<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=172177&amp;fmt=gif">
Data

Le RGPD va responsabiliser tous les acteurs de l’IoT

Le Règlement général pour la protection des données (RGPD), qui entre en vigueur le 25 mai prochain, va obliger tous les acteurs de l’IoT à prendre leurs responsabilités dans la chaîne de traitement de l’information. Cette problématique touche particulièrement le secteur du M2M qui est amené à traiter un nombre toujours croissant de données.
rgpd_m2m_cartesim

Le 25 mai prochain, le Règlement général pour la protection des données (RGPD ou GDPR en anglais) entrera en vigueur dans tous les pays de l’Union européenne. Un sérieux tour de vis pour les entreprises traitant les données des citoyens du Vieux Continent. Ces dernières voient leurs responsabilités renforcées, avec l’introduction de trois principes clefs : le ‘privacy by design’ (autrement dit l’intégration des principes de protection de la vie privée des clients et employés dès la conception d’un service ou produit), le ‘security by default’ (soit des garanties sur le niveau de sécurité offert par les systèmes d’information mis en oeuvre) et ‘l’accountability’ qui débouche sur une logique de responsabilisation de tous les acteurs de la chaîne dans la protection des données.

 

Elle vient supplanter les processus déclaratifs et d’autorisation auprès de la CNIL. Outre ces trois principes fondateurs, le RGPD s’illustre aussi par la lourdeur des sanctions prévues par le législateur : les amendes en cas de non-conformité peuvent atteindre 4 % du chiffre d’affaires mondial d’une entreprise !

 

Quelles solutions pour vérifier la conformité à ce règlement (RGPD) ?

Le secteur des télécoms était déjà très suivi par la CNIL avant la mise en place du RGPD. Pour Julien Muller, directeur technique de Matooma, ces nouvelles exigences apparaissent davantage comme la continuité de pratiques déjà en place : «Nous avons déjà impliqué contractuellement nos fournisseurs et sous-traitants dans la protection des données, en les responsabilisant sur la sécurité et l’encadrement de la finalité des traitements. Et, techniquement, les mesures prévues par le règlement sont déjà en place ». Y compris sur des processus sur lesquels peinent encore de nombreuses sociétés, comme l’effacement total des données personnelles d’un utilisateur sur simple demande ou la notification d’éventuels incidents de sécurité.

 

Il est par exemple recommandé d’effectuer un audit pour vérifier que l’entreprise respecte bien les préconisations du règlement. De même, la mise en place des postes de RSSI, qui se focalisent sur la sécurité des accès, ou encore de responsable des bases et traitements de données, sont des options qu’il est important d’étudier.

 

Malgré l’entrée en vigueur du texte, il ne faut pas s’attendre à voir la sécurité des objets connectés s’améliorer brutalement. Seule une normalisation permettrait de changer réellement les choses comme dans le secteur de la téléphonie.

 

Aujourd’hui, avant d’être commercialisés en Europe, les smartphones doivent, par exemple, recevoir une certification. Rien de tel, pour l’instant pour les objets connectés. Néanmoins, la sécurisation des couches de transport et la protection des emplacements de stockage de données permettent déjà d’écarter la plupart des risques, hormis le blocage du service à proprement parler.

 

Si l’on prend le cas d’un bracelet de géo-repérage (qui signale l’entrée ou la sortie d’une zone géographique donnée, NDLR), tout le volet d’interprétation des données s’effectue sur le serveur, relié à l’objet par un protocole de transport hautement sécurisé. Et les actions qui découlent de ces analyses sont effectuées à partir de systèmes tiers. L’objet connecté n’est, en réalité, qu’un simple élément passif dans cette chaîne.

 

guide-m2m-v2

27 pages de conseils concrets

Pour tout comprendre sur la carte SIM M2M

Télécharger le guide gratuitement