Objets connectés Enjeux et défis d une révolution en marche Frédéric Forster 09/09/2015 Copyright Lexing 2015 1
Réseau Lexing 09/09/2015 Copyright Lexing 2015 2
Introduction Le contexte : les risques et menaces liés à un objet ou à ses données L enjeu : atteintes multiformes : atteintes corporelles, aux biens, à la vie privée, aux systèmes d information, au secret des affaires Le défi : identifier et maîtriser les risques et menaces - Le «Security by design» 09/09/2015 Copyright Lexing 2015 3
Les objets connectés, ce n est pas demain, c est aujourd hui. Ce n est pas de la science-fiction mais la réalité. Les barrages, les usines, les feux rouges, tout est connecté. 09/09/2015 Copyright Lexing 2015 4
Estimations du nombre d objets connectés en 2020 (en milliards) Selon Gartner, les villes intelligentes utiliseront déjà près d 1,1 milliard d objets connectés en 2015, dont 45% dans les maisons et bâtiments professionnels. 09/09/2015 Copyright Lexing 2015 5
Plan 1. Objet connecté : de quoi parle t on? 2. Objets connectés : quels enjeux? 3. Objets connectés : quelles problématiques? 4. Synthèse 09/09/2015 Copyright Lexing 2015 6
1. Objet connecté : de quoi parle t on? 1. Définition 2. Typologie 3. Les objets connectés en entreprise 09/09/2015 Copyright Lexing 2015 7
1.1 Définition (1) IoT : définition? - Pas de définition standard - Différentes technologies, différentes échelles - Tentative 1 : «un ensemble d objets disposant de capteurs et échangeant de l information via un réseau» - Tentative 2 : «objet physique possédant une adresse IP qui se connecte reçoit et envoie des données via un réseau de communication» 09/09/2015 Copyright Lexing 2015 8
1.1 Définition (2) L IoT s inscrit dans une migration qui s opère alors que le monde évolue des communications M2M (Machine-to- Machine) de l IoT vers l Internet of Things et, probablement vers «l Internet of Everything». Cette évolution est induite par trois moteurs : la prolifération des objets connectés, la croissance exponentielle des applications multiplateformes, et la maturité des technologies réseau capables de connecter des milliards de dispositifs, de manière économique et sans efforts. 09/09/2015 Copyright Lexing 2015 9
1.1 Définition (3) Exemples français Entreprise Objet Situation économique Aldebaran robotics humanoïde Nao jouant le rôle d assistant personnel rachetée par le japonais Softbank Delta Drone drones de surveillance utilisés par ERDF ou les stations de ski entrée en bourse en juin 2013 Medissimo MyFox pilulier «Imedipac» qui avertit le patient Alarme connectée utilisée par les compagnies d assurance équipant plus de 800 maisons de retraite levée de fonds de 3,2 M en mars 2013 Netatmo Stations météo, thermostat levée de fonds Orange 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 10
1.1 Définition (4) Exemples français Société Objet Situation économique Parrot Violet Withings SRETT Sen.se Sigfox sonde pour le jardin, pot de fleur connecté lapin «Karotz» qui parle, écoute et regarde pèse-personne, tensiomètre, babyphone systèmes de télésurveillance pour les industriels et la santé plateforme «Mother» rendant des objets connectés transfert de données avec faible bande passante entrée en bourse revendue à Aldebaran Robotics levée de fonds banque publique BPI partenaire d Air Liquide prix du Consumer Electronics Show de Las Vegas entrée d Intel au capital 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 11
1.1 Définition (5) Des cardiomètres, des balances (Withings), vêtements avec capteurs intégrés, des écouteurs, qui mesurent la fréquence cardiaque et de la température, Des gadgets communicants la station météo de NetAtmo qui mesure la qualité de l air, l humidité, etc.. compatible avec iphone et Android, HAPIfork : fourchette communicante qui analyse la façon de manger (trop vite, trop grosse bouchée..), les montres intelligentes qui recherchent la présence - qui créent des ondulations de données et animent des objets. votre réfrigérateur peut commander du lait directement auprès de votre épicerie ; le chauffage de votre maison sera réglé depuis votre véhicule, votre bouilloire reliée au réfrigérateur votre voiture vous avertit que vous allez bientôt dépasser un restaurant thaï dont vos amis discutaient sur Facebook ; des luminaires commandables (lampes Hue de Philips), SmokeWatchers une cigarette intelligente et communicante alliée à un service de coaching personnalisé facilitant l arrêt du tabac et faisant office de dispositif de sevrage de nicotine (). 09/09/2015 Copyright Lexing 2015 12
