une main qui tient une guitare

Perspectives

Lois canadiennes, américaines, britanniques et européennes entourant l’Internet des objets

Veuillez activer les témoins publicitaires et de ciblage et rafraîchir la page pour effacer ce message et afficher la vidéo.

Cet article présente les faits saillants du webinaire sur l’IdO s’inscrivant dans la série de BLG sur les technologies émergentes.

Les appareils connectés gagnent en popularité, entre autres dans les secteurs des soins de santé, des sciences de la vie, du transport, des infrastructures, de la fabrication, des finances et de l’agriculture.

Dans le cadre de la série sur les technologies émergentes de BLG, notre associée Edona Vila s’est entretenue avec deux avocates spécialisées dans la responsabilité du fait du produit et la sécurité des produits, Rachel Raphael, associée chez Crowell & Moring, et Katie Chandler, associée chez Taylor Wessing. Ensemble, elles ont discuté de l’état actuel de la législation entourant l’Internet des objets (IdO) dans divers territoires, comme les États-Unis, le Royaume-Uni, l’Union européenne et le Canada, particulièrement en ce qui concerne les questions de conformité et les défis connexes de même que les pratiques optimales pour les entreprises qui déploient des solutions IdO au-delà les frontières.

Le sommaire qui suit expose la manière dont les lois existantes dans divers territoires peuvent s’appliquer aux questions liées à l’Internet des objets au Canada, aux États-Unis et en Europe. Pour tout savoir sur les enjeux de conformité, vous pouvez visionner l’enregistrement du webinaire, d’une durée de 30 minutes, ou prendre connaissance de sa transcription*.

Lois actuelles concernant l’Internet des objets : ce qui se fait ici et ailleurs

À mesure que les appareils de l’IdO se démocratisent dans plusieurs secteurs, les gouvernements doivent examiner la législation en vigueur et déterminer si de nouvelles lois s’imposent.

États-Unis

Que ce soit au palier fédéral ou à l’échelle des États, nos voisins du Sud ne se sont pas dotés de beaucoup de politiques qui ciblent la réglementation des appareils de l’IdO de façon globale; toutefois, certains États, dont la Californie, ont adopté des lois qui les visent spécifiquement.  Entrée en vigueur au début de 2020, la loi de la Californie sur l’IdO impose aux fabricants d’appareils connectés l’obligation d’équiper leurs appareils de certaines caractéristiques de sécurité qui cadrent avec leur nature et leur fonction et avec les renseignements qu’ils recueillent.

Plusieurs normes sectorielles américaines offrent également certaines lignes directrices, comme celles de l’ASTM (organisme anciennement connu sous le nom d’American Society for Testing and Materials), guide par excellence pour ce qui est d’assurer la sécurité de produits de consommation connectés; elles abordent notamment la question des mises à jour à distance, des logiciels et des micrologiciels, du risque de configuration et de certains contrôles de cybersécurité. De plus, Underwriters’ Laboratories propose une cote de sécurité de l’IdO, qu’elle fournit au terme d’un processus d’évaluation de diverses méthodes d’attaques visant certains produits intelligents.

Malgré le manque relatif de réglementation, certains acteurs de l’industrie et États donnent le ton pour ce qui touche la norme de diligence.

Royaume-Uni et Union européenne

Bien que la réglementation et la législation entourant l’IdO continuent d’émaner en grande partie de ce qui se fait dans l’Union européenne, certains changements survenus après le Brexit distinguent le régime britannique de celui de l’UE. Bon nombre des activités de traitement sécurisées liées à l’IdO seront visées par le Règlement général sur la protection des données (RGPD), loi européenne régissant la protection des données. Comme les appareils de l’IdO peuvent traiter des données personnelles, les fournisseurs concernés devront s’assurer de se conformer à ce règlement.

La cybersécurité est un autre aspect essentiel. En plus de la Loi sur la cybersécurité de l’UE, une multitude de lois sont en cours d’élaboration dans l’UE et au Royaume-Uni afin de réglementer les risques de cybersécurité liés aux produits de l’IdO, dont la directive NIS2, qui énonce des normes et des obligations précises en matière de cybersécurité portant notamment sur la communication d’information instantanée et d’autres obligations visant les fournisseurs de services numériques, et la Loi sur la cyberrésilience, qui point à l’horizon et a pour vocation de réglementer le matériel informatique et les logiciels, en particulier ceux qui comportent des éléments numériques.

En ce qui concerne la sécurité des produits, la création très récente de la directive relative à la sécurité des produits, loi européenne approuvée dernièrement, figure parmi les nouveaux développements. Il s’agit en fait d’une version remaniée des actuelles General Product Safety Regulations visant à les mettre à jour compte tenu des avancées technologiques et numériques et à englober les produits physiques comportant des éléments logiciels et connectés.

Canada

À l’heure actuelle, le Canada ne dispose d’aucune législation visant précisément l’IdO; son approche de la réglementation de ces solutions est généralement fragmentaire. On s’attend à ce que le cadre réglementaire entourant l’IA au Canada influe sur les solutions IdO propulsées par cette technologie ou présentant des fonctionnalités qui s’appuient sur celle-ci.

Le Canada planche sur une législation adaptée à l’IA qui, lorsqu’elle entrera en vigueur, devrait entraîner des modifications à son cadre législatif ciblant les produits de consommation. Reste à voir comment les choses évolueront au pays, mais le cadre visant l’IA aura certainement une incidence sur les solutions susmentionnées.

* L’enregistrement et la transcription sont offerts en anglais seulement.

Principaux contact