Le GDPR : vecteur de confiance pour les projets IoT

L’IoT (Internet of Things) et son vaste volume de données collectées n’échappe pas au RGPD* : la mise en conformité des objets connectés constitue un vaste chantier dans lequel le département R&D d’une entreprise joue un rôle central.
C’est en effet par l’intégration des normes de confidentialité dès la conception des produits et par une vaste réflexion autour de la gestion interne de la donnée que la confiance avec les clients pourra être retrouvée sur les objets connectés.
*GDPR en anglais

La sécurisation de l'IoT, un challenge !

Avec les objets connectés, la relation client n’a plus de limite : l’utilisateur est connecté en permanence. Cette connexion ouvre un large champ d’innovation pour les entreprises qui peuvent collecter d'importants volumes de données sur les préférences, activités et comportements de chacun, et ainsi développer des stratégies commerciales adaptées. Cette nouvelle donne ne va pas sans une certaine méfiance envers l’IoT : selon un sondage CSA pour Havas Media, 78 % des personnes interrogées se déclarent inquiètes en matière d’atteinte à la vie privée. Une autre enquête BVA pour Syntec Numérique précise que 12 % des sondés perçoivent « un danger lié à la capacité des objets connectés de recueillir et d’analyser des informations personnelles et confidentielles ».

La gestion vertueuse des données générées par l'IoT représente donc un défi en matière de sécurité et de confidentialité. Et l’adoption en mai prochain du Règlement Général sur la Protection des Données (RGPD) renforcera encore le droit des personnes. Car beaucoup d'objets connectés collectent et transmettent des données à caractère personnel : objets personnels de fitness, assistants sportifs, équipements de santé connectés, applications de smartphones, capteurs électroménagers, capteurs de consommations, équipements domotiques… tous sont soumis à des pratiques très encadrées. Leur mise en conformité devient un chantier majeur pour la R&D des entreprises : elle remet en question non seulement les modèles de conception et de sécurisation des produits, mais aussi les processus internes de protection des données. Si ces équipements ne sont pas sécurisés ou ne protègent pas suffisamment les données personnelles, leur échec commercial est quasiment garanti.

Concevoir les produits autrement

L'adoption du RGPD conduira les entreprises à prendre en compte plusieurs normes de sécurité et de confidentialité dès la conception des produits. C’est ce que l’on appelle le « privacy by design ». C’est à ce stade que les équipes de R&D interviennent : il faut penser « protection des données à caractère personnel » dès l’origine d’un projet, et anticiper l’impact que le traitement des données issues d’un produit peut avoir sur la vie privée des utilisateurs. Le concepteur des produits ou services devra identifier et systématiser toutes les mesures permettant d’assurer la protection des données de l’utilisateur tout au long de son cycle d’utilisation : chiffrement, anonymisation, pare-feu, identification sécurisée, etc. Un travail de recherche complexe, car un objet connecté est souvent lié à un service, à une plateforme – la plupart du temps hébergée dans le Cloud -, à une connectivité réseau… Cette mise en conformité est valable pour l’ensemble des fournisseurs impliqués dans la collecte, le stockage et le traitement des données.

Ce travail ne se limite pas à l’IoT. Le développement d'applications intègre par exemple de nouvelles exigences autour des droits relatifs aux données : accès, modification, droit à l'oubli, portabilité… L’entreprise entre donc dans un parcours d'amélioration continue et progressive qui aura pour conséquences positives une meilleure conception des offres et une sécurité renforcée.

Plus de recherche autour de la gestion de la donnée

Où sont stockées les données privées et sensibles ? Qui en a la responsabilité ? Certaines entreprises ont bien du mal à répondre à ces questions. La raison ? Des données dispersées entre différentes plateformes ou entités. Ce questionnement est aussi valable pour l’entreprise qui utilise un objet connecté en interne : il est nécessaire d’identifier le réseau de circulation des données personnelles traitées ainsi que leurs conditions d’hébergement. Le rapprochement de l’ensemble des données personnelles stockées, incluant celles issues de l’IoT, est un élément incontournable de la mise en conformité. Il donnera à l’entreprise une vision unifiée de ses profils utilisateurs.

Les équipes de R&D peuvent se pencher, en collaboration avec le CDO ou le DPO, sur les outils et méthodes de gestion de la donnée aboutissant à cette vue d’ensemble. Cela fait parfois émerger des démarches innovantes comme le Data Access Gouvernance ou le Master Data Management. Cette technologie, qui optimise la synchronisation et l’interaction des bases de données du SI, permet de disposer d’une information unique, cohérente et partagée dans toute l’entreprise, selon des droits et profils propres aux besoins réels et légitimés.

Les services de R&D de certains opérateurs réseaux développent des solutions à forte valeur ajoutée pour le traitement des données personnelles, en conformité avec les exigences de protection des données et des plateformes. Par exemple, Flux Vision, le service d’analyses de données mobiles d’Orange Business, repose ainsi sur des procédés exclusifs d’anonymisation irréversible empêchant d’identifier les individus.

Les sociétés de conseil et ESN spécialisées en IoT et en Big Data, les opérateurs de réseaux IoT (LORA…) ont l’expertise nécessaire pour accompagner les entreprises dans la mise en place des niveaux de sécurité adéquats, et ce dès la phase de conception, de sélection ou de test des objets connectés.

Des spécialistes de la cybersécurité - tels qu’Orange Cyberdéfense - peuvent réaliser des tests d’intrusion.