Connectwave publie un guide d'implémentation du RGPD pour l'IoT

Le RGPD et l’IoT

A compter du 25 mai 2018, un nouveau Règlement sur les données personnelles et leur traitement s’appliquera à toute l’Union européenne

Il conduit les industriels mettant en œuvre des applications basées sur les objets connectés à renforcer la prise en compte de la protection des données personnelles dès la conception.

Ce Règlement renforce les droits des personnes et définit de nouvelles  responsabilités pour les acteurs. La transparence et la maîtrise des données collectées sont au centre des préoccupations.

En ce sens, le RGPD constitue un cadre législatif « garde-fou » de la protection des données personnelles visant à protéger les individus contre une exploitation illégitime ou abusive de leurs données personnelles. Jusqu’à présent, les outils du cadre législatif européen en matière de protection des données, s’appuyaient sur un ensemble de directives.

A partir du 25 mai 2018, toutes les formalités préalables à accomplir auprès de la CNIL seront supprimées. Ce nouveau règlement RGPD s’appliquera directement dans tous les Etats membres sans qu’une transposition soit nécessaire et il pourra être complété par d’autres règlements, directives et lois nationales comme c’est le cas en France avec la préparation de la loi relative à la protection des données personnelles récemment votée par l’assemblée nationale et le sénat.

La France, avec notamment les actions et positions de la CNIL, de l’ANSSI et de Connectwave, a toujours joué un rôle de leader européen voire mondial sur les questions de respect de la vie privée et protection des données personnelles. Les offreurs français de solutions IoT ont un réel savoir-faire en termes de sécurité des traitements de données et des systèmes d’information.

Les sociétés qui proposent ces nouvelles technologies ont à cœur de gagner la confiance de leurs clients et du grand public. Il est donc nécessaire que cette particularité française soit utilisée comme un atout dans le développement des applications IoT.

Sur la base des travaux menés pour les applications RFID depuis 2011, Connectwave, soutenu par de nombreux acteurs privés et publics et par la Direction Générale des Entreprises, a mis en place un groupe de travail composé de plus de 40 experts afin de rédiger un guide d’implémentation du RGPD pour les entreprises du secteur de l’IoT. Les objectifs de guides sont de :

– Promouvoir les concepts de « Privacy by Design » et « Privacy by Default »

– Proposer une méthodologie simple et adaptée, basée sur 6 étapes clés et sur les analyses d’impact sur la vie privée.

– Donner les outils et bonnes pratiques permettant d’instaurer la confiance entre fournisseurs de technologies et utilisateurs tout en accélérant les processus de mise sur le marché et d’acceptation par le grand public.

Ce guide est composé de 3 parties complémentaires.

Une première partie présente le nouveau règlement en mettant en avant les nouveaux droits des citoyens ainsi que les nouveaux devoirs des responsables de traitement et des sous-traitants.

Une seconde partie propose aux acteurs de l’IoT de se mettre en conformité avec le règlement en six étapes simples à avoir dans la mise en place d’une solution impliquant des données personnelles.

Enfin, une troisième partie présente le concept de « Privacy by Design ».

Une liste d’actions à mener est proposée sous forme d’algorithme permettant aux responsables de traitement de prendre en compte toutes les étapes de la vie d’un projet (depuis la conception jusqu’à la fin de vie du produit). Enfin, pour évaluer les niveaux de risque et mettre en place les contremesures (techniques ou organisationnelles) adaptées, la technique de l’évaluation d’impact sur la vie privée (encore appelée Privacy Impact Assessment) est présentée de manière simple et facile à mettre en œuvre.