Objets connectés et données personnelles : ce que dit le RGPD en 2026

Par /
découvrez ce que le rgpd prévoit en 2026 concernant les objets connectés et la protection des données personnelles, pour mieux sécuriser votre vie numérique.
  • Les objets connectés transforment les services urbains, mais ils multiplient les points de collecte de données personnelles.
  • Le RGPD impose un cadre : finalités claires, collecte limitée, durées de conservation maîtrisées, et sécurité des données au bon niveau.
  • La transparence devient un avantage compétitif : mieux informer réduit la défiance et simplifie l’adoption des dispositifs.
  • Le consentement n’est pas automatique en ville intelligente : il faut choisir la bonne base légale et prouver la loyauté du dispositif.
  • Depuis 2025, le Data Act renforce l’accès et le partage des données issues de l’usage d’objets connectés, tout en laissant primer la protection des données.
  • Collectivités, fabricants, fournisseurs cloud et mainteneurs : la responsabilité se répartit, mais ne se dilue pas.

Dans les rues, sur les lampadaires, dans les parkings, jusque dans les logements, les capteurs s’invitent partout. Leur promesse reste puissante : fluidifier le trafic, réduire la facture énergétique, anticiper les pannes, ou mieux gérer l’eau. Pourtant, derrière chaque mesure de pollution, chaque alerte de stationnement ou chaque badge d’accès, une question revient : que deviennent les données, et qui les contrôle réellement ? Car l’Internet des Objets ne se contente plus de “mesurer”. Il relie des identifiants, des habitudes, des trajets, parfois des signaux de santé. Ainsi, la vie privée s’écrit désormais au rythme des capteurs.

En 2026, le RGPD continue de structurer ce nouvel espace, et il le fait avec des exigences qui ne laissent que peu de place à l’improvisation. De la licéité à la minimisation, du droit d’accès à la notification d’incident sous 72 heures, le texte impose une discipline. Parallèlement, le Data Act, applicable depuis septembre 2025, change la donne sur l’accès aux données d’usage des produits connectés. Le résultat ? Un duo réglementaire qui pousse les villes et les industriels à revoir la conception, la gouvernance et la sécurité des données, sans casser l’innovation.

Objets connectés et RGPD : les principes clés appliqués aux données personnelles

Le traitement des données par des objets connectés doit respecter des principes simples sur le papier, mais exigeants dans la pratique. D’abord, la licéité, la loyauté et la transparence imposent d’expliquer clairement ce qui est collecté, pourquoi, et pendant combien de temps. Ensuite, la limitation des finalités oblige à définir un objectif précis. Un capteur installé pour mesurer le trafic ne peut pas, par glissement, servir à profiler des comportements individuels.

La minimisation joue un rôle central. Or, dans l’IoT, la tentation consiste à “tout prendre” parce que le stockage coûte moins cher. Pourtant, le RGPD attend l’inverse : ne capter que ce qui est nécessaire. Par exemple, un dispositif de comptage dans un bâtiment public peut agréger les passages par tranche horaire, plutôt que d’enregistrer chaque identifiant de badge. Ainsi, la donnée devient utile, mais moins intrusive, et la protection des données progresse.

L’exactitude et la limitation de conservation complètent l’équation. Des données erronées peuvent conduire à des décisions injustes, surtout si elles servent à déclencher une intervention. Dans une smart city, un faux positif sur un “comportement anormal” n’a rien d’anodin. Quant à la durée de conservation, elle doit se justifier. Garder des historiques détaillés “au cas où” expose inutilement la collectivité.

Enfin, l’intégrité et la confidentialité, souvent résumées par “sécurité des données”, s’imposent à tous. Cela inclut le chiffrement, la gestion des accès, et les mises à jour. Or, un parc IoT vieillit vite. Un capteur posé en 2021 peut rester en service dix ans, donc il doit recevoir des correctifs. Sans cela, une simple faille devient une porte d’entrée vers tout le réseau.

Cas concret : capteurs urbains et services aux citoyens

Une ville fictive, BelleRive, déploie des capteurs de stationnement et une application mobile. L’objectif affiché : réduire la congestion. Si l’app relie un compte utilisateur à la géolocalisation fine, l’impact sur la vie privée grimpe. Dans ce cas, la ville doit documenter la base légale, expliquer le parcours des données, et limiter la précision si elle n’est pas indispensable.

De plus, la notification d’un incident sous 72 heures devient un test de maturité. Un piratage d’API qui expose des identifiants, même sans mots de passe, doit déclencher une procédure. La crédibilité de la démarche dépend alors de la préparation : registre de traitements, journalisation, et plan de réponse.

À mesure que les principes se traduisent en exigences opérationnelles, un sujet s’impose : qui décide, et sur quelle base légale ? C’est précisément là que le consentement et les alternatives prennent toute leur importance.

