Toutes les données générées par l’utilisation d’objets connectés sont concernées.
Les fabricants doivent permettre aux utilisateurs, particuliers comme entreprises, d’accéder facilement aux données qu’ils génèrent. Ces données doivent être accessibles directement, lorsque c’est techniquement possible, sans frais, en toute sécurité, dans un format compréhensible et réutilisable.
C’est ainsi que :
L’utilisateur d’une montre connectée doit pouvoir récupérer les données générées par l’utilisation de sa montre.
Le conducteur doit pouvoir récupérer les données générées par l’utilisation de son véhicule connecté.
Lorsque l’utilisateur, pour des raisons techniques, ne peut pas avoir directement accès aux données à partir de l’objet connecté ou du service associé, le détenteur de données doit rendre les données facilement accessibles, sans délai, gratuitement, sur simple demande de l’utilisateur.
L’utilisateur peut demander au détenteur de données de les partager avec un de son choix, à des fins commerciales ou non. Ce partage doit être effectué dans les meilleurs délais, gratuitement pour l’utilisateur, avec la même qualité que celle dont bénéficie le détenteur et, lorsque c’est techniquement possible, de façon continue et en temps réel.
Ce droit vient renforcer le droit à la portabilité prévu par le RGPD notamment en l’étendant à toutes les données (personnelles ou non).
Le règlement sur les données vient encadrer ce partage en interdisant notamment d’utiliser ces données pour développer un produit concurrent au produit connecté dont proviennent les données ou d’utiliser ces données pour profiler l’utilisateur, à moins que cela ne soit nécessaire pour fournir le service demandé.
Les utilisateurs doivent être informés, avant la conclusion de tout contrat concernant un objet connecté ou un service associé (notamment avant l’achat ou la location) :
Du type de données générées lors de l’utilisation de cet objet et du service associé.
De l’utilisation des données par le fabricant/prestataire de services.
De l’identité du détenteur des données.
Des modalités d’exercice de leurs droits.
Lorsqu’il s’agit de données personnelles, les exigences de transparence et d’information prévues par le RGPD s’appliquent également.
Chaque acteur doit avoir un rôle défini au sens du RGPD :
responsable du traitement.
Une base légale est nécessaire pour traiter ou mettre à disposition des données personnelles.
Les personnes concernées conservent leurs droits :
information, accès, rectification, opposition, effacement, portabilité, etc.
Les acteurs doivent garantir un traitement sécurisé.