Baracoda, groupe industriel français qui produit des objets
connectés, a organisé en avril dernier une conférence sur le thème de « L’éthique,
clé d’une souveraineté européenne en matière d’IoT ? » L’explosion des IoT (Internet of Things – Internet des objets) dans nos
vies pose en effet de nombreuses questions tant technologiques, juridiques que
sociétales. Sécurité des personnes et des biens, protection de la vie privée… Comment
encadrer de manière éthique l’usage des IoT ? L’Europe peut-elle bâtir une
alternative crédible aux plateformes monopolistiques américaines ?
Le terme « IoT »
est un abrégé pour désigner « l’Internet of Things » (ou Internet des
objets) et fait référence à l’écosystème des objets connectés (par exemple les
alarmes, bracelets connectés, chaussures connectées, etc.) aux usages variés
dans le domaine de la e-santé, de la domotique ou de la quantified self… Le nom
IoT désigne également tous les modèles économiques et marketing issus du développement
de ces objets connectés. Devant le développement inéluctable de leurs usages de
masses, dans notre vie quotidienne et au travail, aurons-nous assez d’éthique
pour les encadrer ? Comment et avec qui
définir les contours, les usages et le cadre réglementaire d’un IoT européen
responsable et souverain ? Autant de questions auxquelles ont tenté de
répondre Thomas Serval, fondateur de Baracoda ; Laurence Allard, maître de conférences en sciences de la communication,
chercheuse à l'Université Paris 3-IRCAV ; Anne-Lise Sibony, professeure de droit européen à l’Université de
Louvain ; et Jean-Michel Livowsky,
directeur général de DPO-Avocats - DPO la FESP, lors d’une conférence animée
par Thomas Boullonois, directeur-conseil planning
stratégique à l’agence Rumeur publique. Après s’être brièvement présentés, les
orateurs ont d’abord évoqué les caractéristiques et spécificités de ces
nouveaux « gadgets ».
Nouveaux
objets, nouvelles fonctionnalités
« Tous les IoT ont un point commun, ils
dispensent un service selon des finalités et ils collectent des données », a
expliqué Jean-Michel Livowsky. En ce qui le concerne, a-t-il ajouté, c’est le
RGDP (règlement général sur la protection des données) qui l’a amené à
s’intéresser aux problématiques liées aux usages des IoT. Pour lui, ce texte constitue « une
avancée majeure dans la protection des personnes et leur droit, comme l’a été
en son temps la loi informatique et liberté ». C’est pourquoi le DPO
(Data protection officer) qui a été instauré par ce règlement, a selon lui, une
importance capitale au sein de l’entreprise. Sa mission est officielle. Autonome,
il a d’autant plus de responsabilités, qu’il n’existe aucune explication
technique dans le nouveau règlement européen quant à l’usage des IoT. Il est
seulement exigé de « faire au mieux » (ce qui implique d’agir
de manière éthique). Il y a une raison à cette absence de directive, a-t-il expliqué : il
faut que le règlement perdure pendant 30 ou 40 ans, or d’ici là les objets qui
seront commercialisés seront très différents de ceux d’aujourd’hui.
Pour Thomas Serval, le fondateur
de Baracoda, « la problématique des valeurs et de l’éthique »
est également primordiale « car il faut se différencier et apporter au
consommateur qui adopte notre produit plus que la fonctionnalité d’être
connecté ». Prenant l’exemple de la brosse à dents Kolibree (brosse à dents
électrique avec application mobile), il expliqué que l’idée lui était
venue de l’inventer, car il voulait vérifier si sa fille se brossait bien
les dents. Pour que cette activité devienne ludique, il a donc souhaité en
faire un objet « excitant et amusant ». La brosse à dents en tant que
telle était destinée à mesurer la qualité du brossage, et pour pouvoir le
rendre intelligent, il a fallu collecter de la donnée. L’idée était aussi de
mesurer l’impact du signal envoyé (par exemple « bravo ! ») aux
utilisateurs, et de voir si cela leur donnait envie de réutiliser ou non la
brosse à dents. Objectif : corréler ensemble des éléments d’usage avec des
éléments de comportement pour voir ce qui fonctionnait ou pas.
Il a donc fallu en amont collecter énormément de
données (entre autres faire des vidéos de personnes qui se brossent les dents)
pour pouvoir, par exemple, détecter la position de la brosse à dents dans la
bouche à partir d’analyses du mouvement. Cette collecte des données est
primordiale, car « si on ne prend pas la peine de collecter les données, l’objet
ne va pas rester dans la vie des gens ».
