Le législateur californien a adopté une nouvelle législation relative aux objets connectés le 28 septembre dernier lorsque le Gouverneur, Jerry Brown, a signé le projet de loi du Sénat et le projet de loi de l’Assemblée législative. Ces nouvelles dispositions entreront en vigueur au 1er janvier 2020. A partir de cette date, des mesures de sécurité raisonnables devront être implémentées dans tous les objets connectés distribués en Californie.

Quel est l’objectif de cette loi ?

Le législateur californien souhaite que les fabricants d’objets connectés équipent leurs produits avec des mesures de sécurité raisonnables, adaptées selon leur nature, leurs fonctionnalités et les informations qui peuvent être collectées, stockées ou transmises. Par ailleurs, ces objets doivent être conçus de manière à ce que les informations qu’ils contiennent ne puissent pas être accessibles à des tiers non autorisés, ni utilisés, détruites, modifiées ou divulguées.

Aucun exemple concret permettant de déterminer ce qu’est une mesure de sécurité raisonnable n’est donné par le législateur. La seule obligation prévue expressément par la loi en la matière concerne la mise en place d’un mot de passe unique pour chaque objet connecté ou d’un mécanisme imposant à l’utilisateur de créer un nouveau moyen d’authentification qui lui soit personnel avant toute utilisation de l’objet connecté.

Quel est le champ d’application de cette loi ?

Cette loi fait écho au principe de privacy by design consacré par le Règlement Général sur la Protection des Données et désormais bien connu des Européens. Cependant, cette obligation de sécurité ne concerne pas seulement les objets connectés permettant de collecter des données à caractère personnel. En effet, on parle bien d' »informations », lesquelles comprennent notamment les données personnelles.

En outre, le législateur a listé les cas dans lesquels cette obligation ne s’applique pas :

  • le cas où l’utilisateur a choisi d’utiliser ou d’ajouter une application tierce à l’objet connecté;
  • le cas des objets connectés utilisés dans le secteur médical soumis à d’autres réglementations;
  • le cas des objets connectés dont les fonctionnalités sont soumises à des exigences fédérales en matière de sécurité;
  • le cas des fournisseurs de pièces, les plateformes, les éditeurs d’applications, etc.

Par ailleurs, il est précisé dans cette loi qu’elle n’a pas vocation à obliger les fabricants d’objets connectés à empêcher les utilisateurs d’avoir le plein contrôle des objets connectés. De même, cette loi n’a pas vocation à limiter les agences gouvernementales à obtenir des informations de la part d’un fabricant d’objets connectés. Enfin, cette loi ne permet pas à un particulier d’engager une action. Les seuls habilités à faire appliquer ces mesures sont énumérés dans la loi, il s’agit notamment du procureur général.