La face cachée des objets connectés

Par Alexandre Bouniol, France Télévisions, MédiaLab

Nous voyons progressivement les objets connectés investir notre quotidien. Smart TV, montres, enceintes, ampoules connectées, etc. Ce qui les caractérisent, c'est leur capacité à être « adressables depuis internet. Ce sont des objets qui vont avoir une interface de communication. Ils vont collecter énormément de données personnelles sur les personnes », explique Jérôme Gorin, ingénieur expert à la CNIL, qui est intervenu lors de la journée nationale sur « l’impact des objets connecté dans le quotidien des familles » organisée par l’UNAF la semaine dernière à Paris.

Certains, comme les smartphones, sont déjà profondément ancrés dans nos sociétés. Mais la plupart n’arrive pas — encore — à rencontrer son public. À l’aube d’une arrivée massive des objets connectés dans nos foyers, comme le prédisent plusieurs cabinets d’études, Méta-Media revient sur les enjeux et les problématiques que l’IoT (Internet of Things) soulève.

« IoT » is coming

Jean-Philippe Lelièvre fondateur de la start-up HearandKnow et professeur à l’École Supérieur d’Ingénieurs Léonard de Vinci, explique que l’on ne peut pas parler de « succès industriel » pour les objets connectés. Notamment auprès du grand public. Tendance confirmée par le rapport 2018 de la DGE ; où l’on peut voir le taux d’équipement — faible — « quel que soit l’objet considéré ».

Laurence Allard, maîtresse de conférence en Sciences de la Communication, chercheuse à l’Université Paris 3 – IRCAV et enseignante à l’Université Lille 3 explique cette non-adhésion pour trois raisons :

  • Le prix, qui est prohibitif dans bien des cas.
  • La problématique des données personnelles posée par l’IoT.
  • L’addiction, avec un vrai risque de dépendance, comme cela peut déjà être le cas avec les smartphones.

Ces frictions sont à priori vouées à disparaître. Selon différentes études, il y aura entre 21 milliards et 76 milliards d’objets connectés dans le monde d’ici 2025.

Jean-Philippe Lelièvre explique cette poussée pour plusieurs raisons. Les entreprises sont déjà extrêmement connectées et vont continuer à investir dans l’IoT. « Tous les objets peuvent être connectés » selon lui. « Toute connexion d’objet ou d’animaux fait sens » renchérit-il.

Tout l’enjeu réside en l’adoption de ces objets. Christine Balagué, titulaire de la chaire réseaux sociaux et objets connectés à l’Institut Mines-Telecom Business School, parle même « d’appropriation » et de « faire de la technologie une part de soi ». L’appropriation est donc plus complexe qu’une « simple adoption » ce qui explique que l’usage des objets connectés « n’est pas si développé ».

L’un des objets connectés qui émerge le plus sur ce marché est celui des enceintes connectées. En France, 1,7 millions d’utilisateurs ont été recensés en décembre 2018. Bien loin des 39 millions d’utilisateurs aux Etats-Unis. D’autres sont en train d’arriver à grande vitesse comme la voiture connectée, les objets connectés dans le domaine de la santé (on parle même de cœur artificiel connecté à grande échelle) ou encore les caméras connectées dans la lutte contre le terrorisme.

Ce que les objets connectés ne disent pas

Au vu de la place qu’est amené à prendre l’IoT dans le monde, il soulève un certain nombre de questions.

Les risques liés aux données personnelles. Notamment en ce qui concerne la collecte de données. « Le plus grand risque posé par l’IoT est la collecte de données à l’insu de la personne » insiste Jérôme Gorin. Risque démultiplié par la multiplicité de la collecte, selon le nombre d’objets connectés que l’on possède. Cela fait d’autant plus de points d’entrées potentiels pour des personnes malintentionnées. Ces objets, récoltant chacun des données propres, permettent d’identifier d’autant plus précisément l’utilisateur. C’est ce que Jérôme Gorin appelle la concentration de données. En les croisant, on peut en savoir plus sur la personne concernée.

Mathieu Cunche, maître de conférences à l’INSA Lyon et membre de l’équipe Privatics de l’INRIA hébergé au laboratoire CITI, fait aussi état de « traçage cyberphysique ». C’est-à-dire « l’idée de tracer les personnes par les objets qu’elles portent sur elles ». « Tous ces objets fonctionnent avec des technologies radio comme le Bluetooth ou le wifi. Dès qu’un objet est allumé, il va émettre en permanence des signaux qui contiennent des identifiants. Ces identifiants peuvent être captés pour détecter la présence de personnes ». Une autre faille des objets connectés réside en leur émission de données. Grâce aux signaux que ces objets produisent, il est possible d’identifier le type d’appareils. On parle « d’attaque par inventaire ». Mathieu Cunche prend pour exemple le glucomètre, appareil destiné à contrôler le niveau de glycémie pour les personnes atteintes de diabète. Il est possible de connaître la pathologie du patient grâce à la fonction de l’objet connecté.