1.2 Typologie Les objets connectés directement à Internet stockent leurs données dans le cloud ; Le M2M (ou M to M ou Machine to Machine), communication entre machines et l accès au système d information sans intervention humaine, via une technologie Bluetooth, RFID, NFC, wifi ou 3/4G. Les terminaux communicants ("smart connected devices") tablettes, les smartphones, les ordinateurs portables ou encore les lunettes connectées (type Google Glass). 09/09/2015 Copyright Lexing 2015 13
1.3 Les objets connectés en entreprise Les nouveaux outils pour gagner du temps et accéder encore un peu plus aux informations : badges ou bracelets connectés, écrans connectés, wearables ou vêtements et accessoires connectés, etc.) Les bracelets connectés : pour connaitre le niveau de stress des employés, pour les inciter à faire du sport, thermostats intelligents pour mieux gérer les dépenses énergétiques Les lunettes pour les militaires et autres forces de l ordre : avec de la réalité augmentée, et un couplage avec une base de fugitifs pour de la comparaison faciale Les caméras connectées pour la sécurité, pour donner la disponibilité d une salle de réunion, pour aider à l intervention de techniciens à distance, etc. 09/09/2015 Copyright Lexing 2015 14
2. Objets connectés : quels enjeux? 1. Vers l ubiquité? 2. Vers de nouveaux risques? 3. Vers un bouleversement des écosystèmes? 09/09/2015 Copyright Lexing 2015 15
2.1 Vers l ubiquité? (1) Vers la conquête de l ubiquité Je suis là! Où es tu? Et voici ce que je vois! Cloud Et ce que les autres voient autour! En fonction de ces éléments, tu devrais faire ça! Finalement, je l ai fait pour toi! 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 16
2.1 Vers l ubiquité? (2) Réfrigérateur du futur faisant ses courses et surfant sur internet! 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 17
2.2 Vers de nouveaux risques «Chérie, on a piraté le frigo!» Aux USA, des réfrigérateurs auraient été piratés pour envoyer 750 0000 spams (Proofpoint, Calif. Jan. 16 2014) Encore aux USA : 1 ère condamnation par la FTC (équivalent de la DGCCRF) en sept. 2013 : aff. baby surveillance camera 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 18
2.3 Vers un bouleversement des écosystèmes? L écosystème de l IoT Machines et produits connectés constructeurs, intégrateurs, développeurs f Client final, exploitant Serveurs application métier intégrateurs, éditeurs logiciel, fournisseurs services IT Modules radio fabricants modules Cartes SIM M2M fabricants SIM Réseaux cellulaires opérateurs mobiles 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 19
2.3 Vers un bouleversement des écosystèmes? Les données, un enjeu central de l IoT IoT : données collectées par des objets bavards Data Objets bavards (téléphones, GPC, etc.) Web Métadonnées, cartographies, catalogues Machine-to-machine (M2M) : données enfermées et ne passent pas par le Web, mais utilisent internet en tant qu infrastructure Data Données collectées par des machines hors de notre contrôle Entité X 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 20
2.3 Vers un bouleversement des écosystèmes? Convergence Anytime Anycontext Informatique Anything Any device Anyone Anybody Interopérabilité Any place Anywhere Any service Any business Télécoms Any path Any network Contenus 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 21
3. Objets connectés : quelles problématiques? 1. Introduction 2. Quelle identité? 3. Quelles responsabilités? 4. Quelle propriété des données? 09/09/2015 Copyright Lexing 2015 22
3.1 Introduction IoT récolte, partage et organise des données Vie Privée et sécurité Pression sur la bande passante Propriété des données IoT prend des décisions «autonomes» Contrats autonomes Responsabilité 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 23
3.2 Quelle identité? L identité électronique en matière d objets connectés : quels sont ses contours? quelles approches au plan national et international? quel est le prochain encadrement juridique? comment s y adapter? Un nouveau concept intégré dans le cadre légal : quelles en sont les principales caractéristiques? L usurpation d identité : la fraude, l escroquerie, etc. : comment s en prémunir? quels sont les risques et les sanctions associées? Le droit à l oubli : quels enjeux pour la protection des personnes et de la vie privée? quelles règles à mettre en place? Comment intégrer l IoT dans la démarche de la DSI? 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 24
