Le marché des objets connectés ne cesse de gagner en intensité et en développements technologiques. Avec, à la clé, des enjeux juridiques croissants qui interpellent les cabinets d’avocats amenés à accompagner et à sécuriser les processus de conception, de développement et de commercialisation de ces objets connectés. C’est la raison pour laquelle le Cabinet Deroulez Avocats s’est engagé dans la rédaction d’un Livre blanc consacré aux enjeux juridiques des objets connectés. Maître Jérôme Deroulez, avocat aux Barreaux de Paris et de Bruxelles, fait le point avec nous, conseils à l’appui, sur les principaux défis à relever par la profession en la matière.

Les possibilités offertes par les objets connectés dans tous les domaines, les nouveaux usages qu’ils génèrent comme les challenges juridiques qu’ils suscitent, ouvrent des champs de réflexion particulièrement larges.

Les questions sont nombreuses et pluridisciplinaires. Elles sont d’abord juridiques, pour déterminer ce qui peut être considéré comme un objet connecté, avant de tenter de tracer les contours du ou des régimes juridiques applicables aux objets connectés. Et les enjeux associés sont pluriels : sécurité des produits, protection des consommateurs, lutte contre le risque cyber, responsabilité des objets connectés, etc. Dès lors, l’explosion de l’internet des objets s’avère être un terrain de jeu stimulant et efficace pour repenser la plus-value de l’intervention de l’avocat.

Droit des objets connectés : une prospective nécessairement internationale et européenne.

Le contexte. Le développement des objets connectés s’inscrit naturellement dans un environnement législatif européen et international lié aux choix technologiques qui sont opérés et aux acteurs impliqués. Environnement qui reste mouvant par définition, alors que de nombreuses technologies se développent rapidement dans des zones encore grises du droit.

Cette effervescence s’accompagne aussi de débats éthiques ou sociétaux impactant ces projets et questionnant leur mise en œuvre : c’est le cas par exemple du cadre éthique proposé par l’Australie en matière d’intelligence artificielle et d’IoT [1]. La mise en place d’un encadrement juridique stable est donc nécessaire, d’autant que les bonnes pratiques d’aujourd’hui et autres lignes directrices constitueront les obligations légales de demain.

Difficultés pratiques pour l’avocat. L’une des difficultés consiste alors à identifier les règles applicables ou à interpréter les différentes dispositions potentiellement applicables tout en anticipant le ou les marchés sur lesquels ces objets seront commercialisés et diffusés. Et la prise en compte de cet environnement international et européen est, de plus, rendue complexe du fait des nombreux projets législatifs en cours, qu’il s’agisse des projets en matière de réglementation des drones, de la reconnaissance faciale ou des dispositifs de santé connectée…

La prise en compte de cette composante internationale et européenne des projets IoT ne se limite enfin pas seulement aux projets législatifs et réglementaires : les impulsions données par les entreprises leaders ou certains projets de recherches (comme au sein du FIT IoT LAB de l’INRIA, du MIT-D LAB ou de la Y Combinator School par exemple) donnent aussi le la des tendances à suivre.

Préconisations pour l’avocat intervenant en conseil. L’effervescence législative et réglementaire dans le domaine des objets connectés résonne comme un avertissement pour tous ceux qui développent des projets IoT et il est essentiel de pouvoir suivre les principales tendances. Et ceci vaut également bien sûr, au premier chef, pour l’avocat chargé d’accompagner un projet lié à un objet connecté. À ce titre, par exemple, la réflexion en cours à l’échelle de l’Union européenne sur une future réglementation des objets connectés (voire d’un régime européen de responsabilité civile ad hoc) témoigne de ces enjeux et de leurs conséquences probables.

Au-delà de la veille juridique et technologique qui doit être réalisée, c’est une méthodologie particulière qui doit être adoptée par l’avocat. C’est la raison pour laquelle le Cabinet Déroulez propose, dans son Livre blanc, des fiches pratiques destinées à accompagner les acteurs de l’IoT, dès le début de la conception des objets connectés, dans leur mise en conformité juridique et jusqu’à leur commercialisation.

Développement de l’IoT : un impératif de sécurité croissant.

Le contexte. Du fait de l’explosion des cyberattaques contre des objets connectés (+ 300% au premier semestre 2019), l’exigence de sécurité sature aujourd’hui les préoccupations dans le domaine des objets connectés sous des aspects très divers : depuis la gestion proactive des risques en termes de cybersécurité, jusqu’à la sécurisation des accès et des réseaux ouverts, en passant par le choix des protocoles de communication et la construction de la politique de sécurité. Cette exigence intègre aussi la sécurité juridique de ces projets d’objets connectés sous tous leurs aspects (et notamment au titre de la sécurité des données et des données personnelles).