Jérôme Gorin et Patrice Bigeard, délégué sécurité ANSSI s’accordent sur un même un constat : les objets connectés peu chers et grand public n’accordent pas une grande importance à la composante sécuritaire de l’objet. « Ils sont très peu sécurisés ». Ce qui n’est pas le cas au sein des industries qui utilisent des objets connectés « ultra-sécurisés ».

L’éthique des objets connectés pose question. Christine Balagué met en évidence les effets de biais et de discrimination qui peuvent exister dans les algorithmes : « selon la qualité des données, selon le fait que les données soient représentatives ou non d’une population, on peut avoir des résultats d’algorithme complètement biaisés et qui discriminent les individus ». Elle soulève également la question de l’opacité des données et des systèmes. On ne sait pas ce que deviennent ces données. « Elles menacent l’autonomie de l’individu » ajoute-elle. Comment s’assurer de la bienfaisance de ces objets ? Le dernier point sur lequel Christine Balagué insiste concerne la manière dont la donnée est présentée aux utilisateurs. « On ne connait pas l’effet de la donnée sur les individus » et donc le comportement que cela peut engendrer.

L’IoT, participe au réchauffement climatique. « Le numérique est l’un des secteurs qui augmentait le plus en terme de gaz à effets de serre et également en consommation énergétique » alerte Laurence Allard. « Sans compter l’extraction des terres rares nécessaire à la fabrication des puces et des composants » ajoute-t-elle. D’après le rapport du Think Thank « The Shift project », ce sont principalement les data centers qui sont les plus énergivores. Tout objet connecté produisant de la donnée, il faut la stocker et la matérialiser dans des serveurs refroidis dans des grands hangars.

« Pour continuer à connecter tous ces objets, il faudrait trois planètes » conclue la chercheuse. Que nous n’avons pas. Évidemment.

Quels moyens d’actions ?

Au moins trois échelles d’actions peuvent être initiées pour lutter contre les risques associés à l’IOT.

1.Les initiatives citoyennes

Les initiatives citoyennes sont un premier volet pour agir. Notamment en ce qui concerne la sécurisation des données et la lutte contre le réchauffement climatique. Mathieu Cunche, qui a insisté sur les risques de collecte non désiré des données, suggère la mise en place d’un boitier sécurisé à domicile, sur lequel les objets du foyer pourraient être connectés et éviter ainsi toute interaction avec un serveur extérieur inutile, voire dangereux. Sur la question environnementale, Laurence Allard a abordé le mouvement des « makers » qui se rassemblent dans « des lieux d’acculturation à la privacy mais aussi à la question environnementale », tels que les « repair cafés » ou les FabLab. Les « repair cafés », dont l’idée provient du MIT, ont pour but de réparer ses objets et retarder leur obsolescence programmée. Les utilisateurs réparent eux-mêmes leurs objets, accompagnés par des « experts » pour les aider dans leur démarche. Les FabLab promeuvent la réparation d’un objet en fabricant uniquement le composant défectueux. Les imprimantes 3D sont notamment très utilisées dans ces lieux permettant de fournir une pièce unique. Besoin unique, réponse unique.

2. Les projets de recherche

Le monde de la recherche s’est approprié le sujet. L’un des faits les plus marquants sur le plan éthique est la déclaration de Montréal pour une IA responsable, portée par l’Université de Montréal. En dix points, elle instaure des principes et des recommandations pour que la société se saisisse des enjeux inhérents à la technologie. Tout un courant scientifique international s’est constitué autour des problématiques et font état de quatre principes éthiques :

  • La macro éthique et le principe de justice.
  • Le principe de l’autonomie (des individus).
  • Le principe de non-malfaisance (de la technologie).
  • Le principe de bienfaisance (de la technologie).

C’est aussi tout le sens de la chaire « Good in Tech » des Mines Telecom et Science Po, dont Christine Ballagué fait partie, qui a deux buts principaux :

  • Aider les entreprises pour avoir des metrics pour catégoriser une innovation numérique responsable avec la RSE. Car aujourd’hui, il n’y a pas de critère pour savoir comment il est possible d’innover de manière responsable dans le numérique.
  • Promouvoir le good in tech « by design ». C’est à dire intégrer dès la conception d’une technologie des éléments qui permettent de corriger tout un ensemble de choses, tels que les biais, la discrimination, l’opacité des systèmes à l’intérieur même de la technologie.

