Protection des Données des Objets Connectés et Smartphones – DAPCODS

Grâce à la croissance exponentielle d’Internet, les citoyens sont devenus de plus en plus exposés à des fuites d’informations personnelles dans leur vie numérique. Cette tendance a commencé avec le traçage sur le web depuis son ordinateur. L’arrivée des smartphones, nos assistants personnels toujours connectés et équipés de nombreux capteurs, a encore renforcé cette tendance. Et l’engouement actuel pour l’auto-mesure via des objets à porter, pour la domotique intelligente, et de façon générale pour les objets connectés permet de collecter des données personnelles potentiellement très sensibles dans des domaines jusque là hors de portée. Cependant on connait peu de choses sur les pratiques en termes de sécurité, de confidentialité et d’échanges de données. L’utilisateur final, mais aussi le législateur, sont donc prisonniers d’un système hautement asymétrique. Cela a des conséquences importantes en termes de régulation, de souveraineté et conduit à l’hégémonie des GAFA. La sécurité, la transparence et le contrôle par l’utilisateur sont trois propriétés clef qui devraient être suivies par tous les acteurs présents dans le monde des smartphones et des objets connectés. Les scandales récents montrent que la réalité en est parfois à l’opposé.

Le projet DAPCODS regroupe quatre équipes de recherche renommées, expertes en sécurité, vie privée et économie numérique. Elles sont secondées par la CNIL, l’agence française de protection des données. Le projet contribuera selon plusieurs axes :
1- en analysant le fonctionnement interne d’un ensemble significatif d’objets connectés en termes de fuite d’informations personnelles. Ceci sera rendu possible par l’analyse de leurs flux de données (et de leur application smartphone associée le cas échéant) depuis l’extérieur (smartphone et/ou réseau d’interconnexion) ou de l’intérieur, par des analyses statiques et dynamiques sur l’objet lui même. De nouvelles méthodes et outils seront nécessaires, certains s’appuyant sur des travaux antérieurs;
2- en étudiant les chartes de vie privée des fabricants des objets connectés selon plusieurs critères (par exemple l’accessibilité, la précision, leur focalisation sur l’objet, les risques de vie privée). Dans un deuxième temps les affirmations seront comparées au véritable comportement de l’objet connecté, ainsi qu’il aura été observé lors des campagnes de tests. Ceci permettra un classement précis et unique de ces objets connectés;
3- en comprenant l’écosystème sous-jacent, selon l’angle économique. Les données alors récoltées permettront de définir les frontières jusqu’ici floues du marché des données personnelles, essentiel pour mettre en place une régulation efficace;
4- finalement en proposant un site web publique qui classera ces objets connectés et informera le citoyen. Nous testerons alors l’impact de cette information sur le changement potentiel de comportement des acteurs.

En donnant des informations transparentes sur des comportements cachés, en mettant en lumière les bonnes et les mauvaises pratiques, ce projet contribuera à réduire l’asymétrie d’information du système, à rendre un certain contrôle aux utilisateurs finaux, et nous l’espérons à encourager certains acteurs à changer de pratiques.