in

IoT et GRDP un challenge de Cyber Sécurité pour les opérateurs de services IT – Par Kevin Polizzi, Jaguar Network

L’avènement des objets connectés au travers de l’IoT est désormais une réalité concrète. Cette dernière génère une explosion du volume d’échange de données qui viennent notamment alimenter les outils du « marketing 4.0 ». Ces données, encore appelées « Big Data » vont promouvoir de nouveaux modèles d’offres et changer certains enjeux, en particulier pour les opérateurs.

Dans ce contexte, le législateur européen n’aura pas tardé à légiférer avec la mise en place de la nouvelle loi de protection des données personnelles, la GRDP 2016/679. Il se produit donc deux événements majeurs qui se rejoignent accidentellement dans le temps. C’est un chanceux concours de circonstance que le législateur n’avait pas prévu alors que l’IoT va produire en masse des données souvent sensibles.

Suite aux affaires Google et Facebook, il était temps de mettre un terme à la domination américaine en matière de collecte des données au profit des acteurs du GAFA et au détriment du citoyen européen.

La mort du Safe Harbor et la législation française mais aussi européenne laissaient alors un champ libre à l’anarchie des données. La régulation européenne détermine désormais une limite, en contraignant les opérateurs et les acteurs de la « data » par l’interdiction de transférer une donnée nominative hors de la zone européenne mais surtout, de la gérer selon des directives très strictes. Les contrevenants s’exposent à de fortes sanctions : 20 millions d’€ d’amende ou jusqu’à 4 % du chiffre d’affaires !

L’objectif premier du texte est donc de protéger le citoyen de son identité digitale.
Droit inexistant au demeurant si vous n’êtes pas citoyen européen ou hors du territoire européen, le tout applicable le 28 mai 2018.
Le second objectif est une révolution pour les acteurs de l’ IT en charge de la collecte, de la gestion et de la diffusion des données “personnelles “.

L’acteur économique le plus concerné par ces changements – l’infogérant des infrastructures – devra s’assurer auprès de ses clients qu’ils respectent bien la Loi. Du coup, il financera les audits afin de se prémunir d’un défaut de moyen de son client ou d’un intermédiaire faute d’être lui-même directement mis en cause ! C’est un changement considérable pour les opérateurs. Il nécessite une révision de certains « business models » due aux impacts financiers, de contrôle et de rigueur qu’impose la réglementation.

Et les objets connectés me direz-vous ?

C’est la double peine ! Ils vont non seulement contraindre très fortement la bande passante internet mais aussi accroître les volumes de données et ceci sans nous dire si la donnée collectée est personnelle ou non !
Le législateur n’avait pas prévu cela, ayant oublié en première instance, de légiférer sur ces petits objets, anodins au premier abord.

Les directives techniques annoncées par Bruxelles laissent un an à la zone communautaire pour se préparer. Sans omettre que suite au Brexit va s’amorcer une mutation d’un grand nombre de Data Center anglais vers la zone Schengen ; voilà une bien belle opportunité pour l’Europe.

Il faut retenir de ce constat que la mutation 4.0 annonce un tournant pour l’Europe et les acteurs du monde IT. Les prestataires vont pour la première fois réellement assumer la protection directe des citoyens.

N’est-ce pas le prix à payer pour retrouver la souveraineté de nos données ?

Quoi qu’il en soit, le législateur a tout de même oublié de sanctuariser un minimum de normes pour assurer la sûreté des objets connectés ; sûreté qui devrait non seulement faciliter l’identification d’une donnée personnelle mais aussi protéger l’utilisateur du risque cyber. Car l’avènement de l’IoT sans régulation de normes de sûreté engendre une prolifération de bombes à retardement cybernétiques.

Guillaume Poupard (Directeur Général de l’ANSSI) soulignait déjà
en janvier 2017 lors du FIC, il faudra attendre la première mort due à un IoT mal conçu pour éveiller l’Europe et les nations du danger chronique qui s’immisce dans nos sociétés . Attention donc à surveiller avec une grande délicatesse ce sujet sensible…

Kevin Polizzi, président fondateur de Jaguar Network

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.