Consentement, bases légales et transparence : éviter les pièges dans l’IoT

Dans l’univers des objets connectés, le consentement semble, à première vue, la solution la plus évidente. Pourtant, il se révèle souvent fragile. En ville, un citoyen peut-il réellement “refuser” un capteur de circulation ? Dans une entreprise, un salarié peut-il consentir librement à un dispositif de suivi de présence très précis ? Dès que le choix devient théorique, le consentement perd sa solidité juridique.

Il faut donc raisonner autrement. Selon les cas, une mission d’intérêt public, une obligation légale, ou l’exécution d’un contrat peuvent fonder le traitement des données. Cependant, même avec une base légale robuste, la loyauté et la transparence restent non négociables. Une signalétique claire, une notice accessible, et une politique de confidentialité lisible deviennent des outils de gouvernance, pas de simples documents.

Pour éviter les angles morts, beaucoup d’acteurs adoptent un “parcours de transparence” en plusieurs niveaux. D’abord, un message court sur le terrain. Ensuite, un QR code vers une page détaillée. Enfin, un point de contact pour exercer les droits RGPD. Cette approche fonctionne, car elle s’adapte au contexte et respecte le temps des usagers.

La transparence qui prouve la responsabilité

La responsabilité n’est pas seulement un principe abstrait. Dans un projet IoT, elle se traduit par des preuves : analyse d’impact si nécessaire, clauses avec les sous-traitants, et procédures de gestion des droits. Par exemple, si BelleRive sous-traite l’hébergement à un cloud, la collectivité doit exiger des garanties concrètes. À défaut, l’argument “c’est le prestataire” ne tient pas.

Un point critique concerne les données sensibles, notamment la santé. Dès qu’un dispositif connecté s’approche du médical, les exigences montent. Ainsi, un capteur dans un EHPAD qui détecte des chutes peut traiter des informations très intimes. Dans ce cas, la base légale, les mesures de sécurité, et la limitation d’accès doivent être renforcées.

Liste de contrôle pratique pour des objets connectés plus respectueux

  • Définir une finalité unique par flux de données, puis documenter les usages interdits.
  • Réduire la granularité quand l’agrégation suffit (ex. comptage plutôt qu’identifiant).
  • Prévoir un canal d’exercice des droits simple (portail, email dédié, délais suivis).
  • Mettre à jour capteurs, passerelles et serveurs, avec un calendrier vérifiable.
  • Tester la sécurité via audits, segmentation réseau, et gestion des clés.

Lorsque la transparence est bien construite, elle prépare aussi une évolution majeure : l’utilisateur ne veut plus seulement “être informé”, il veut accéder, récupérer, et partager ses données. C’est là que le Data Act s’invite dans la stratégie.

Ce changement de perspective pousse les fabricants et les villes à repenser l’accès technique aux données. La question n’est plus “peut-on donner un export”, mais “l’accès est-il simple, lisible, et sécurisé ?”.

Data Act et RGPD : nouveaux droits d’accès aux données des objets connectés depuis 2025

Depuis l’entrée en application du Data Act le 12 septembre 2025, l’accès aux données générées par l’usage d’un produit connecté a changé d’échelle. Là où le RGPD se concentre sur les données personnelles, le Data Act vise aussi les données non personnelles. En pratique, l’utilisateur peut demander l’accès et le partage des données “facilement disponibles” issues de son usage, parfois même en continu et en temps réel.

Ce droit élargit la portabilité. Il ne se limite plus à un export “classique”. Il concerne aussi des données brutes ou prétraitées, accompagnées des métadonnées utiles, tant qu’elles ne sont pas “fortement enrichies” par des investissements supplémentaires. Ainsi, une voiture connectée peut fournir des journaux d’usage et de performance, mais pas forcément des scores propriétaires calculés par des algorithmes complexes.

Il existe un point de hiérarchie clair : en cas de conflit, les règles de protection des données prévalent. Autrement dit, les nouveaux droits d’accès ne permettent pas de contourner le RGPD. Cependant, ils obligent les acteurs à concevoir des produits et services qui rendent l’exercice de ces droits réaliste, y compris si le fabricant se situe hors de l’Union. Dès lors que le produit est commercialisé dans l’UE, il doit permettre l’accès.

Accès direct et accès indirect : deux modèles, deux responsabilités

Le Data Act distingue l’accès direct et indirect. Avec l’accès direct, l’utilisateur dispose d’un moyen intégré pour consulter, télécharger, ou transmettre ses données. Cela peut être une interface dans l’application du produit. Avec l’accès indirect, l’utilisateur doit faire une demande via un portail, puis attendre un traitement. Les deux existent, car certains environnements exigent des contrôles, notamment pour la sécurité.