Initialement, les concepteurs pensaient
que tout le monde allait se brosser les dents devant le téléphone (pour jouer
aux jeux proposés). Or, ils se sont vite rendu compte qu’au bout de 15 jours,
les adultes arrêtaient d’utiliser leur téléphone portable dans la salle de
bain. Ce qui les intéressait c’était de savoir précisément si toutes les
parties de la bouche étaient bien brossées. Le groupe Baracoda a donc dû
refaire un produit, en délocalisant les données qui auparavant étaient dans le
téléphone, pour les mettre dans la brosse à dents elle-même.
Mais cette brosse à dents
est-elle dangereuse ? a demandé Thomas Boullonois à l’invité. En réalité,
en délocalisant les données d’un endroit bien connu et maîtrisé (le mobile) vers
un autre moins connu (la brosse à dents elle-même), les ingénieurs ont été
amenés à approfondir la sécurité, pour éviter par exemple que quelqu’un utilise
l’intelligence de la brosse à dents à de mauvaises fins. « Le niveau optimal de
sécurité dépend fondamentalement de la chaîne de valeur dans laquelle cet objet
est inscrit, or la réalité du marché et sa maturité est que l’échelle de valeurs
et l’architecture des objets sont mal définies aujourd’hui. », a affirmé
le fondateur de Baracoda.
D’où la question qui se
pose : le niveau de sécurité est-il toujours proportionnel aux risques
potentiels ?
Les
nouveaux risques liés aux IoT
Thomas Boullonois s’est tourné
vers Laurence
Allard, maître de conférences en
sciences de la communication. Celle-ci en a profité pour présenter son association
« Citoyen capteur », qui promeut un Internet des objets citoyen,
c’est-à-dire responsable et collectif. Quel est son regard et celui des
adhérents de son association sur ces nouveaux risques ? Prenant pour point
d’appui les travaux de Michel Foucault, elle a expliqué qu’ « avec ces
objets connectés, on est sur un usage d’intersurveillance, soit une logique
d’usage qui est disciplinaire ». Toute cette offre d’objets connectés indique
que nous sommes dans une société de contrôle.
L’éthique selon elle nous
oblige à nous demander dans quelle société nous voulons être connectés. Par
quels genres d’outils et de scénario ? Comment veut-on être liés les uns aux
autres ? Pour elle, le rapport à la technologie peut se comprendre en termes
culturels, voire anthropologiques (volonté de puissance ou non). Vouloir
utiliser la technique pour dominer est sans doute une attitude que l’on peut
modifier avec l’éthique.
Les gens ont-ils peur des objets connectés et de
l’IA ? a ensuite demandé le modérateur à Anne-Lise Sibony, professeur de droit
européen à l’Université de Louvain.
Cette dernière a évoqué un cas
emblématique : la poupée Cayla. Ce jouet était doté d’un micro, qui s’est
avéré n’être pas du tout sécurisé, et qui pouvait servir à un tiers à
l’extérieur de la maison. Pour elle, cela fait peur, il n’y a aucun doute, car
« en tant que consommateur, je ne veux pas que mon objet connecté donne
des informations à des tiers. Je veux seulement que l’objet marche ».
Or, a-t-elle expliqué, le cadre
du droit en ce domaine est assez minimal. Il existe certes une directive sur la
garantie et une autre sur la responsabilité des objets défectueux, sauf que ces
textes datent d’avant l’émergence des objets connectés, lesquels soulèvent des
problèmes différents. Par exemple, a-t-elle expliqué, la directive sur la
garantie indique que l’objet doit être conforme au contrat et aux attentes
légitimes. Mais quand on parle d’un marché où les attentes ne sont pas formées,
c’est une vraie difficulté pour appliquer cette directive. Concernant la responsabilité
des objets délictueux, la définition du droit s’attache seulement aux produits
qui n’offrent pas la sécurité à laquelle on peut légitimement s’attendre compte
tenu des usages (la poupée Cayla). Il reste que les points aveugles sont
nombreux, car en ce qui concerne les cas d’exonération (cas qui permettent au
fabricant de s’exonérer de sa responsabilité), un plus grand nombre s’applique dans
le champ des objets connectés que dans les autres domaines. Par exemple, on dit
que le fabricant peut s’exonérer si le défaut n’existait pas au moment de la
mise en circulation de l’objet. « Donc si la vulnérabilité arrive avec la
mise à jour du logiciel par exemple, on tombe dans le champ de cette exception,
ce qui n’est pas très rassurant pour le consommateur. », a-t-elle précisé.
Par ailleurs, a-t-elle ajouté, il s’agit d’un instrument juridique qui ne
couvre qu’un certain type de dommages : les dommages physiques faits aux
personnes, et les dommages aux biens. Tous les dommages immatériels ne sont pas
couverts, par exemple le fait de se trouver nu sur internet, à cause d’une
caméra piratée.
Le grand public a-t-il vraiment
conscience des enjeux et risques liés à l’utilisation des objets
connectés ?
