Dans un monde qui peut paraître de plus en plus hostile à bien des égards, surveiller ses enfants devient chose courante chez des parents soucieux de les protéger.
Pourtant, peut-on réellement faire confiance aux appareils censés revêtir cette fonction alors que ceux-ci se révèlent être un nid à fuite de données et de surveillance non autorisée par des personnes peu scrupuleuses ?
Pour la première fois, les autorités européennes ont rappelé des produits jugés défectueux en raison d’un manque majeur de protection des données.
Il s’agit de « smartwatchs » (ou montres intelligentes) pour enfants commercialisées par la société allemande ENOX et portant le nom pourtant évocateur de SAFE-KID-ONE.
UNSAFE-DATA-ONE
La lecture de la fiche descriptive du produit pourrait convaincre n’importe quel parent d’acheter ce produit pour contrôler les moindres faits et gestes de son enfant (cette motivation pouvant déjà faire l’objet d’un autre débat) : GPS intégré, application partenaire pour localiser son enfant au mètre près, bouton SOS, possibilité d’appeler directement la montre pour entrer en contact avec son enfant grâce aux micros intégrés,…
Là où le bât blesse c’est que la montre collecte énormément de données mais ne garantit pas pour autant leur protection.
C’est en effet la constatation à laquelle est arrivée la Commission Européenne qui a publiée une Rapid Alert System for Non-Food Products (RAPEX) soit un rappel de produits au début du mois de février.
Dans celle-ci, elle observe que l’application mobile partenaire ne crypte pas les informations sur son serveur qui accepte des accès non authentifiés aux données qu’il stocke.
La Commission y détaille aussi les données pouvant ainsi être accessibles : historique des emplacements, numéro de téléphone, numéro de série et elle note que ces données peuvent être facilement modifiées.
Ce qui veut dire qu’un utilisateur malhonnête peut accéder à la montre de l’enfant, lui faire appeler un numéro de son choix voire même le localiser en utilisant le GPS intégré. Certainement pas le genre de finalité que les parents ont en tête lorsqu’ils achètent un tel produit.
Cerise sur le gâteau, suites à des investigations menées par un spécialiste de la protection des données, ENOX ne contrôlerait même pas l’application partenaire développée en Chine et dont la police de vie privée… renvoie sur un profil LinkedIn !
Ce ne serait d’ailleurs pas la première fois que ce développeur (ThinkRace) soit au cœur d’un scandale de faille de sécurité et de fuite de données.
LES OBLIGATIONS DU CONSTRUCTEUR (RED ET RGPD)
Ces manquements contreviennent à la directive européenne sur les équipements radioélectriques (RED) et plus précisément son article 3 (« exigences essentielles »), paragraphe 3, point e) : « les équipements radioélectriques comportent des sauvegardes afin d’assurer la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés ».
Cette directive a été élaborée spécifiquement en ayant à l’esprit l’émergence de « the internet of things » (IoT) dont le nombre d’appareils devrait tripler d’ici 2025 pour atteindre le chiffre pharamineux de 75 milliards d’objets connectés.
Cette directive est bien entendu à combiner avec l’obligation générale de l’article 24 du Règlement Général sur la Protection des Données (RGPD) « le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. » et les précisions de l’article 25 sur la pseudonymisation, la minimisation ainsi que l’accès restreint et seulement nécessaire aux données.
Normalement, suite à la constatation d’une violation de données à caractère personnel, ENOX aurait dû en notifier l’autorité de contrôle idoine dans les plus brefs délais (idéalement 72h après la constatation) voire, au vu du risque élevé de la survenance de conséquences négatives, directement les personnes concernées conformément aux guidelines sur la notification de violation de données à caractère personnel du Comité Européen de la protection des données (anciennement « Groupe de travail Article 29 sur la protection des données »).
