Le Contrôleur européen de la protection des données (CEPD) a publié en janvier 2019 un rapport relatif au développement des lunettes intelligentes ("smart glasses") et aux questions que leur utilisation soulève en matière de protection de la vie privée et des données à caractère personnel.
Les smart glasses, véritables petits ordinateurs montés sur une paire de lunettes, sont connectées à Internet et permettent d'afficher des informations dans le champ de vision de l'utilisateur grâce à des applications de réalité augmentée. Certains modèles sont équipés d’un système de commande vocale, d’autres fonctionnent avec des touches tactiles.
Les smart glasses permettent d’engranger des gains de productivité et d’efficacité conséquents dans les secteurs professionnels où leur utilisation est en hausse. C’est le cas en particulier dans l’armée, la police, la sécurité et les opérations en entrepôts. Forts d’un tel succès, les fabricants s’orientent à nouveau vers le marché de la grande consommation, délaissé en 2015, en misant sur des modèles plus élaborés bénéficiant de systèmes de reconnaissance faciale et vocale.
Les traitements de données personnelles à la loupe - Les smart glasses nouvelle génération soulèvent des questions au regard du règlement général sur la protection des données personnelles (RGPD), de la future directive ePrivacy et de la législation française en matière de protection des données personnelles. En effet, elles permettent de collecter un grand nombre de données personnelles par des moyens multiples et de les diffuser facilement et rapidement. Ainsi, ces lunettes peuvent enregistrer des images (photos et vidéos), des sons, ou encore une position géographique grâce à un microphone, une caméra ou un GPS intégré, mais aussi également collecter des données invisibles appartenant à d’autres personnes propriétaires d’appareils électroniques, comme des identifiants d’utilisateurs émis via wi-fi ou bluetooth.
Les smart glasses s’inscrivent dans une mouvance "Technology & Fashion" résolument dans l’air du temps. Elles bénéficient d’un style plus épuré et d’un design plus discret que les anciens modèles. Certains constructeurs travaillent à les rendre impossibles à distinguer de lunettes normales. C’est d’ailleurs la discrétion et la facilité avec lesquelles les smart glasses peuvent procéder à des enregistrements de données personnelles, de façon ininterrompue, qui apparaît comme l’un des sujets les plus préoccupants mis en exergue par le rapport.
Les risques d’atteintes aux données personnelles au travers des smart glasses
L’absence de consentement et le manque d’information des personnes concernées - Les enregistrements réalisés par le biais des smart glasses ne peuvent être contrôlés par les personnes concernées, dont les données peuvent être collectées à leur insu. Il s’avère difficile, voire impossible, pour le public de consentir au traitement de ses données personnelles et d’être informé dudit traitement dans les conditions prévues par la loi.
L’enjeu de l’information des personnes concernées est d’autant plus prégnant que les smart glasses permettent un partage rapide, si ce n’est quasi instantané sur les réseaux sociaux, des informations enregistrées. En outre, ces traitements sont relativement sensibles du fait notamment du caractère fortement identifiable des informations traitées (photos de visages, vidéos, enregistrements sonores, identification des personnes par reconnaissance faciale et vocale et par signaux wi-fi et bluetooth).
La sécurisation insuffisante des smart glasses - Le rapport alerte sur le fait que les smart glasses peuvent présenter des failles de sécurité (risque de vol de données). Par ailleurs, les smart glasses sont, comme tout outil numérique, vulnérables aux virus et autres programmes malveillants pouvant porter atteinte à l’intégrité des données personnelles.
En outre, elles présentent les faiblesses inhérentes aux objets connectés : leurs ressources limitées, du fait de leur format réduit, empêchent la mise en place de solutions de sécurité pleinement efficaces.
Se conformer à la législation en vigueur et envisager les règles du futur - Assurer la conformité des smart glasses à la législation relative à la protection des données personnelles, en particulier au RGPD, est un enjeu de taille. Le rapport préconise que des mesures spécifiques à l’Internet des objets (IoT) soient mises en œuvre par les responsables de traitement. Ces derniers devront tenir compte du contexte spécifique à chaque type de smart glasses. L’avis du CEPD n° 8/2014 du 16 septembre 2014 relatif à l'évolution récente de l'IoT est une ressource précieuse pour conduire le processus de mise en conformité.
Le rapport recommande par exemple que les principes de privacy by design et privacy by default soient intégrés dans le processus de développement des lunettes au stade de la fabrication. Se poser la question de conduire une analyse d’impact préalablement à la commercialisation des smart glasses est également une étape cruciale pour ce type de dispositif.
Le rapport précise enfin qu’il faudra tenir compte de la future directive e-Privacy pour encadrer les smart glasses. Au demeurant, il s’agira de garder un œil attentif sur les futures avancées technologiques qui viendront améliorer le nombre et la nature des capteurs d’information, ainsi que la qualité et la quantité des données personnelles traitées.
A lire également :
Cet article a été publié dans notre Lettre Propriétés Intellectuelles de mai 2019. Découvrez les autres articles de cette lettre.
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.