Pour Laurence Allard, si on
étudie l’état du marché des équipements connectés, deux grands secteurs
commencent à se développer : le marché de la sécurité (surveiller et
contrôler sa maison), et les bracelets connectés. Ainsi sur ce marché, on a 12%
d’alarmes et caméras de sécurité achetées, et 11% de bracelets et montres
connectés. Donc nous sommes en présence de
deux grandes logiques d’usage : contrôler son chez-soi et contrôler son
intériorité.
L’oratrice a mis en avant deux
risques, ceux-ci sont liés à la dépendance et à la donnée. Par rapport à la
dépendance d’abord. Les gens ont peur, car ils ont des alertes en temps réel, or
cela peut être considéré comme « anxiogène ». « On est tellement
branché à soi qu’on en devient addict de soi-même, et cela crée une grande
dépendance vis-à-vis de la technologie ». Ces technologies sont donc
perçues comme étant de plus en plus intrusives vis-à-vis de nos comportements,
même intérieurs.
Par rapport au contrôle des
données, « on a l’impression d’être un consommateur capté qui n’a pas
complètement la maîtrise de ses données » a-t-elle expliqué. Ces objets
sont en outre présentés comme des boîtes noires, on ne sait pas trop comment
ils fonctionnent. Les craintes des consommateurs liées à ces objets sont renforcées
par les affaires de hacking et autres récits de science-fiction qui promettent un
avenir où tout sera géré par des intelligences artificielles. Or, selon elle
« ce soupçon pesant sur le data nous éloigne de technologies qui
pourraient être utiles ».
Prenant l’exemple de la brosse
à dents connectée par exemple, Thomas Serval a expliqué que celle-ci permet de
faire de la prévention en matière de santé. « Or la prévention est le seul
modèle économique qui permette de garder le modèle de mutualisation des réseaux
santé qui existe en France ». Pour lui, si on refuse de l’admettre on va
peu à peu sombrer dans le système chinois, dans lequel si on est en bonne santé
on est assuré, sinon on ne l’est pas. Ainsi, pour lui « les objets
connectés qui mesurent les comportements seront nécessairement la part
active de cette équation de la prévention. »
Quant à l’utilisation des
données, qu’en est-il chez Baracoda ? Thomas Serval a expliqué que chez
eux : « les données sont à vous et sous votre contrôle ». En
outre, il a expliqué que son groupe vient de lancer avec Apple et Colgate, un
programme nommé « research skip ». L’objectif est d’améliorer le
produit, or pour cela, il faut comprendre l’impact réel qu’a une brosse à dents
connectée en termes de bénéfice sur la santé des consommateurs. Il est donc
nécessaire de mixer des données de santé. Le groupe a décidé de travailler avec
Apple, car « c’est le seul GAFA à avoir annoncé depuis le début qu’il ne
monétisait pas la donnée ».
Enfin, les débats se sont
focalisés sur la manière européenne de faire de la technologie. Existe-t-il une
éthique européenne de faire des IoT ?
Pour
une éthique européenne des IoT
Pour l’ensemble des
intervenants, il existe bel et bien une manière européenne de faire de la
technologie. En témoigne la mise en œuvre du RGPD qui prend en compte les
attentes des consommateurs. Or pour ces derniers, l’essentiel c’est la
confiance. Avec le nouveau cadre éthique mis en place par le RGPD « on
peut favoriser l’émergence d’un champion européen de l’IoT », ont expliqué
les experts.
Pour Jean-Michel
Livowsky, directeur général de
DPO-Avocats, qui a accompagné de nombreuses entreprises internationales
sur la problématique de la confiance, « il faut aussi que les entreprises
prennent conscience que la maitrise des données est un enjeu capital pour les
libertés ; notre nom et notre prénom, ça nous appartient intrinsèquement ».
Il existe un modèle légal et vertueux à faire adopter par les entreprises,
a-t-il préconisé. Plein d’espoir, il a affirmé que « dans 5 ou 10 ans les
entreprises seront mises au pas », notamment avec l’aide de la CNIL, qui
n’est pas là seulement « pour sanctionner, mais aussi pour prévenir et
accompagner ».
Pour Laurence Allard, devant ces
objets connectés nous sommes très soupçonneux, certes, mais il est temps
aujourd’hui de ses réapproprier. Par exemple, en collectant toutes les données afin
d’en faire « un commun pédagogique (comme Wikipédia) de manière à faire
avancer la science et la santé ».
Thomas Serval enfin a fait part
de ses ambitions pour son groupe et pour l’Europe en général.
« L’essentiel de la compétition se situe au niveau de l’éthique. Si on
fait en sorte que Baracoda gagne la confiance des consommateurs, alors on aura
gagné cette bataille de l’industrie. » « La dynamique des IoT aujourd’hui
est en Chine, mais il faut celle-ci aille chez nous », a-t-il conclu.
Maria-Angélica Bailly