L’ENSEIGNEMENT CANADIEN ET L’AFFAIRE VTECH
Bien que ce soit une première en Europe qu’un rappel de produits soit motivé par des failles dans la protection des données qu’ils recueillent, cette affaire peut être vue à la lumière des enseignements de l’affaire VTech survenue en Amérique du Nord.
De cet épisode, un bon nombre d’étapes clés peuvent être déduites ainsi que la meilleure marche à suivre pour résoudre les imperfections de la sécurité et de la protection des données tout particulièrement lorsque l’audience ciblée est majoritairement composée d’enfants.
La grosse différence entre les deux affaires est le nombre d’utilisateurs touchés par la fuite de données : des millions pour VTech et quelques milliers pour ENOX. Nous pouvons aussi noter une réactivité de la part de VTech là où ENOX paraît être resté passif et peu coopératif.
Un article récent s’attarde sur les répercussions de l’affaire VTech du point de vue canadien (où les renseignements personnels de 500.000 utilisateurs avaient été touchés).
Ainsi, le Commissariat à la protection de la vie privée du Canada a eu l’occasion de publier des lignes directrices à l’intention des constructeurs soucieux d’assurer la cybersécurité de leurs équipements connectés.
S’appuyant sur les obligations de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») d’utiliser des mesures techniques, organisationnelles et physiques appropriées (principes 4.7, 4.7.1, 4.7.2 et 4.7.3 de l’annexe I de la LPRPDE) et constatant leur défaut dans le chef de VTech, le Commissariat a rappelé ses attentes pour éviter les vulnérabilités en matière de sécurité que l’article précité développe.
Les exigences couvrent un large spectre de mesures tels que la mise à l’essai et la maintenance, les contrôles d’accès, la cryptographie, l’enregistrement et la surveillance et enfin le cadre de la gestion de la sécurité.
QUID DE L’UNION EUROPÉENNE ?
En Europe, les autorités de contrôle ont déjà eu l’occasion de conseiller les entreprises et les utilisateurs sur les montres connectés, notamment la CNIL. Elle préconise par exemple aux parents de se renseigner sur la transparence et l’hébergement des données ainsi que leur transmission à des partenaires.
Pour les constructeurs, la CNIL a prodigué des recommandations via une infographie : le « privacy by design » est bien entendu la suggestion principale. Celle-ci nécessitant une vision de la sécurité des données dès la conception via l’utilisation de mots de passes, de la cryptographie, de la réduction des distances d’émission (spécialement pour les appareils utilisant le bluetooth) et l’élaboration d’une analyse d’impact (« PIA ») pour anticiper les risques conformément à l’article 35 du RGPD.
Évidemment, aucune de ses recommandations nous paraît avoir été suivie par ENOX qui a sous-traité le traitement des données à une entreprise chinoise ayant déjà connu des déboires en matière de sécurité par le passé.
Ne serait-il dès lors pas temps pour l’Union Européenne de passer au niveau supérieur et de proposer, via le Comité Européen de la protection des données, des guidelines spécifiques à la hauteur de ce que le Commissariat a effectué au Canada étant donné la sensibilité des données du public-cible c’est-à-dire des mineurs ?
Quoi de mieux que de profiter de cette affaire pour s’en servir d’exemple et rappeler concrètement les exigences attendues lors du traitement de données de personnes mineures via des objets connectés, leur utilisation ne faisant que s’accroître.
Certes, le Comité Européen de la protection des données a déjà parlé des enfants en tant que groupe vulnérable dans ses lignes directrices générales sur la notification de la violation de données à caractère personnel.
Certes encore, aucune plainte n’a pour le moment été déposée contre ENOX et l’affaire est trop récente pour espérer obtenir une réaction dans des délais aussi serrés.
Néanmoins, il serait bon que l’Europe regarde ce qu’il s’est fait outre-Atlantique si elle compte s’attarder plus longuement sur le sujet de la protection des données personnelles collectées par des objets connectés à destination de personnes mineures.
Commentaires