La Quotidienne. La démocratisation des objets connectés constitue une belle opportunité pour les hackers de s’introduire dans les systèmes d’information. Quels sont les risques encourus par les propriétaires et les sanctions auxquelles s’exposent les hackers ?
Georgie Courtois. Les risques encourus par les propriétaires d’objets connectés sont multiples. En réalité, ces risques dépendent essentiellement de la nature de l’objet connecté.
A titre d’exemple, une habitation équipée en domotique peut être la cible de hackers qui s'y introduisent en utilisant les serrures connectées afin de s’y introduire. De même, les assistants vocaux, qui se généralisent dans les foyers, peuvent violer la vie privée par la captation illicite de conversations. Toujours au domicile, les réfrigérateurs connectés, en passant des commandes automatiques, peuvent être détournés pour réaliser des achats à l’insu de leurs propriétaires. Ils peuvent également être transformés en « machine zombies », les hackers utilisant alors les capacités de connexion des objets connectés pour effectuer des requêtes sur les réseaux, toujours à l’insu de l’utilisateur.
Soulignons que tous les objets connectés n’ont pas vocation à rester dans les foyers. Il a déjà été démontré que les voitures connectées pourraient faire l’objet de détournement et de prise de contrôle à distance.
L’accès illicite au système d’information que renferme l’objet connecté est une infraction en soi, sanctionnée par les articles 323-1 et suivants du Code pénal. Au-delà de l’infraction liée au caractère connecté de l’objet, il est également possible d’envisager des poursuites pour les infractions de droit commun comme le vol, l’atteinte à la vie privée, voire le crime en cas de prise de contrôle d’un véhicule dans le but de donner la mort.
La variété des atteintes potentielles incite à la vigilance et à une véritable prise de conscience des utilisateurs d’objets connectés. Il est donc nécessaire de les sécuriser.
La Quotidienne. Le propriétaire de l’objet connecté dispose-t-il de moyens pour se dédouaner, en invoquant par exemple des transactions réalisées à son insu ?
G. C. Si les paiements en ligne sont de plus en plus sécurisés grâce à l’utilisation de tokens d’authentification, ils ne sont pas infaillibles. La preuve de l’utilisation de ces objets technologiques par des tiers est parfois compliquée à rapporter dans la mesure où cela nécessite l’intervention d’experts. Certains objets connectés peuvent conserver des logs permettant de tracer les connexions, mais il faut savoir que les hackers peuvent supprimer leurs traces en cas d’introduction frauduleuse.
Afin de simplifier le remboursement en cas de fraude à l’utilisation des moyens de paiement, la législation prévoit un système d’inversement de charge de la preuve. Les articles L133-16 et L133-17 du Code monétaire et financier mettent à la charge de l'utilisateur de services de paiement l’obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées. Toutefois, c’est au prestataire de services de paiement qu'il incombe de rapporter la preuve que l'utilisateur a agi « frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations » (Cass. Com. 18-01-2017, 15-18.102). A défaut, il est obligé de procéder au remboursement de son client. La Cour de cassation l’a rappelé dans un cas où la banque n’a pas été en mesure de prouver que son client avait été victime d’un hameçonnage (phishing ; Cass. Com. 18-01-2017, précité : sur cet arrêt, voir La Quotidienne du 3 octobre 2018, Hameçonnage sur internet : le consommateur doit être vigilant ! ).
La Quotidienne. Les objets connectés collectent des données personnelles, concernant notamment la géolocalisation, qui sont transmises au fabricant ou à toutes personnes susceptibles de les exploiter. La mise en place du RGPD limite-t-elle les risques encourus par les propriétaires ? Quelles obligations pèsent sur les fabricants d’objets en la matière ?
G. C. Les fabricants d’objets connectés doivent désormais mettre en œuvre le « Privacy by design », c’est à dire aborder les questions de protection des données à caractère personnel dès les premières phases de conception des objets. Concrètement, il faudra limiter au stricte nécessaire la quantité de données traitée dès la conception (c’est le principe dit de « minimisation »). Par ailleurs, le RGPD impose de manière générale de mener une analyse d’impact pour les traitements de données personnelles présentant un « risque élevé » au regard des droits et libertés des personnes physiques. Compte tenu des risques évoqués précédemment, les objets connectés sont souvent concernés par la nécessité d’une telle analyse. La CNIL a d’ailleurs publié un guide pour la conduite d’une analyse d’impact sur les objets connectés.
Au-delà du RGPD, il convient de surveiller les discussions autour du futur règlement « e-privacy » qui a pour objet d’encadrer l’utilisation des métadonnées et données de connexions embarquées notamment dans les objets connectés. De nombreux acteurs s’inquiètent d’un durcissement des conditions d’utilisation de ces données. Cette utilisation pourrait dépendre du consentement préalable de l’utilisateur qui nuirait à la fluidité d’utilisation de ces objets.
Propos recueillis par Audrey TABUTEAU
Me Georgie COURTOIS, avocat associé au sein de la société d’avocats De Gaulle Fleurance & Associés
