RGPD : la conformité des bâtiments intelligents est-elle problématique?
Quel impact va avoir le règlement RGPD sur les bâtiments intelligents ? La nouvelle réglementation européenne relative à la confidentialité des données est entrée en vigueur au printemps dernier. En quoi cette législation va-t-elle affecter les applications de l'Internet des objets dans les bâtiments ?
Le Règlement général sur la protection des données (RGPD) est entré en vigueur au mois de mai dernier dans l’Union européenne. Pourrait-il entraîner des conséquences désastreuses pour les bâtiments intelligents ? En vertu de la nouvelle législation, les entreprises sont tenues de protéger les données à caractère personnel. Qu'une fuite de données ait lieu, intentionnellement ou par négligence, et ces entreprises peuvent s’exposer à des amendes pouvant atteindre vingt millions d'euros et jusqu'à 4 % du chiffre d'affaires annuel réalisé dans le monde. Pourtant, le secteur de la construction de bâtiments intelligents connait mal les écueils et les perspectives découlant de cette législation.
Le nouveau RGPD, applicable dans toute l’Union européenne, prévoit que tous ses citoyens ont le droit de voir leurs données personnelles traitées de manière « licite, loyale et transparente ». Ils ont également le droit d’accéder à leurs données personnelles et d’annuler leur enregistrement, à condition qu’elles ne donnent pas lieu à des questions impérieuses d’intérêt public. Somme toute, il doit exister une base légale justifiant le stockage de données personnelles, soit pour des raisons de sécurité (armée, aéroports) ou découlant d'un contrat, d'un consentement, d’un accord ou d’une obligation légale. Le stockage et le traitement de données personnelles spécifiques (ex. : origine, religion, préférence sexuelle, santé) et l'utilisation de caméras (reconnaissance faciale) sont interdits, sauf en cas de nécessité impérieuse justifiée par la loi (hôpitaux, aéroports).
Prenons deux exemples. L'utilisation d'un smartphone entraîne des risques élevés de violation du RGPD lorsqu'un(e) employé(e) est suivi(e) par GPS en étant en relation avec un ou plusieurs invités dans le cadre de négociations. Les discussions entre cet(te) employé(e) et ces invités ne seront probablement pas enregistrées, mais si un pirate malveillant sait au préalable qu'une importante négociation aura lieu et connaît les localisations, il existe une réelle possibilité d'espionnage.
De même, les capteurs liés au processus de gestion intelligente du bâtiment (température, chauffage, éclairage) créent des risques. Dans la plupart des cas, le capteur mémorise en permanence les préférences individuelles des employés. Les responsables peuvent surmonter cet obstacle en stockant les données personnelles de manière temporaire, par exemple chaque fois qu'une personne entre dans une pièce où se trouvent des capteurs, ou la quitte. Il est également possible d'utiliser des capteurs thermiques qui ne mesurent que les mouvements des personnes, et non leurs données personnelles, et qui peuvent configurer les températures, le chauffage et l'éclairage en fonction de paramètres standardisés lorsque les personnes entrent dans l'espace de travail ou le quittent.
Selon Jan Kerdèl, expert des systèmes de gestion de bâtiments et membre du comité d'innovation de l'organisme Techniek Nederland (ex Uneto-VNI), nous n'en sommes, avec les bâtiments intelligents, qu'au début d'un processus dans lequel la confidentialité et la sécurité sont liées comme les deux faces d’une pièce de monnaie.
« L'Internet des objets est accepté par la plupart des clients du secteur de la construction, pour ne pas dire tous », précise-t-il. « Selon le tout dernier rapport du Centre néerlandais pour la cybersécurité (NCSC), l'Internet des objets (IdO) est à l'origine de l'essentiel des cambriolages virtuels. Les atteintes à la confidentialité des données et la cybercriminalité viennent de plus en plus de ce réseau ».
Du côté des bonnes nouvelles, la minimisation des données et la « protection des données intégrée dès la conception » ouvrent des perspectives pour les responsables concernés. Séparer les systèmes de gestion des bâtiments du stockage et de traitement des données personnelles n’est pas seulement plus sûr légalement et techniquement. Selon le site Smart Cities World, une gestion plus intelligente des données dans les bâtiments intelligents permet aussi de réduire de près de 40 % les capacités de stockage, et donc les coûts.
Pour autant, Jan Kerdèl est préoccupé. « Du fait de la pression de leur activité et de l’absence de moyens financiers, les PME et ETI accordent peu de place à l'innovation dans le domaine de la protection des données personnelles et de la sécurité. Alors que le secteur de la construction a grand besoin d'outils, il est assez peu épaulé par des interlocuteurs extérieurs. Faute des connaissances et des formations appropriées, je crains que les PME et les ETI, depuis les clients jusqu'aux installateurs, soient insuffisamment préparées pour appliquer le nouveau règlement RGPD ».
Image : Dennis van der Heijden. Avec l'aimable autorisation de Convert GDPR.
Source : licence CC BY 2.0.
Le nouveau RGPD, applicable dans toute l’Union européenne, prévoit que tous ses citoyens ont le droit de voir leurs données personnelles traitées de manière « licite, loyale et transparente ». Ils ont également le droit d’accéder à leurs données personnelles et d’annuler leur enregistrement, à condition qu’elles ne donnent pas lieu à des questions impérieuses d’intérêt public. Somme toute, il doit exister une base légale justifiant le stockage de données personnelles, soit pour des raisons de sécurité (armée, aéroports) ou découlant d'un contrat, d'un consentement, d’un accord ou d’une obligation légale. Le stockage et le traitement de données personnelles spécifiques (ex. : origine, religion, préférence sexuelle, santé) et l'utilisation de caméras (reconnaissance faciale) sont interdits, sauf en cas de nécessité impérieuse justifiée par la loi (hôpitaux, aéroports).
