Vous concevez des objets connectés pour l’IoT : assurez-vous d'être conforme au RGPD (Règlement général à la protection des données) pour développer votre projet sereinement.
A partir d'une démonstration et d'un cas concret développé par LINC (le Laboratoire d'innovation numérique de la CNIL), une équipe experte vous donnera les clés pour éviter les erreurs qui peuvent mettre en péril la confiance de vos utilisateurs.
2. Atelier CNIL
IoT et objets connectés
Jérôme Gorin & Erik Boucher de Crèvecoeur
Ingénieurs experts
Régis Chatellier
Innovation & Prospective
3. Offre de services organisée autour d’ateliers:
• Ateliers de sensibilisation: approfondissement RGPD (PIA,
DPO, … )
• Ateliers thématiques: healthtech, fintech, IoT, …
• Travaux pratiques: tag management, onboarding apps,…
La CNIL à Station F par French Tech Central
7. Plan de l’Atelier
1. Le RGPD, les grands principes et les nouveautés
2. Exemple de vulnérabilité des objets connectés
3. La méthode PIA de la CNIL
4. Pour aller plus loin…
8.
9. Licéité, loyauté,
transparence
Limitation
des finalités
Minimisation
des données
Exactitude
Limitation de la
conservation
Intégrité et
confidentialité
Respect des droits
des personnes:
• Information,
• consentement
• rectification,
opposition
• accès,
rectification
+ portabilité
+
Les grands principes I&L demeurent
10. Critère de ciblage
« territorialité de la
personne »
Sanctions augmentées
4% du CA mondial
Principe de responsabilité
« accountability »
Moins de formalités
Portabilité
Un droit pour les individus, une
opportunité pour les nouveaux
entrants.
Quelques nouveautés
Partage des responsabilités
Co-responsabilité et
sous-traitants
11. Internet of Things :
de très nombreux domaines d’application
Objets
connectés
Véhicule
connecté
Informatique
vestimentaire
(wearable
computing)
Mesure de soi
(quantified self)
Objets de santé
Domotique
(home
automation)
Objets
connectés pour
enfants
Villes
intelligentes
(smart cities)
Systèmes
industriels
Divertissement
/ culture
Objets pour
seniors (silver
économie)
12. Plan de l’Atelier
1. Le RGPD, les grands principes et les nouveautés
2. Exemple de vulnérabilité des objets connectés
3. La méthode PIA de la CNIL
4. Pour aller plus loin…
13. Profilage des centres
d’intérêts et dialogues
préprogrammés
Publicité
ciblée
Poupée connectée CAYLA
Parcours des données
Reconnaissance
vocale
Interactivité
15. Plan de l’Atelier
1. Le RGPD, les grands principes et les nouveautés
2. Exemple de vulnérabilité des objets connectés
3.La méthode PIA de la CNIL
4. Pour aller plus loin…
16. Le Privacy Impact Assessment :
- pour intégrer la protection de la vie privée et la cybersécurité
- pour faire du Privacy by design…
Nouvelles versions des guides PIA, adaptés au RGPD
La méthode PIA de la CNIL
17. La méthode PIA de la CNIL
Experts techniquesJuristes
Contexte
Description fonctionnelle
Données
Supports des données
Etc.
Principes fondamentaux
Proportionnalité et nécessité
Mesures protectrices des
droits
Risques liés à la sécurité des
données
Mesures existantes ou
prévues
Appréciation des risques
Validation du PIA
Évaluation (intégrée aux
étapes précédentes)
Plan d’action (intégré aux
étapes précédentes)
Décision
Réitérations possibles
(PIA non validé, mise à
jour du traitement…)
18. Etudier le parcours des données
Réseaux sociaux
Programme
d’interactivité
Fabricant
et hébergeur
Publicité
ciblée
Utilisateur
Objet connecté
Accès à
distance
20. Sécuriser les données
Minimisation
Exactitude
Mise à jour
Réglages de
confidentialité
Gestion des
traceurs
Chiffrement
Contrôle d’accès
Pseudonymisation
Sécurité des
interfaces
Minimisation
Pseudonymisation
Durée de conservation
Contrôle d’accès
Chiffrement des flux
21. Evaluer les risques pesant sur l’utilisateur
Supports
Matériels
Logiciels
Réseaux
Personnes
Supports papier
Canaux papier
Menaces Événements redoutés
Risques
Sources de risques
Personnes externes
Personnes internes
Sources non humaines
Données
Données du traitement
Données liées aux
mesures
Impacts potentiels
Vie privée
Identité humaine
Droits de l’homme
Libertés publiques
Sources de
risques
Supports Données
Impacts
potentiels
Vraisemblance Gravité
22. Définir un plan d’action
Si les mesures prévues pour respecter les
principes fondamentaux et pour traiter les
risques sont jugées suffisantes et les
risques résiduels acceptables, alors le
responsable peut prendre la décision de
mettre le produit sur le marché.
Sinon, alors il convient d’identifier les
objectifs pour y parvenir et de refaire une
itération de la démarche
Principaux
risques
Principales
mesures
Sécuriser les objets (ex :
authentification) et
communications
Permettre l’exercice des
droits (information,
consentement…)
Privilégier le traitement
local (IN-IN), quand cela
est possible
Étudier le parcours de la
donnée (depuis la collecte
jusqu’à sa destruction)
Vulnérabilités (protocoles,
paramétrages par défaut,
difficulté de mise à jour…)
Manque d’information et
difficultés pour exercer
ses droits
Centralisation et
dissémination des
données
Connaissance fine dans la
durée (objets de plus en
plus nombreux et discrets)
23. Plan de l’Atelier
1. Le RGPD, les grands principes et les nouveautés
2. Exemple de vulnérabilité des objets connectés
3.La méthode PIA de la CNIL
4. Pour aller plus loin…
25. Le logiciel PIA de la CNIL
Principales caractéristiques
Accompagner les entreprises vers la
conformité
Solution simple, user-friendly
Logiciel libre et open source, en
français et en anglais
Bases de connaissances pour les
principes de protection de la vie privée
Cartographie des risques et de leurs
composantes
Réutilisation des PIAs
Intègre l’exemple Captoo et le modèle
de PIA Objets connectés
26. Le site de la CNIL
https://www.cnil.fr
Recommandations (mot de passe,
cookie, mentions etc.)
Guides (sécurité, PIA, pub etc.)
Référentiels sectoriels (véhicule
connecté, silver economie)
Communications (hachage,
signatures, etc.)
27. Merci
Retrouvez nous sur
https://linc.cnil.fr/
Cette présentation, comme toutes les productions LINC, est mise à disposition, sous réserve des droits de propriété
intellectuelle de tiers et sauf mention contraire, selon les termes de la licence Creative Commons CC-BY.
Aux conditions suivantes :
- Attribution : vous devez créditer la source des contenus, intégrer un lien vers la licence et préciser la date à laquelle le
contenu a été récupéré. Vous devez indiquer ces informations par tous les moyens raisonnables, sans toutefois suggérer
que la CNIL vous soutient ou soutient la façon dont vous avez utilisé ses contenus.
- Lorsque ces contenus intègrent des éléments produits par des tiers, le contenu en question contient les mentions des
droits de ces tiers (généralement en bas de page). Vous devez vous y conformer.