Christine Ballagué insiste sur le fait de développer une responsabilité d’entreprise, la loi étant souvent trop longue à mettre en place par rapport aux réalités technologiques. Tech For Good Summit, qui rassemble plus de 80 acteurs du numérique pour agir pour le « bien commun » étant sûrement l’exemple le plus symbolique.

3/ La loi et le politique

La loi et les initiatives politiques sont cependant nécessaires pour fixer les grands principes, notamment en matière de protection des données et d’éthique. En France, la première loi qui s’est intéressée à ces problématiques date d’octobre 2016 : la loi pour une République numérique. Deux articles concernent directement les objets connectés :

  • L’article 4, qui contraint tous les algorithmes publics à être transparents. Par exemple l’algorithme de ParcourSup rentre pleinement dans ce cadre. L’idée de lutter contre l’opacité des systèmes.
  • L’article 39 qui impose aux plateformes d’êtres neutres et loyales. En d’autres termes, « elles doivent dire ce qu’elle font et faire ce qu’elles disent ». Par exemple, Christine Ballagué cite Google qui n’est pas loyal « car il dit que c’est un moteur de recherche mais en fait non, c’est un modèle de captation massif de données qui fabrique un modèle publicitaire ». C’est également vrai pour d’autres start-ups qui vendent des objets connectés ajoute-t-elle.

Sur le volet éthique, les premiers rapports datent de 2016 sous l’administration Obama qui mettaient déjà en lumière les facteurs d’exclusion ou les risques à l’encontre de la citoyenneté que pouvaient provoquer l’IA. En France, le rapport de Cédric Villani propose un volet entier sur une vision éthique et responsable du développement des technologies.

En Europe, trois initiatives majeures sont à noter :

1/ La mise en place du groupe d’experts de haut niveau sur l’intelligence artificielle par la Commission Européenne qui a travaillé sur une guide éthique pour une IA de confiance. Aussi contestable soit-il.

2/ Le vote et l’application du RGPD (règlement général sur la protection des données) il y a un an, qui a permis d’apporter un cadre législatif relatif à la protection des : données personnelles.

« Son objectif est de réguler les traitements des données personnelles. Dans le cadre du RGPD on appelle données personnelles tout ce qui permet d’identifier directement ou indirectement des personnes. Cela peut-être un nom, un prénom, mais aussi une adresse IP. La collecte, l’écriture et le calcul sur les données doit répondre à certaines règles » explique Jérôme Gorin. Ces règles imposent une obligation de transparence envers les utilisateurs et son consentement dans l’usage de ses données, dans un cadre sécurisé. Le RGPD apporte donc une première forme de réponse législative vis-à-vis de l’IoT.

Le RGPD promeut aussi « deux outils » dans une logique d’ « approche vertueuse » :

  • Le code de conduite, qui n’est en aucun cas contraignant. Ce sont des lignes directrices que le constructeur est libre d’adopter ou non. S’il le respecte, le constructeur peut l’afficher sur son produit.
  • La certification, qui elle est contraignante. Il est possible de mettre en place des référentiels au niveau national ou européen pour avoir cette certification mentionnant le respect des points concernés par l’intervention d’un organisme certificateur. Si l’objet connecté est certifié, il va bénéficier d’un tampon qui certifie au consommateur le bon respect de la protection de ses données.

Il n’existe en aucun cas une interdiction formelle en amont de mise sur le marché des objets connectés. Les constructeurs sont libres d’adopter ou non ces deux outils. Il revient au consommateur d’être vigilant sur ces points.

Le RGPD a aussi permis d’accroître le champ d’action de la CNIL en France. Ses pouvoirs de sanction (pouvant allant jusqu’à des amendes  significatives) ont été accrus. Elle dispose également d’un volet plus pédagogique en publiant régulièrement des fiches pratiques pour utiliser en toute sécurité des objets connectés.

3/ La directive ePrivacy. Cette directive est complémentaire au RGPD. « L’ePrivacy est ici pour protéger les tuyaux » souligne Jérôme Gorin. Elle s’adresse à ceux qui transmettent les données. À savoir les FAI. Ils n’ont pas de droit de regard sur ce qui va transiter par leur réseau. Elle comporte également un volet sur « l’intégrité du terminal ». « Toute personne doit demander le consentement avant de pouvoir lire ou écrire des informations sur votre terminal » explique Jérôme Gorin. Un exemple connu de l’application de cette directive est l’apparition de bandeau de cookies.

 

Image by methodshop from Pixabay