Les jouets intelligents et l'IdO

20 décembre 2018

Articles

Auteurs:

La Federal Trade Commission (« FTC ») des États-Unis vient de publier un rappel saisonnier (plutôt effrayant) sur les dangers des jouets connectés à Internet pour enfants : il se peut que ces jouets enregistrent la voix des enfants et partagent des renseignements sur leur emplacement pendant qu’ils jouent^[1]. La FTC encourage donc les adultes qui achètent des jouets intelligents à se renseigner afin de savoir quel genre d’information ces jouets peuvent stocker, comment et où les données sont stockées et partagées, et si les parents ont la possibilité de voir et supprimer les données recueillies par le jouet. Le rappel souligne également les exigences légales américaines auxquelles les fabricants de jouets sont tenus de se conformer en matière de protection de la vie privée, particulièrement en ce qui a trait au consentement et à la divulgation (à noter que le Canada impose aussi des exigences semblables relativement à la protection de la vie privée).

La mise en garde arrive à point nommé pour les Canadiens aussi, et pas seulement parce qu’on se trouve en pleine saison d’achat de cadeaux. Les jouets intelligents représentent une part croissante de l’Internet des objets (« IdO »), cet univers constitué d’appareils connectés à la Toile. Téléphones intelligents, voitures connectées, stimulateurs cardiaques et lumières de Noël sont autant d’objets faisant partie de l’IdO. S’ils contribuent à faciliter la vie quotidienne, ces appareils sont néanmoins rarement munis d’une protection adéquate contre les cyberattaques. L’entreprise informatique Cisco estime que l’IdO « comprendra plus de 30 milliards d’appareils connectés » d’ici 2020^[2]. [TRADUCTION]

En ce qui concerne l’utilisation de biens de consommation de ce genre, un aspect clé de la cybersécurité est de s’assurer que les consommateurs comprennent les risques qui y sont associés en matière de cybersécurité et de protection de la vie privée. Par ailleurs, les gouvernements (quoiqu’ils aient tardé à prendre des mesures en ce sens) sont de plus en plus conscients de la nécessité de mettre en œuvre des mesures de sécurité à l’étape de la fabrication afin que les utilisateurs obtiennent une protection efficace contre les cyberattaques et les intrusions inopinées.

Le Sénat canadien a formulé des préoccupations semblables à la FTC quant à la prolifération de l’IdO. En effet, dans un récent rapport sur l’augmentation des risques en matière de cybersécurité au Canada, le Comité sénatorial permanent des banques et du commerce souligne que « plus de la moitié des ménages canadiens possèdent au moins quatre appareils connectés à Internet, et chacun de ces appareils peut devenir une cible pour les cybercriminels », et recommande que « [l]e gouvernement fédéral élabore des normes pour protéger les consommateurs, les entreprises et les gouvernements contre les menaces liées aux appareils qui pénètrent dans l’univers de l’Internet^[3]. »

Le Canada ne serait pas le premier pays à envisager d’imposer des normes de cybersecurité aux fabricants d’appareils connectés.

À titre d’exemple, voilà déjà un moment que le Japon a mis en œuvre sa stratégie en matière d’IdO. En 2016, l’organisme japonais responsable de la cybersécurité, soit le National Center for Incident Readiness and Strategy for Cybersecurity (« NISC ») a publié une ébauche de cadre général pour la sécurisation des systèmes de l’IdO (General Framework for Secured IoT Systems^[4]). Cette publication s’inscrivait dans le cadre d’une stratégie nationale^[5] dont l’élaboration avait notamment été motivée par les exigences de sécurité découlant de la tenue des Jeux Olympiques de 2020 au Japon^[6]. Le cadre général adopte le principe de la privacy by design (protection de la vie privée dès l’étape de la conception) et souligne la nécessité de développer des normes applicables à l’IdO, « y compris des exigences liées à la pratique courante et des exigences prévues par la loi^[7]. » [TRADUCTION]

