les données à caractère personnel. En effet, cela soulève des questions sur les droits des personnes concernées et l’intensité du profilage. La frontière entre les données médicales et non médicales, notamment, est de plus en plus floue (par exemple les données sur les rythmes du sommeil). Une fois les données collectées, il convient de se poser la question de savoir où elles sont envoyées : sont-elles envoyées directement aux serveurs en ligne (« le cloud ») ou sont-elles stockées localement ? Combien de temps les données seront-elles conservées ?
Le RGPD s’applique la plupart du temps aux objets connectés et impose des obligations en matière d’information et de sécurité : c’est une garantie non seulement de confiance pour l’utilisateur, mais également de promotion d’une innovation responsable et durable. En juillet 2018, la CNIL a averti de vulnérabilités découvertes dans les poupées piratables et les jouets robotisés. En ce sens, le RGPD est un formidable outil de cybersécurité.
Le changement le plus important dans notre société est la quantité de données sur les individus auxquelles les entreprises ont accès. Une société d’assurance enverra-t-elle un jour un chèque-cadeau aux personnes qui franchissent plus de 2000 marches par jour ? Cela peut avoir des effets positifs, car cela aide les individus à mesurer leur hygiène de vie, mais il existe bien sûr de fortes questions juridiques et éthiques concernant le type de société dans laquelle nous souhaitons vivre !
Normes, loi, données et confiance
L’Internet Society (ISOC), une ONG qui s’emploie à créer un Internet ouvert, fiable et sûr, met sur la table ces problèmes juridiques et éthiques. Lucien Castex, secrétaire général de la branche française de l’ISOC, explique les implications de l’ISOC dans les instances de normalisation W3C, dans le but de parvenir à des normes correspondant à leurs propres principes.
- Ils plaident en faveur de la sécurité par défaut et de la confiance intrinsèque lors du processus de développement.
- Ils défendent le rôle central des données et la nécessité d’une base éthique dans laquelle l’être humain est au coeur du débat.
- Ils établissent une législation qui favorise la confiance des utilisateurs d’Internet.
Reprendre le contrôle sur notre destin numérique
Le sénateur français Olivier Cadic ajoute que « tout système est hackable ». Il raconte un de ses souvenirs personnels dans les années 1990 : installer des serveurs au contenu sensible dans des pièces verrouillées dans sa propre maison et être piraté dès le premier week-end !
Il souligne l’importance de la construction d’une Europe numérique qui protège nos valeurs démocratiques.
« Nous devons reprendre le contrôle de notre destin numérique. »
Sénateur Olivier Cadic
Une déclaration soutenue par la sénatrice Morin-Desailly, qui appelle à un changement de la politique industrielle et de la concurrence dans l’Union Européenne.
Le sénateur Cadic rappelle que l’Europe a vu naître des sociétés comme Nokia ou Ericsson qui seraient à même de construire le réseau 5G. Il vaudrait la peine de perdre un ou deux ans de progrès par rapport à la technologie de Huawei afin de gagner son indépendance humaine.
Il souligne enfin que, malgré l’existence de normes, reste toujours en suspens la question de leur mise en œuvre et de la complexité de la fraude.
Cybersécurité, surveillance et Europe
Internet et la technologie offrent un paradoxe : à la fois un monde de protection bien intentionnée mais aussi d’hyper-surveillance. La sénatriceMorin-Desailly déclare que cela se démontre avec la surveillance de masse de la NSA révélée par le lanceur d’alerte américain Edward Snowden. Le sujet lui est familier, elle a fait partie des personnalités publiques à avoir appelé le gouvernement français à offrir l’asile à Snowden en 2014.
La surveillance de masse n’est pas seulement l’apanage des services de renseignement, ajoute la sénatrice. C’est aussi une affaire de capitalisme de surveillance, comme l’a remarquablement étudié l’auteure américaine Shoshana Zuboff dans le livre livre du même nom.
En parallèle, la collecte de données et les publicités politiques ciblées de Cambridge Analytica ont montré la menace potentielle de l’utilisation de la technologie contre les processus démocratiques.
La sénatrice Morin-Desailly souligne le rôle de l’Union européenne dans la prévention de la balkanisation du réseau et la protection des libertés individuelles et collectives, en particulier contre le modèle nord-américain fondé sur le monopole des géants de l’Internet, et sur des systèmes plus autoritaires et isolés tels que la Chine et son système de crédit social. Elle appelle à la révision de la directive sur le commerce électronique afin de renforcer la responsabilité des GAFAM.
En outre, elle suggère trois solutions pour lutter contre les risques de cybersécurité qui surviennent lorsque nous connectons des objets à Internet :
Le point de vue de Gandi
Gandi s’engage depuis sa création à défendre le droit à la vie privée des citoyens contre la surveillance de masse et l’exploitation des données par des sociétés non comptables.
D’un point de vue juridique, c’est la raison pour laquelle Gandi s’est opposé à la loi sur la surveillance en France en 2015 aux côtés d’AFHADS, IDS, Ikoula, Lomaco, Online & OVH, ainsi que de groupes de la société civile tels que La Quadrature du Net.
D’un point de vue technique, Gandi a soutenu le lancement du projet CaliOpen avec Qwant, UMPC et BPI. CaliOpen est un outil de messagerie sécurisé conçu pour la confidentialité des messages privés, dans le but de libérer les utilisateurs de la dépendance à des services non respectueux de la vie privée. CaliOpen a été lancé en mai 2019.