Pour un gestionnaire de flotte de bus connectés, l’accès direct peut sembler naturel. Pourtant, si les données touchent à la sûreté, un accès indirect, mieux encadré, peut s’imposer. Dans tous les cas, la livraison doit rester “sans retard injustifié”, dans un format structuré et lisible par machine, et sans frais. Ce détail, très concret, a un effet immédiat sur les modèles économiques des plateformes.

Tableau : RGPD et Data Act, qui fait quoi dans l’IoT ?

Thème RGPD (UE 2016/679) Data Act (UE 2023/2854)
Type de données Données personnelles uniquement Données personnelles et non personnelles liées à l’usage des objets connectés
Droit d’accès Accès à ses données et informations sur le traitement des données Accès aux données “facilement disponibles”, parfois en temps réel
Portabilité Portabilité des données personnelles (conditions spécifiques) Portabilité renforcée des données d’usage, partage vers un tiers choisi
Primauté Cadre principal pour la vie privée Les règles de protection des données priment en cas de conflit
Effet sur la conception produit Privacy by design, sécurité et minimisation Produits conçus pour rendre l’accès et le partage réellement exerçables

En filigrane, un enjeu surgit : si les utilisateurs peuvent partager leurs données avec un réparateur, un mainteneur, ou un autre fournisseur cloud, la concurrence augmente. Cependant, cette ouverture doit rester compatible avec la sécurité et les secrets d’affaires. D’où des mécanismes spécifiques, parfois mal compris, mais décisifs sur le terrain.

Sécurité des données, secrets d’affaires et “freins à main” : l’équilibre délicat en 2026

L’ouverture des données ne signifie pas l’abandon des protections. Au contraire, la montée en puissance du partage augmente les risques. C’est pourquoi le Data Act prévoit un mécanisme de protection des secrets d’affaires, souvent présenté comme un “frein à main”. L’idée est simple : avant de partager certaines données, le détenteur peut exiger des garanties de confidentialité, comme des clauses contractuelles, des protocoles d’accès, ou des normes techniques.

Ce point a un impact direct sur les services urbains. Prenons un système de gestion centralisée d’éclairage public connecté. Les données d’usage peuvent révéler des schémas d’activité et, indirectement, des informations sensibles sur l’organisation. Si un prestataire tiers demande l’accès pour optimiser la maintenance, l’intérêt existe. Cependant, la ville et le détenteur des données doivent encadrer l’accès, sinon la fuite d’informations peut coûter cher.

Le frein à main “secrets d’affaires” et les recours

Le détenteur identifie les informations relevant du secret, puis il propose des mesures. Si aucun accord n’émerge, le partage peut être suspendu. Dans des cas exceptionnels, un refus peut intervenir si un préjudice économique grave et irréparable est hautement probable. Toutefois, ce pouvoir ne doit pas devenir un alibi. En effet, l’utilisateur ou le tiers peut contester, saisir une autorité compétente, ou engager une procédure devant les tribunaux.

Cette dynamique pousse à professionnaliser la gestion des demandes. Une approche efficace consiste à classer les flux : données partageables par défaut, données partageables sous NDA, et données à risque élevé. Ainsi, la décision devient plus rapide, et la responsabilité mieux démontrée.

Le frein à main “sûreté et sécurité” : quand l’accès menace le dispositif

Un second mécanisme permet de restreindre l’accès si la sûreté ou la sécurité des personnes est en jeu. Dans l’IoT, cela peut concerner des dispositifs critiques : contrôle d’accès, réseaux de capteurs liés à la sécurité routière, ou équipements médicaux connectés. Si l’ouverture d’un flux expose une vulnérabilité exploitable, un encadrement strict se justifie.

Pour autant, ce frein ne dispense pas d’améliorer la conception. Segmenter le réseau, isoler les passerelles, et limiter les commandes à distance réduisent le risque. Ainsi, l’accès aux données peut rester possible, tout en préservant le niveau de sécurité attendu.

Exemple : maintenance concurrentielle et confiance des citoyens

À BelleRive, la plateforme IoT pilote l’arrosage intelligent des parcs. Le fabricant historique propose aussi la maintenance, mais un prestataire local veut entrer sur le marché. Grâce au Data Act, l’utilisateur public peut demander le partage des données d’usage vers ce tiers. Ce scénario favorise la concurrence, donc potentiellement les coûts. Cependant, il oblige aussi à verrouiller l’authentification, car un accès mal géré pourrait permettre des actions non autorisées.

En fin de compte, la sécurité et le partage avancent ensemble. À condition de les traiter comme un même sujet, la protection des données devient un accélérateur de confiance plutôt qu’un frein bureaucratique.