Difficultés pratiques pour l’avocat. Cet aspect sécuritaire peut être difficile à gérer ou à coordonner, alors que de tels projets impliquent nécessairement de multiples partenaires et sous-traitants (par exemple en matière d’edge computing). Au risque cependant de ne pas déployer un niveau de sécurité suffisant ou de ne pas prendre en compte les impératifs liés au principe du privacy-by-design ou à l’obligation d’assurer un niveau approprié de sécurité des données personnelles. Sans parler de la documentation contractuelle qui doit être évaluée et mise à jour.

Préconisations pour l’avocat intervenant en conseil. Les aspects techniques et juridiques soulignent la nécessité de pouvoir intervenir en équipe et de croiser les expertises avec les principales parties prenantes, pour décomposer chaque projet et en déterminer les risques existants ou potentiels. L’exigence de sécurité pourra ensuite être effectivement prise en compte et déployée avec toute la gamme des outils mobilisables, tout en permettant aux cabinets d’avocats impliqués d’intervenir à chaque étape.

Quelle protection des données personnelles des utilisateurs des objets connectés ?

Le contexte. La protection des données personnelles des utilisateurs ou des consommateurs d’objets connectés figure aussi parmi la liste des points de préoccupation ou de friction lors de leur développement. En effet, le déploiement de ces objets implique souvent leur conformité à un droit de la protection des données personnelles en pleine mutation, qu’il s’agisse de veiller à la collecte et au traitement de données par des assistants connectés, des wearables [2] ou d’un dispositif de connexion de véhicule.

Difficultés pratiques pour l’avocat. La conformité – et la responsabilité corrélative - peut être délicate à établir. En témoignent, les discussions sur les véhicules connectés et la difficulté à établir clairement les responsabilités en jeu, ainsi que les relations entre responsables de traitement et sous-traitant. De la même façon, l’articulation entre les standards du droit de la protection des données et ceux du droit de la santé (ou des essais cliniques) pose de nombreuses questions.

Préconisations pour l’avocat intervenant en conseil. Plusieurs points doivent être identifiés rapidement, parmi lesquels, notamment, le traitement ou non de données sensibles et les risques pesant sur la vie privée des personnes concernées. En fonction, certains mécanismes devront être mis en œuvre comme les analyses d’impact (AIPD) pour évaluer concrètement les conséquences de ces objets connectés ainsi que les actions correctives à mettre en place, d’un point vue juridique comme technique.

Mode d’emploi de l’accompagnement juridique d’un projet IoT à destination de l’avocat.

Dans son Livre Blanc, le Cabinet Deroulez partage son savoir-faire au travers de 9 conseils d’actions à mettre en place pour l’avocat chargé de suivre un projet lié aux objets connectés :
 Réaliser un audit juridique de l’environnement de votre projet, dans toutes ses étapes ;
 Dresser une cartographie de l’ensemble des partenaires et sous-traitants ;
 Documenter les usages liés à vos objets connectés ;
 Veiller aux questions d’assurances ;
 Mettre en place des mesures de sécurité adaptées, à renouveler continuellement ;
 Déterminer contractuellement la responsabilité de chacun des acteurs
 Déterminer la dépendance de l’objet connecté par rapport aux technologies nécessaires à son usage (cloud, IoT hub...) ;
 Déterminer juridiquement les fonctionnalités de l’objet connecté et informer conformément les utilisateurs ;
 Déterminer les cas de cyberattaques dans le cadre de l’utilisation de l’objet connecté.

(Cliquez sur l’image pour accéder au livre blanc.)

Plus généralement, l’ensemble de ces préoccupations placent l’avocat au cœur du dispositif, pour préciser les risques au regard du droit de la consommation, du droit pénal ou du droit de la protection des données, afin d’évaluer tous les dispositifs à mettre en place, de l’information des personnes concernées à la gestion des droits ou à la rédaction de la documentation nécessaire.

Nouveau marché potentiel pour les cabinets d’avocats, le développement des objets connectés est ainsi un signal pour développer de nouvelles expertises grâce aux révolutions technologiques en cours et jouer pleinement un rôle de catalyseurs.

Jérôme Deroulez, Avocat aux barreaux de Paris et de Bruxelles; Propos recueillis par Aude Dorange, Rédaction du Village de la Justice.