Phylapp
Sécurité des objets connectés

Les risques liés aux données collectées par les objets connectés

Les objets connectés collectent des données sensibles souvent sous-estimées. Le RGPD s'applique pleinement aux données des employés. La souveraineté des données sur plateformes cloud étrangères et l'accumulation sans politique de rétention définie créent des risques juridiques et sécuritaires croissants.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 10 lectures

Points clés

  • Les objets connectés collectent en continu des données dont la sensibilité est souvent sous-estimée : données de présence, d'habitudes de travail, de santé dans les wearables professionnels, de communications audio/vidéo dans les espaces équipés de capteurs.
  • Le RGPD s'applique pleinement aux données personnelles collectées par les objets connectés — y compris celles des employés — avec des obligations spécifiques de minimisation, de transparence, et de sécurisation.
  • Les données IoT stockées sur les plateformes cloud des fabricants sont soumises à la législation du pays d'hébergement — une question de souveraineté des données rarement évaluée lors de l'acquisition.
  • La durée de rétention des données IoT est rarement définie : les équipements accumulent des données indéfiniment, créant un passif de données dont l'exposition lors d'une compromission croît avec le temps.
Cas US Morgan Stanley (2020) — Les disques de serveurs décommissionnés contenant des données clients ont été vendus lors de la mise hors service, exposant des millions de records de clients. Le parallèle direct avec l'IoT : les équipements décommissionnés (caméras, capteurs, hubs) conservent des données en mémoire interne qui, sans procédure d'effacement, restent accessibles après la fin de vie de l'équipement.

La sensibilité sous-estimée des données IoT

Les données collectées par les objets connectés en environnement professionnel sont souvent perçues comme peu sensibles — des données de température, des images de couloir, des mesures de consommation électrique. Cette perception est trompeuse. Des données de présence (quand les employés arrivent, partent, font des pauses) combinées sur la durée révèlent des patterns comportementaux précis. Des flux vidéo d'espaces de travail capturent des informations confidentielles — écrans visibles, documents sur les bureaux, conversations. Des wearables professionnels (montres connectées, équipements de santé au travail) collectent des données de santé relevant de l'article 9 du RGPD. Des systèmes audio d'espaces collaboratifs peuvent enregistrer des conversations confidentielles. Cette sensibilité réelle des données IoT professionnelles justifie une analyse précise avant déploiement.

Le RGPD et les données collectées par les IoT professionnels

Le RGPD s'applique pleinement aux données personnelles collectées par les objets connectés en environnement professionnel. Les données des employés — présence, déplacements dans les locaux, comportements de travail — sont des données personnelles soumises aux obligations du RGPD : base légale de traitement, information des personnes concernées, limitation des finalités, minimisation des données collectées, sécurisation appropriée. Le déploiement de caméras dans des espaces de travail, de capteurs de présence dans les bureaux, ou de systèmes de suivi de véhicules professionnels requiert une analyse RGPD préalable, souvent sous la forme d'une AIPD (Analyse d'Impact relative à la Protection des Données) pour les traitements à risque élevé. L'absence de cette analyse expose l'organisation à des sanctions CNIL significatives.

La souveraineté des données IoT : où vont les données collectées ?

La majorité des équipements IoT professionnels envoient leurs données vers des plateformes cloud hébergées dans des pays tiers — principalement aux États-Unis et en Asie. Ces données sont soumises à la législation du pays d'hébergement, qui peut permettre des accès gouvernementaux sans notification aux entreprises européennes (Cloud Act américain, législation équivalente chinoise). Pour des données sensibles — images des espaces de travail, données de santé des employés, informations sur les processus industriels — cette localisation représente un risque de souveraineté non négligeable. L'évaluation du pays d'hébergement des données, des mécanismes de chiffrement en transit et au repos, et des garanties contractuelles du fabricant sur la non-divulgation des données doit faire partie de la qualification sécuritaire à l'acquisition.

Cas EU British Airways (2018) — L'amende de 20 M£ de l'ICO pour violation du RGPD suite à l'exposition de données clients souligne l'importance des mesures de sécurisation des données collectées par les canaux numériques. En IoT, les données collectées en continu par les équipements — et souvent stockées sans politique de rétention définie — représentent un volume croissant de données dont la compromission entraîne des obligations de notification et des sanctions proportionnelles.

La rétention des données IoT : un passif qui s'accumule

La durée de rétention des données collectées par les équipements IoT est rarement définie dans les politiques de gestion des données des organisations. Les équipements s'accumulent des mois et des années de données en mémoire locale ou sur les plateformes cloud des fabricants, sans que personne ait défini combien de temps ces données doivent être conservées. Ce passif de données croissant représente une exposition croissante : plus une organisation conserve de données historiques dans ses systèmes IoT, plus l'impact d'une compromission en termes de données exposées est important. La définition de politiques de rétention des données IoT — combien de temps les images de caméras sont conservées, combien de temps les données de capteurs sont archivées — est une obligation RGPD et une mesure de réduction du risque.

Sécuriser les données IoT : chiffrement, accès et cycle de vie

La sécurisation des données collectées par les IoT implique plusieurs niveaux de mesures. Le chiffrement des données en transit (TLS 1.2 minimum) et au repos, aussi bien sur l'équipement que sur la plateforme de gestion, limite l'exposition en cas d'interception ou de compromission. Le contrôle des accès aux données IoT — qui peut consulter les images de caméra, les données de présence, les mesures des capteurs — doit être défini et audité régulièrement. La gestion du cycle de vie — procédure d'effacement des données lors de la décommission d'un équipement, suppression des données en fin de durée de rétention — garantit que le passif de données ne s'accumule pas indéfiniment. Ces mesures, intégrées dans la politique de sécurité des données de l'organisation, forment un cadre cohérent de protection des données IoT.

Cas Asie Medibank (Australie, 2022) — L'exfiltration de 9,7 millions de dossiers de santé a exposé des données particulièrement sensibles, entraînant des demandes d'extorsion ciblées. En IoT, la collecte continue de données de santé par des wearables professionnels ou des équipements médicaux crée un stock de données dont la compromission peut avoir des conséquences similaires sur la vie privée des personnes concernées.

Articles similaires

Les objets connectés introduisent des risques souvent invisibles

Les objets connectés en entreprise créent des risques structurellement invisibles : shadow IoT, firmware vulnérables, protocoles non interprétables par les SIEM. La découverte réseau passive est la première étape pour rendre visible la surface d'attaque IoT réelle.

24 mai 2026 7 min

Pourquoi l’IoT élargit fortement la surface d’attaque des organisations

Chaque objet connecté élargit la surface d'attaque selon trois dimensions : le dispositif, ses communications, et la plateforme cloud fabricant. La surface s'accumule sans se rétrécir — gérer le cycle de vie IoT est indispensable.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des équipements connectés

Les erreurs d'intégration IoT sont d'abord organisationnelles : acquisition sans qualification, credentials par défaut non modifiés, réseau non segmenté, firmware jamais mis à jour, documentation inexistante. Des processus standards corrigent ces lacunes structurelles.

24 mai 2026 7 min
WhatsApp