Une fois les mécanismes de sécurité clarifiés, reste l’essentiel : organiser les rôles entre fabricants, collectivités, clouds et sous-traitants. La conformité, ici, se joue moins dans les slogans que dans la gouvernance.

Responsabilité et gouvernance IoT : collectivités, fabricants, sous-traitants et tiers

Dans un écosystème IoT, la responsabilité ne se limite pas à un acteur. Le Data Act parle de “détenteur de données”, notion liée au contrôle de l’accès. Souvent, le fabricant tient ce rôle, mais pas toujours. Un fournisseur de service connexe peut aussi devenir détenteur. De son côté, l’utilisateur peut être un particulier, une entreprise, ou une collectivité, dès lors qu’il possède le produit ou bénéficie du service.

Cette diversité complique la gouvernance, surtout quand plusieurs prestataires interviennent. Pourtant, une règle aide : pour les données personnelles, le RGPD conserve la main. Il faut donc qualifier les rôles : responsable de traitement, sous-traitant, responsables conjoints si nécessaire, puis formaliser des obligations. Sans cela, la gestion des droits et des incidents devient chaotique.

Smart city : cartographier les flux pour mieux maîtriser

Une méthode efficace consiste à partir des capteurs, puis à suivre la donnée jusqu’à l’usage final. À BelleRive, un projet “qualité de l’air” s’appuie sur des capteurs, un réseau bas débit type LoRaWAN, une plateforme d’analyse, et une application d’information. Chaque brique implique des logs, des identifiants techniques, et parfois des données de localisation. Dès lors, cartographier les flux évite d’oublier un stockage secondaire ou un export automatique.

Ensuite, la ville définit des durées de conservation distinctes. Les mesures agrégées peuvent rester plus longtemps, car elles servent à la planification. En revanche, les données fines associées à un équipement ou à un compte doivent être purgées plus vite. Grâce à cette séparation, la valeur publique est préservée, tandis que la vie privée est mieux respectée.

Transparence précontractuelle : l’angle mort qui devient central

Le Data Act impose une information avant contrat sur les données générées : type, format, volume estimé, capacité de collecte en temps réel, lieux de stockage, et modalités d’accès ou d’effacement si prévu. Pour un acheteur public, ce point change l’appel d’offres. Désormais, une question simple devient décisive : “Comment l’utilisateur pourra-t-il accéder aux données et les partager ?”

Cette exigence pousse aussi les industriels à clarifier leurs offres. Une plateforme IoT qui promet une “interface sécurisée” doit préciser la qualité de service, les formats, et les mécanismes de contrôle. Dans ce contexte, un acteur comme REQUEA, cité dans de nombreux échanges du secteur, illustre une tendance : valoriser les données via une supervision centralisée, tout en démontrant des mesures de sécurité et des journaux d’accès. La différence se joue alors sur la preuve, pas sur le discours.

Un insight opérationnel pour finir la section

Quand la gouvernance est solide, la conformité cesse d’être un stress permanent. Elle devient un outil qui rend le partage maîtrisé, la sécurité crédible, et l’innovation acceptable par tous.

Un objet connecté doit-il toujours demander le consentement pour collecter des données ?

Non. Le consentement n’est qu’une base légale parmi d’autres. Selon le contexte, un traitement peut reposer sur l’exécution d’un contrat, une obligation légale, ou une mission d’intérêt public. En revanche, la transparence, la minimisation et la sécurité restent obligatoires, quelle que soit la base légale retenue.

Que change le Data Act pour l’utilisateur d’objets connectés dans l’UE ?

Le Data Act, applicable depuis le 12 septembre 2025, renforce le droit d’accéder aux données issues de l’usage d’un produit connecté ou d’un service connexe, y compris des données non personnelles. Il facilite aussi le partage vers un tiers choisi, parfois en continu et en temps réel, tout en laissant primer les règles du RGPD pour les données personnelles.

Un fabricant peut-il refuser de partager certaines données demandées par un utilisateur ?

Oui, mais dans un cadre strict. Le Data Act prévoit des mécanismes de protection des secrets d’affaires et de la sécurité du produit. Le détenteur de données peut exiger des garanties (NDA, protocoles d’accès) et, dans des cas exceptionnels, refuser s’il démontre un risque de préjudice économique grave ou un risque sérieux pour la sûreté et la sécurité. Des voies de recours existent auprès des autorités, des tribunaux ou d’organismes de règlement des litiges.

Quelles sont les mesures prioritaires de sécurité des données pour une smart city ?

La priorité va à la segmentation réseau des capteurs, au chiffrement des données en transit et au repos, à la gestion rigoureuse des accès (moindre privilège), aux mises à jour régulières des équipements, et à un plan de réponse aux incidents incluant la capacité de notifier une violation dans les délais.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

14 − un =

Retour en haut
CSC Mag
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.