Véhicules, télévision, appareils ménagers, équipement de surveillance,... Aujourd'hui, de plus en plus d'objets de notre quotidien sont connectés à internet. Strategy Analytics estime ainsi à 22 milliards le nombre d'objets connectés dans le monde. Il y en aurait environ 40 milliards d'ici 2025 et 50 milliards d'ici 2030. Des objets qui peuvent collecter, stocker, traiter, analyser et échanger des données avec d'autres objets. Cette captation de données soulève des questions de sécurité et de confidentialité. Or même globalement informés, les usagers et utilisateurs n'ont que très rarement conscience du réel risque d'atteinte à la vie privée qu'ils courent en utilisant certains dispositifs connectés.
Cette connexion des environnements grandissant, le projet NumDiag en cours à Montpellier ambitionne de renforcer la confiance des utilisateurs envers les fabricants d'environnements connectés grâce à un logiciel qui diagnostique ces risques. Il est porté par Anne Laurent, professeure à l'Université de Montpellier, membre du Laboratoire d'informatique, de robotique et de microélectronique de Montpellier (LIRMM - CNRS/Université de Montpellier) et Gwenaëlle Donadieu, docteure en droit privé à l'Université de Montpellier.
« Peu sensibilisés au risque encouru »
Ce projet interdisciplinaire, à la confluence du droit privé, des sciences comportementales et de l'algorithmique, vise à détecter les fuites de données personnelles et en informer les usagers via l'établissement d'un datascore.
« Nous nous sommes rencontrées dans le cadre du projet HUT et l'idée a émergé car lorsqu'on rentre dans un appartement, on a un diagnostic de performance énergétique et on sait où sont les pertes de chaud ou de froid, mais on ne sait pas s'il y a des fuites de données personnelles liées à un environnement connecté, contextualise Anne Laurent. On parle là d'IoT (objets connectés, NDLR) mais pas seulement, on s'intéresse aussi aux données en mobilité, par exemple quand je branche mon téléphone à la gare sur un port USB. »
Le projet HUT, pour « HUman at home projecT », c'est une sorte d'appartement-observatoire qui a vocation à interroger l'impact sur nos comportements des nouvelles technologies dans un appartement ultra-connecté. Le projet, porté par un consortium de partenaires comprenant notamment le CNRS, l'Université de Montpellier, l'Université Paul Valéry ou la Métropole de Montpellier, a démarré en 2018 à Montpellier. Le projet HUT a été un élément déclencheur, car si le secteur professionnel reste le plus prolixe en termes d'objets connectés, la maison connectée aurait la plus forte croissance, grâce au développement de la domotique.
« Dans le logement connecté du projet HUT, la connexion des objets s'est faite progressivement, et chaque nouvel objet a généré un nouveau risque, observe Gwenaëlle Donadieu, qui était alors chargée de la protection des données au sein de HUT. Nous avons donc fait ce constat : les utilisateurs rentrant dans un logement connecté sont peu sensibilisés au risque encouru sur l'utilisation de leurs données. »
Une plus-value sur le marché
Docteur en droit, Gwenaëlle Donadieu a parfaitement en tête les risques auxquels on s'expose, elle qui a axé sa thèse sur les pratiques commerciales cognitives pour orienter le comportement économique du consommateur.
L'ambition de NumDiag est donc de mettre au point un logiciel d'analyse des risques d'atteinte aux données, dont le résultat est un score de confiance sur la protection des données calculé par un logiciel automatisé. Le score de confiance de NumDiag se matérialisera par un logo allant de A à E, comme actuellement le Nutri-score.
« La plus-value de NumDiag, c'est que l'on suit le chemin parcouru par la donnée sur lequel il n'existe rien, et surtout, nous sommes les seuls à faire du résultat de cet audit une plus-value sur le marché : rendre le résultat compréhensible par les utilisateurs et permettre aux petits acteurs de l'IoT de se différencier des gros, explique Gwenaëlle Donadieu. Car le score de confiance de NumDiag aura un impact sur les intentions d'achat dans la mesure où il va renforcer la confiance et permettre de faire un choix éclairé. »
Anne Laurent confirme qu'il n'existe pas d'outil de diagnostic « sur un aussi large spectre, ils sont soit techniques, soit juridiques, donc un outil comme NumDiag est assez attendu, notamment par ceux qui sont vertueux, font des efforts et espèrent en tirer un avantage marché ».
« La bande passante politique ou économique sur ce sujet est assez faible »
Le 30 mai dernier, les parties prenantes de NumDiag (Université de Montpellier, LIRMM, CNRS, INRIA,...) organisaient une journée de réflexion sur les enjeux d'un score sur la protection des données. Philippe Latombe, député de Vendée jusqu'au 9 juin dernier et membre de la CNIL, s'était exprimé sur le sujet par vidéo interposée : « Nous avons besoin d'avoir des outils simples, juridiques et technologiques, pour vérifier que les données personnelles sont bien protégées du point du vue du stockage mais aussi de la réutilisation. Malheureusement, la bande passante politique ou économique sur ce sujet est assez faible... C'est l'avantage de NumDiag qui, en algorithmique et en droit, repère les fuites de données ».
NumDiag comprend deux axes de travail : la création du score et la mise au point d'un logiciel pour calculer ce score.
« Pour afficher un score de confiance sur des objets connectés, on ne peut pas être juste sur du déclaratif et il faut donc aussi que nous développions un outil d'audit de certification qui vérifiera que ce qui est déclaré est véridique », ajoute Gwenaëlle Donadieu.
Le projet NumDiag fait partie des huit projets issus de CNRS Sciences informatiques accompagnés par le programme 2023 de pré-maturation du CNRS au sein du LIRMM à l'Université de Montpellier, ce qui lui a valu un premier financement à hauteur de 150.000 euros. Actuellement en phase de prototypage, il a vocation à aboutir à la création d'une startup. Anne Laurent et Gwenaëlle Donadieu visent un prototype opérationnel fin 2024, pour des premiers tests en mars 2025.
La réglementation européenne comme française a fourni un premier cadre pour accroître la protection des utilisateurs avec le Règlement général sur la protection des données (RGPD) et la loi du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public (dite « Loi Cyber-score »). Cette dernière a introduit dans le code de la consommation une obligation d'information des consommateurs quant au niveau de sécurité des opérateurs de plateforme ainsi que celui des données qu'ils hébergent. Elle apporte une obligation d'information des opérateurs numériques à destination des utilisateurs de leurs services qui n'était pas prévue par le RGPD, ce dernier ne prévoyant que des mesures de sécurité des données personnelles sans informer les personnes concernées quant à leur robustesse. Le décret et l'arrêté d'application sont toujours en attente de publication.Ce que dit la réglementation
Pourquoi le restaurant Les Grands Buffets reste finalement à Narbonne
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !