<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=172177&amp;fmt=gif">
Expertise

Le RGPD va responsabiliser tous les acteurs de l'IOT

Entretien avec Julien Muller, CTO chez Matooma, concernant les réformes de la RGPD. 

Le Règlement général pour la protection des données, qui entre en vigueur le 25 mai prochain, va obliger tous les acteurs de l’IoT à prendre leurs responsabilités dans la chaîne de traitement de l’information. Matooma, spécialiste de la connectivité des objets, assure qu’il est bel et bien déjà prêt.

rgpd_m2m_cartesim
 
Le 25 mai prochain, le Règlement général pour la protection des données (RGPD ou GDPR en anglais) entrera en vigueur dans tous les pays de l’Union européenne. 

Un sérieux tour de vis pour les entreprises traitant les données des citoyens du Vieux Continent.

Ces dernières voient leurs responsabilités renforcées, avec l’introduction de trois principes clefs : le ‘privacy by design’ (autrement dit l’intégration des principes de protection de la vie privée des clients et employés dès la conception d’un service ou produit), le ‘security by default’ (soit des garanties sur le niveau de sécurité offert par les systèmes d’information mis en oeuvre) et ‘l’accountability’. « C’est probablement le changement le plus marquant, explique Julien Muller, le directeur technique de Matooma, société française spécialisée dans la connectivité des objets. L’accountability débouche sur une logique de responsabilisation de tous les acteurs de la chaîne dans la protection des données. Elle vient supplanter les processus déclaratifs et d’autorisation auprès de la CNIL. »

Outre ces trois principes fondateurs, le RGPD s’illustre aussi par la lourdeur des sanctions prévues par le législateur : les amendes en cas de non-conformité peuvent atteindre 4 % du chiffre d’affaires mondial d’une entreprise !

 

« Un audit pour vérifier notre conformité »

Mais, pour Julien Muller, ces nouvelles exigences apparaissent davantage comme la continuité de pratiques déjà en place chez Matooma : « dans le secteur des télécoms, nous étions déjà très suivis par la CNIL. Nous avons ainsi déjà impliqué contractuellement nos fournisseurs et sous-traitants dans la protection des données, en les responsabilisant sur la sécurité et l’encadrement de la finalité des traitements, assure le CTO de la société montpelliéraine. Et, techniquement, les mesures prévues par le règlement sont déjà en place ». Y compris sur des processus sur lesquels peinent encore de nombreuses sociétés, comme l’effacement total des données personnelles d’un utilisateur sur simple demande ou la notification d’éventuels incidents de sécurité.

« Nous avons effectué un audit pour vérifier que nous respectons bien les préconisations du règlement ; et c’est bien le cas. »

En plus de son RSSI, qui se focalise sur la sécurité des accès, Matooma a nommé un responsable des bases et traitements de données, qui hérite du dossier RGPD. « Mais la création de ce poste est davantage liée à notre croissance et aux besoins de nos clients qu’au règlement à proprement parler », assure le CTO.

Malgré l’entrée en vigueur du texte, Julien Muller ne s’attend pas à voir la sécurité des objets connectés s’améliorer brutalement. « Seule une normalisation permettrait de changer réellement les choses, explique le CTO. Aujourd’hui, avant d’être commercialisés en Europe, les smartphones doivent, par exemple, recevoir une certification. Rien de tel, pour l’instant, avec les objets connectés. »

Néanmoins, pour cet expert, la sécurisation des couches de transport et la protection des emplacements de stockage de données permettent déjà d’écarter la plupart des risques, hormis le blocage du service à proprement parler. « Par exemple, si on prend le cas d’un bracelet de géorepérage (qui signale l’entrée ou la sortie d’une zone géographique donnée, NDLR), tout le volet interprétation des données s’effectue sur le serveur, relié à l’objet par un protocole de transport hautement sécurisé. Et les actions qui découlent de ces analyses sont effectuées à partir de systèmes tiers. L’objet connecté n’est, en réalité, qu’un simple élément passif dans cette chaîne », illustre Julien Muller.

guide-m2m-v2

27 pages de conseils concrets

Pour tout comprendre sur la carte SIM M2M

Télécharger le guide gratuitement