Finalités du projet
Dans les années soixante-dix, les législations nationales, notamment française, se sont développées afin de limiter les atteintes aux données personnelles et, a fortiori, au respect de la vie privée des personnes. Avec le développement des nouveaux outils de communication et l’arrivée d’Internet, le transfert et l’exploitation des données personnelles ont été facilitées et la protection des données personnelles est devenue d’autant plus sensible.L’adoption, le 14 avril 2016, du règlement général européen sur la protection des données personnelles (RGPD) permet l’adaptation et l’harmonisation des outils juridiques aux nouveaux enjeux et risques de l’économie de la donnée.
Avec l’arrivée du règlement en mai 2018, les risques liés à la vie privée des personnes doivent désormais être pris en compte par le professionnel dès la conception (« privacy by design »), en passant par les phases de développement et de distribution des produits et services. Le principe de responsabilité (« accountability ») prévu par le règlement européen impose de démontrer la mise en place de mesures internes pour assurer la conformité à la législation sur la protection des données personnelles, et ce dès la conception du produit ou service.
Jusqu’à l’adoption du règlement, la labellisation d’un produit ou d’un service devait impérativement passer par la Commission Nationale de l’Informatique et des Libertés. Le législateur européen encourage désormais la certification d’organismes privés chargés de labelliser des procédures, des produits ou des services. Le projet IoTrust vise ainsi la création d’un organisme de certification en charge de vérifier et qualifier le niveau de conformité juridique et technique des objets connectés proposés par les industriels.
Méthodologie et référentiels
Le référentiel comprend l’ensemble des exigences techniques et juridiques que l’objet ou le service doit satisfaire afin d’obtenir le label. Il vise à vérifier la sécurité des objets connectés et des flux de données, la gestion des données personnelles, et le respect de la législation, notamment des droits des utilisateurs.
Le comité de pilotage
Un comité de pilotage a défini un référentiel de labellisation, en prenant en compte les avis du consortium, composé de juristes, d’industriels du secteur de l’internet des objets, d’associations de protection de consommateurs et de spécialistes en sécurité de l’information.
L’outil de validation
Un outil de validation de la sécurité technique des objets connectés a également été développé à partir des référentiels de l’ANSSI, de l’OWASP (Open Web Application Security Project), du CEH (Certified Ethical Hacker) et de l’état de l’art des vulnérabilités. L’outil a vocation à analyser les flux de données transitant par l’objet pour en déterminer le niveau de sécurité.
Les tests préliminaires
Des tests préliminaires ont ensuite été réalisés sur des objets connectés disponibles sur le marché et couvrant différents domaines de l’internet des objets (domotique, voiture connectée, bien-être…).
Le comité a enfin eu pour mission de rédiger le guide de bonnes pratiques à destination des concepteurs d’objets connectés.
La création de l’organisme
La création de l’organisme de labellisation est intervenue après finalisation du référentiel, de l’outil de validation de la sécurité technique et du guide de bonnes pratiques. Une demande de certification auprès de la CNIL a été déposée, permettant à l’organisme de délivrer un label européen, ayant force légale sur l’ensemble du territoire de l’Union européenne, pour une durée de trois ans.
Différentes parties prenantes
La fondation MAIF, reconnue d’utilité publique, finance la recherche dans le domaine de la prévention des risques qui affectent les personnes, les biens et la vie quotidienne. À l’image de sa participation au projet IoTrust, la fondation soutient des projets innovants dans le but de réduire les risques.