Le Japon a effectué une mise à jour de sa stratégie en juillet 2018^[8], et y a souligné la nécessité de créer des lignes directrices à l'intention de l'industrie et de promouvoir « des initiatives visant la normalisation internationale des éléments de base requis en matière de cybersecurité pour la réalisation de systèmes d’IdO sécurisés, en vue d’élaborer des systèmes de création de valeur pour les systèmes d’IdO et de déployer ces normes à l’échelle mondiale tout en mettant à profit les forces du Japon en matière de sécurité, afin de contribuer au développement de l’économie mondiale grâce à l’utilisation croissante de tels systèmes d’IdO^[9]. » [TRADUCTION]

De toute évidence, le Japon est conscient de sa force de levier en tant que carrefour de la technologie pouvant exercer une influence considérable quant à l’établissement de normes mondiales, et cherche activement à renforcer la cybersecurité par le truchement de politiques.

À l’instar du Japon, d’autres pays et territoires ont à leur tour reconnu l’importance d’établir des normes dans ce domaine. Aux termes d’une nouvelle loi de la Californie^[10] qui entrera en vigueur en 2020, on définit « appareils connectés » (connected devices) en termes généraux, comme signifiant « tout appareil, ou autre objet physique capable de se connecter à l’Internet, directement ou indirectement, et auquel est assignée une adresse de protocole Internet ou une adresse Bluetooth^[11]. » [TRADUCTION] En vertu de cette nouvelle loi, les obligations suivantes incomberont au fabricant de tout « appareil connecté » (connected device) :

Munir l’appareil d’un ou plusieurs dispositif(s) de sécurité raisonnable(s) rassemblant tous les critères suivants :

(1) Être adapté(s) compte tenu de la nature et de la fonction de l’appareil.

(2) Être adapté(s) compte tenu de l’information que l’appareil pourrait recueillir, contenir, ou transmettre.

(3) Être conçu(s) pour protéger l’appareil et toute information qu’il contient de sorte que l’on ne puisse pas y accéder, les détruire, les utiliser, les modifier ou les divulguer sans autorisation^[12]. [TRADUCTION]

Entre-temps, le Sénat américain a publié un projet de loi^[13] qui n’a pas encore été adopté, mais a reçu l’appui de plusieurs experts en matière de cybersecurité. Aux termes de celui-ci, les appareils de l’IdO doivent être en mesure d’être rustinés, ne contenir aucune vulnérabilité connue, s’appuyer sur des protocoles normalisés, et ne pas utiliser de mots de passe codés en dur^[14].

Une chose est certaine, les pays et territoires influents ont pris conscience des risques que constituent la croissance rapide de l’IdO et l’absence d’un cadre réglementaire y afférent. L’éventuelle approche qu’adopterait le Canada quant à la réglementation de l’IdO soulève des questions intéressantes : s’agirait-il d’une réglementation de compétence fédérale ou provinciale (probablement les deux)? Quels organismes de réglementation (actuels ou nouveaux) assumeraient la compétence dans ce domaine? Quelles modifications faudrait-il apporter aux lois sur la protection de la vie privée et à d’autres lois actuelles en vue de mettre en œuvre un cadre réglementaire et des normes efficaces?

Permettant d’une part aux utilisateurs de bien comprendre leurs droits et d’autre part aux fabricants d’appareils connectés de comprendre leurs responsabilités, l’établissement d’un cadre technique et législatif à la fois rigoureux et clair est essentiel. Les pays et territoires qui agissent les premiers et prennent les mesures les plus approfondies à cet égard contribueront largement à façonner l’approche que prendront les autres pays et territoires. Il reste à voir quel rôle le Canada adoptera quant à ce genre d’initiatives : celui de chef de file ou celui de suiveur.

Entre-temps nous souhaitons à tous un Joyeux temps des Fêtes, sous le signe de la (cyber)sécurité!

[1] Federal Trade Commission, Buying an internet-connected smart toy? Read this. Le 6 décembre 2018, en ligne : https://www.consumer.ftc.gov/blog/2018/12/buying-internet-connected-smart-toy-read?utm_source=govdelivery (en anglais seulement).

