Le règlement sur les données établit un cadre européen pour organiser le partage et l’utilisation des données des objets connectés, renforçant les droits des utilisateurs et crée de nouvelles obligations pour les acteurs concernés.
Les objets concernés sont tous ceux qui communiquent des données par le biais d’Internet ou un autre réseau public.
C’est le cas d’un véhicule connecté,
Une montre ou un bracelet de santé connecté,
Un thermostat intelligent ou encore une machine industrielle équipée de capteurs. etc…
Les services associés sont ceux nécessaires au fonctionnement de ces objets.
Ce sont :
L’application mobile qui permet de régler un thermostat connecté,
La plateforme en ligne où sont affichées les données d’un capteur,
Un service de gestion commerciale de flotte de véhicules, lié au boîtier télématique installé dans les véhicules ou encore un assistant intelligent intégré au produit.
La règle est constante lorsque des données personnelles sont concernées, leur traitement doit rester conforme au RGPD.
Les fabricants sont :
Ceux qui conçoivent ou fabriquent un objet connecté ou le service associé.
Les détenteurs de données sont :
Ceux qui génèrent ou détiennent les données. Pour être qualifié de détenteur de données, il est nécessaire d’exercer un vrai contrôle sur ces données. Dans la pratique, les fabricants sont souvent détenteurs de données, mais ce n’est pas systématique.
Un fabricant de montre connectée collecte les données générées lors de leur utilisation pour fournir des fonctionnalités de suivi sportif dans l’application associée. Dans ce cas-là, le fabricant est aussi détenteur de données.
Si le fabricant confie à une entreprise externe la conception et la gestion de l’application mobile et que celle-ci collecte les données pour fournir le service, alors elle devient détentrice de données
Les utilisateurs d’objets connectés ou de services associés :
Les utilisateurs sont toutes les personnes (particuliers, entreprises, organismes publics, etc.) qui possèdent ou utilisent, même temporairement, un objet connecté ou un service associé.
Ces personnes peuvent exercer les droits prévus par le règlement sur les données, notamment le droit de demander l’accès aux données générées par l’utilisation de l’objet connecté ou des services qui y sont liés.
Pour un même objet connecté, plusieurs utilisateurs peuvent coexister, selon les usages et les situations. C’est ainsi que :
1 – Le propriétaire d’un véhicule connecté (un particulier, une société de location ou encore une société qui possède des véhicules de fonction pour ses salariés) est un utilisateur.
2 – La personne qui loue ce véhicule auprès d’une société de location ou l’utilise dans le cadre de son travail (voiture de fonction) est également un utilisateur.
3 – Une personne qui utilise un service connecté proposé dans le véhicule, même si elle n’en est pas la propriétaire, est un utilisateur.
Les destinataires :
Les destinataires sont des personnes ou organismes, autres que les utilisateurs, qui reçoivent des données de la part du détenteur de données pour exercer une activité économique.
Cette transmission peut notamment avoir lieu suite à une demande par l’utilisateur de transmettre ses données à un tiers. Cette demande doit être effectuée auprès du détenteur de données.
Les autres acteurs :
Le règlement sur les données vise également les entités suivantes :
- Les organismes du secteur public, institutions, agences ou organes de l’Union européenne. Dans certains cas, ces organismes peuvent exiger l’accès à certaines données afin de répondre à des situations urgentes ou à des missions d’intérêt public.
- Les fournisseurs de services de traitement de données (par exemple un service d’informatique en nuage) proposés dans l’Union européenne.
- Les participants aux espaces de données et vendeurs d’applications utilisant des contrats intelligents, c’est-à-dire des acteurs qui conçoivent ou utilisent des contrats automatisés dans leurs services.