3.3 Quelles responsabilités (1)? Responsabilité civile délictuelle des choses gardées On est responsable non seulement du dommage [ ] qui est causé par le fait des personnes dont on doit répondre, ou des choses que l'on a sous sa garde (art. 1384 c. civ.) : qui a la garde? L utilisateur? L opérateur télécom? L hébergeur? Responsabilité civile délictuelle par négligence ou imprudence Chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence. (art.1383 c. civ.) : utilisateur? Responsabilité civile contractuelle Les conventions obligent non seulement à ce qui y est exprimé, mais encore à toutes les suites que l'équité, l'usage ou la loi donnent à l'obligation d'après sa nature. (art. 1135 c. civ.) : celui qui traite les informations collectées (ex: pacemaker). Responsabilité civile contractuelle des vices cachés de la chose Garanties des vices cachés de l objet (art.1643 c. civ.) : fabricant, distributeur, vendeur. 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 25
3.3 Quelles responsabilités (2)? Introduction, extraction, détention, reproduction, transmission, suppression ou modification frauduleuse de données d un STAD 323-3 c. pénal STAD utilisateur ou STAD de l éditeur de l API? y compris par négligence, procéder ou faire procéder à des traitements de données à caractère personnel sans que les formalités préalables à leur mise en œuvre aient été respectées Atteinte à la vie privée 226-16 c. pénal 5 ans prison et 300 000 amende 226-1 c. pénal En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé Autres Infractions spécialisées : escroqueries cartes bancaires, escroqueries, blanchiment 09/09/2015 Copyright Lexing 2014 Confidentiel Entreprise 26
3.4 Quelle propriété des données? Utilisateur Tiers? Données collectées Opérateur de l objet? Editeur de l application (API)? Qui est responsable du traitement des données à caractère personnel et qui est sous-traitant? Quelles CGU? 09/09/2015 Copyright Lexing 2015 27
5. Synthèse (1/4) Les responsabilités risquent d être partagées. fabricant distributeur éditeur API opérateur commerçant hébergeur Comment les identifier? Expertise entreprise qui fournit employés utilisateur 09/09/2015 Copyright Lexing 2015 28
5. Synthèse (2/4) Le corpus La directive machine La sécurité Le droit des biens La responsabilité du fait des choses Les données personnelles Les droits de l individu Le droit des télécoms L organisation des réseaux 09/09/2015 Copyright Lexing 2015 29
5. Internet des objets (3/4) Les déficits juridiques Les déficits sur les objets Le droit à la sécurité par défaut Le droit au silence Le droit au contrôle des émissions Les déficits sur les personnes Le droit de propriété Le droit à la dignité numérique Le droit à la souveraineté Le droit à l intimité 09/09/2015 Copyright Lexing 2015 30
5. Synthèse (4/4) Les initiatives La monétarisation des données Projet mes Infos de la Fing Le projet de loi français Les droits numériques 2.0 La charte des droits fondamentaux UE Le projet de règlement Industrial Internet Consortium 2014 AT&T, Cisco, GE, IBM, Intel Les pistes Une convention internationale Une norme ISO Une directive UE avec protection adéquate 09/09/2015 Copyright Lexing 2015 31
Qui sommes-nous? Le cabinet Alain Bensoussan-Avocats a, pour la 3e année consécutive, obtenu le 1er prix (Trophée d or) du Palmarès des cabinets d avocats 2015 dans la catégorie Technologies de l information / Médias / Télécommunications, organisé par Le Monde du Droit en partenariat avec l Association Française des Juristes d Entreprise (AFJE). Un Client Choice Award a été décerné à Alain Bensoussan en 2014 dans la catégorie «Information Technology», reconnaissant ainsi la qualité exceptionnelle de ses prestations dans le domaine des technologies avancées. Pour la 4e année consécutive, Alain Bensoussan et le cabinet ont été distingués «Lawyer» de l année 2014-2015 dans les catégories Technologies, Technologies de l Information, et Contentieux par la revue juridique américaine «Best Lawyers». Après avoir obtenu le label Cnil «Lexing formation informatique et libertés» pour son catalogue de formations informatique et libertés, le cabinet a obtenu le label Cnil pour sa procédure d audit «Lexing audit informatique et libertés». Le premier réseau international d avocats dédié au droit des technologies avancées 09/09/2015 Copyright Lexing 2015 32
" ALAIN BENSOUSSAN AVOCATS 58 boulevard Gouvion-Saint-Cyr 75017 Paris Tél. : +33 (0)1 82 73 05 05 Fax : +33 (0)1 82 73 05 06 paris@alain-bensoussan.com www.alain-bensoussan.com Alain Bensoussan Avocats @AB_Avocats Lexing Alain Bensoussan Avocats " Frédéric Forster Mob. : +33 (0)6 13 28 96 78 frederic-forster@lexing.eu @ForsterF Lexing est une marque déposée par Alain Bensoussan Selas 09/09/2015 Copyright Lexing 2015 33
Crédits photos Concept Communication Technology Interface@alex aldo Fotolia.com Computer Web Signin User Security MissMedia-Fotolia.com Networking Scott Maxwell-Fotolia.com world with a heap of packages Franck Boston-Fotolia.com 09/09/2015 Copyright Lexing 2015 34