Qui a la responsabilité des données personnelles ?
Gérer ces demandes d'accès aux données personnelles pose déjà une difficulté aux employeurs pour traiter les demandes de leurs (ex-)employés. La difficulté pour les promoteurs d’immobilier intelligent est même encore plus complexe du fait de la multitude des systèmes concernés. Qui a la responsabilité du stockage et du traitement des données des invités qui accèdent au bâtiment (et qui le quittent) ? Il devient de plus en plus indispensable d'établir, entre les parties concernées (clients, employeurs, entrepreneurs, sous-traitants) des contrats tenant compte du RGPD.Prenons deux exemples. L'utilisation d'un smartphone entraîne des risques élevés de violation du RGPD lorsqu'un(e) employé(e) est suivi(e) par GPS en étant en relation avec un ou plusieurs invités dans le cadre de négociations. Les discussions entre cet(te) employé(e) et ces invités ne seront probablement pas enregistrées, mais si un pirate malveillant sait au préalable qu'une importante négociation aura lieu et connaît les localisations, il existe une réelle possibilité d'espionnage.
De même, les capteurs liés au processus de gestion intelligente du bâtiment (température, chauffage, éclairage) créent des risques. Dans la plupart des cas, le capteur mémorise en permanence les préférences individuelles des employés. Les responsables peuvent surmonter cet obstacle en stockant les données personnelles de manière temporaire, par exemple chaque fois qu'une personne entre dans une pièce où se trouvent des capteurs, ou la quitte. Il est également possible d'utiliser des capteurs thermiques qui ne mesurent que les mouvements des personnes, et non leurs données personnelles, et qui peuvent configurer les températures, le chauffage et l'éclairage en fonction de paramètres standardisés lorsque les personnes entrent dans l'espace de travail ou le quittent.
Le secteur de la construction peut-il minimiser les données personnelles ?
L'une des meilleures méthodes pour sécuriser les données personnelles, pour les employés comme pour les invités, consiste à minimiser les données, en exerçant un « contrôle renforçant la protection de la vie privée ». Idéalement, les spécifications de minimisation sont déterminées lors de la phase de conception. Après évaluation de l'impact sur la confidentialité des données, les experts chargés de l'installation et des systèmes d'information et de communication doivent prendre des mesures pour séparer les données relatives au bâtiment intelligent et les données personnelles. Si ces données sont interconnectées, un accès malveillant au réseau du bâtiment intelligent peut provoquer, par exemple, une modification des températures dans les espaces de travail, et au final, peut-être, un arrêt des salles de serveurs informatiques.Selon Jan Kerdèl, expert des systèmes de gestion de bâtiments et membre du comité d'innovation de l'organisme Techniek Nederland (ex Uneto-VNI), nous n'en sommes, avec les bâtiments intelligents, qu'au début d'un processus dans lequel la confidentialité et la sécurité sont liées comme les deux faces d’une pièce de monnaie.
« L'Internet des objets est accepté par la plupart des clients du secteur de la construction, pour ne pas dire tous », précise-t-il. « Selon le tout dernier rapport du Centre néerlandais pour la cybersécurité (NCSC), l'Internet des objets (IdO) est à l'origine de l'essentiel des cambriolages virtuels. Les atteintes à la confidentialité des données et la cybercriminalité viennent de plus en plus de ce réseau ».
Du côté des bonnes nouvelles, la minimisation des données et la « protection des données intégrée dès la conception » ouvrent des perspectives pour les responsables concernés. Séparer les systèmes de gestion des bâtiments du stockage et de traitement des données personnelles n’est pas seulement plus sûr légalement et techniquement. Selon le site Smart Cities World, une gestion plus intelligente des données dans les bâtiments intelligents permet aussi de réduire de près de 40 % les capacités de stockage, et donc les coûts.
Les bâtiments intelligents sont-ils en mauvaise posture ?
La réponse est à nuancer au cas par cas. Selon une étude réalisée en 2018 par le Ponemon Institute, expert mondial de référence en matière de spécifications de cybersécurité, le coût des fuites de données se situe entre 75 et 408 $ par personne concernée. Lorsque ces atteintes concernent les données de dizaines de milliers de personnes – ce qui est fréquent – les coûts atteignent des centaines de milliers d’euros, sans oublier les atteintes à la réputation et les pénalités légales. Le défi qu'a à relever le secteur de la construction est de déterminer en amont l'interlocuteur responsable et son domaine d'intervention, mais aussi de développer des alternatives et de tester périodiquement les (réseaux de) bâtiments intelligents pour vérifier leur conformité à tous les protocoles RGPD. La maintenance – notamment par l’adaptation de la sécurité des serveurs aux normes les plus récentes – mérite davantage d’attention.Pour autant, Jan Kerdèl est préoccupé. « Du fait de la pression de leur activité et de l’absence de moyens financiers, les PME et ETI accordent peu de place à l'innovation dans le domaine de la protection des données personnelles et de la sécurité. Alors que le secteur de la construction a grand besoin d'outils, il est assez peu épaulé par des interlocuteurs extérieurs. Faute des connaissances et des formations appropriées, je crains que les PME et les ETI, depuis les clients jusqu'aux installateurs, soient insuffisamment préparées pour appliquer le nouveau règlement RGPD ».
Image : Dennis van der Heijden. Avec l'aimable autorisation de Convert GDPR.
Source : licence CC BY 2.0.