[2] Cisco, Internet of Things (IoT) Data Continues to Explode Exponentially. Who Is Using That Data and How? Le 5 février 2018, en ligne: https://blogs.cisco.com/datacenter/internet-of-things-iot-data-continues-to-explode-exponentially-who-is-using-that-data-and-how (en anglais seulement).

[3] Sénat du Canada, rapport du comité sénatorial permanent des banques et du commerce, « Les cyberattaques : elles devraient vous empêcher de fermer l'œil » (Ottawa : le 29 octobre 2018), en ligne : https://sencanada.ca/content/sen/committee/421/BANC/Reports/BANC_Report_FINAL_f.pdf à la p. 19.

[4] Gouvernement du Japon, General Framework for Secured IoT Systems (Draft), en ligne : https://www.nisc.go.jp/eng/pdf/iot_fw2016_draft_eng.pdf (en anglais seulement).

[5] Gouvernement du Japon, décision du Cabinet, Cybersecurity Strategy, le 4 septembre 2015, en ligne : http://www.nisc.go.jp/eng/pdf/cs-strategy-en.pdf (en anglais seulement).

[6] Mihoko Matsubara, Palo Alto, Assessing Japan’s Internet of Things (IoT) Security Strategy for Tokyo 2020, le 19 septembre 2016, en ligne : https://researchcenter.paloaltonetworks.com/2016/09/cso-assessing-japans-internet-of-things-iot-security-strategy-for-tokyo-2020/ (en anglais seulement).

[7] Gouvernement du Japon, General Framework for Secured IoT Systems (Draft), en ligne : https://www.nisc.go.jjp/eng/pdf/iot_fw2016_draft_eng.pdf aux p. 3 et 4 (en anglais seulement).

[8] Gouvernement du Japon, Cabinet Decision, Cybersecurity Strategy, le 27 juillet 2018, en ligne : https://www.nisc.go.jp/eng/pdf/cs-senryaku2018-en.pdf (en anglais seulement).

[9] Gouvernement du Japon, Cabinet Decision, Cybersecurity Strategy, le 27 juillet 2018, en ligne : https://www.nisc.go.jp/eng/pdf/cs-senryaku2018-en.pdf aux p. 20 et 21 (en anglais seulement).

[10] An act to add Title 1.81.26 (commencing with Section 1798.91.04) to Part 4 of Division 3 of the Civil Code, relating to information privacy, en ligne : https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327 (en anglais seulement).

[11] An act to add Title 1.81.26 (commencing with Section 1798.91.04) to Part 4 of Division 3 of the Civil Code, relating to information privacy, en ligne : https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327 au par.1798.91.05 (en anglais seulement).

[12] An act to add Title 1.81.26 (commencing with Section 1798.91.04) to Part 4 of Division 3 of the Civil Code, relating to information privacy, en ligne : https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327 au par.1798.91.04 (en anglais seulement).

[13] S.1691—Internet of Things (IoT) Cybersecurity Improvement Act of 2017, en ligne : https://www.scribd.com/document/355269230/Internet-of-Things-Cybersecurity-Improvement-Act-of-2017 (en anglais seulement).

[14] Senator Mark Warner et. al., Internet of Things Cybersecurity Improvement Act of 2017 Fact Sheet, en ligne : https://www.warner.senate.gov/public/_cache/files/8/6/861d66b8-93bf-4c93-84d0-6bea67235047/8061BCEEBF4300EC702B4E894247D0E0.iot-cybesecurity-improvement-act---fact-sheet.pdf (en anglais seulement).

CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.

Sujet(s) similaire(s) Technologie

Rechercher dans articles et ressources par catégorie

Portée mondiale

Pourquoi Gowling WLG

Les jouets intelligents et la réglementation de l’IdO au Canada : une mise en garde en cette saison des Fêtes

Auteurs:

Auteurs

Articles et ressources similaires

Auteurs