{"id":79801,"date":"2018-05-22T09:15:54","date_gmt":"2018-05-22T09:15:54","guid":{"rendered":"https:\/\/www.internetsociety.org\/?post_type=resources&#038;p=79801"},"modified":"2025-11-10T16:50:55","modified_gmt":"2025-11-10T16:50:55","slug":"cadre-de-confiance-de-securite-et-de-confidentialite-de-iot-v2-5","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/fr\/resources\/doc\/2018\/iot-trust-framework-v2-5\/","title":{"rendered":"Cadre de confiance de s\u00e9curit\u00e9 et de confidentialit\u00e9 de IoT v2.5"},"content":{"rendered":"<p>Le cadre de confiance IoT (IoT Trust Framework\u00ae) inclut un ensemble de principes strat\u00e9giques n\u00e9cessaires pour s\u00e9curiser les terminaux IOT et leurs donn\u00e9es lors de leur exp\u00e9dition et tout au long de leur cycle de vie. Gr\u00e2ce \u00e0 un processus multipartite ax\u00e9 sur le consensus, des crit\u00e8res ont \u00e9t\u00e9 identifi\u00e9s pour la maison connect\u00e9e, le bureau et les technologies portables connect\u00e9es, y compris les jouets, les trackers d&rsquo;activit\u00e9 et les appareils de fitness. Le cadre d\u00e9crit le besoin de divulgations compl\u00e8tes qui doivent \u00eatre fournies avant l&rsquo;achat du produit, les politiques concernant la collecte, l&rsquo;utilisation et le partage des donn\u00e9es, ainsi que les modalit\u00e9s et conditions des correctifs de s\u00e9curit\u00e9 apr\u00e8s la garantie. Les mises \u00e0 jour de s\u00e9curit\u00e9 sont essentielles pour optimiser la protection des appareils IoT lorsque des vuln\u00e9rabilit\u00e9s sont d\u00e9couvertes et que les attaques \u00e9voluent. En outre, le cadre fournit des recommandations aux fabricants pour am\u00e9liorer la transparence et la communication concernant la capacit\u00e9 des dispositifs \u00e0 mettre \u00e0 jour et une s\u00e9rie de probl\u00e8mes li\u00e9s \u00e0 la confidentialit\u00e9 des donn\u00e9es.<\/p>\n<p>L&rsquo;application des principes \u00e0 l&rsquo;ensemble de la solution ou de l&rsquo;\u00e9cosyst\u00e8me de l&rsquo;appareil est essentielle pour aborder les risques inh\u00e9rents \u00e0 la s\u00e9curit\u00e9 et les probl\u00e8mes de confidentialit\u00e9. Ceux-ci incluent l&rsquo;appareil ou le capteur, les applications de support et les services backend\u00a0\/ cloud. \u00c9tant donn\u00e9 que de nombreux produits mis sur le march\u00e9 reposent sur des composants et logiciels tiers ou open source, il incombe aux d\u00e9veloppeurs d&rsquo;appliquer ces principes et de mener des \u00e9valuations de la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement et des risques de confidentialit\u00e9.<\/p>\n<p>Servant de guide d&rsquo;\u00e9valuation des risques pour les d\u00e9veloppeurs, les acheteurs et les d\u00e9taillants, le cadre constitue la base de futurs programmes de certification IoT. L\u2019objectif\u00a0de l&rsquo;OTA\u00a0est de mettre en \u00e9vidence les appareils qui r\u00e9pondent \u00e0 ces normes afin d&rsquo;aider les consommateurs, ainsi que les secteurs publics et priv\u00e9s, \u00e0 prendre des d\u00e9cisions d&rsquo;achat inform\u00e9es. Le cadre et les ressources associ\u00e9s\u00a0sont disponibles sur\u00a0<a href=\"https:\/\/otalliance.org\/IoT\">https:\/\/otalliance.org\/IoT<\/a>.<\/p>\n<p>Le cadre est divis\u00e9 en quatre axes prioritaires :<\/p>\n<ul>\n<li><strong>Principes de s\u00e9curit\u00e9<\/strong>(1-12) &#8211; Applicable \u00e0 n&rsquo;importe quel appareil ou capteur et \u00e0 toutes les applications et services de cloud backend. Cela va de l&rsquo;application d&rsquo;un processus rigoureux de s\u00e9curit\u00e9 de d\u00e9veloppement logiciel \u00e0 l&rsquo;adh\u00e9sion aux principes de s\u00e9curit\u00e9 des donn\u00e9es stock\u00e9es et transmises par l&rsquo;appareil, \u00e0 la gestion de la cha\u00eene logistique, aux tests\u00a0de p\u00e9n\u00e9tration et aux programmes de signalement de vuln\u00e9rabilit\u00e9. D&rsquo;autres principes soulignent l&rsquo;exigence de correctifs de s\u00e9curit\u00e9 pour le cycle de vie.<\/li>\n<li><strong>Acc\u00e8s utilisateur et informations d&rsquo;identification<\/strong>(1-17) &#8211; Exigence de cryptage de tous les mots de passe et noms d&rsquo;utilisateur, envoi d&rsquo;appareils avec des mots de passe uniques, impl\u00e9mentation de processus de r\u00e9initialisation de mot de passe g\u00e9n\u00e9ralement accept\u00e9s et int\u00e9gration de m\u00e9canismes pour pr\u00e9venir les tentatives de connexion par \u00ab force brute \u00bb.<\/li>\n<li><strong>Confidentialit\u00e9, divulgations et transparence<\/strong>(18-33) &#8211; Exigences conformes aux principes de confidentialit\u00e9 g\u00e9n\u00e9ralement accept\u00e9s, y compris les divulgations importantes sur l&#8217;emballage, les points de vente et \/ ou mises en ligne, capacit\u00e9 pour les utilisateurs de r\u00e9initialiser les appareils aux param\u00e8tres\u00a0d&rsquo;usine et conformit\u00e9 aux exigences r\u00e9glementaires applicables incluant l&rsquo;EU\u00a0GDPR et la r\u00e9glementation de confidentialit\u00e9 des enfants. Traite \u00e9galement des divulgations sur l&rsquo;impact des caract\u00e9ristiques\u00a0ou fonctionnalit\u00e9s du produit si la connectivit\u00e9 et d\u00e9sactiv\u00e9e.<\/li>\n<li><strong>Notifications et bonnes pratiques associ\u00e9es<\/strong>(34-40) &#8211; La cl\u00e9 du maintien de la s\u00e9curit\u00e9 des appareils est d&rsquo;avoir des m\u00e9canismes et des processus pour informer rapidement un utilisateur des menaces et des actions requises. Les principes incluent l&rsquo;authentification par courrier \u00e9lectronique pour les notifications de s\u00e9curit\u00e9 et que les messages doivent \u00eatre communiqu\u00e9s clairement aux utilisateurs de tous les niveaux de lecture. De plus, les exigences d&#8217;emballage inviolable et d&rsquo;accessibilit\u00e9 sont mises en \u00e9vidence.<\/li>\n<\/ul>\n<h4>OTA IoT Trust Framework\u00ae v2.5 \u2013 mise \u00e0 jour 14\/10\/17<\/h4>\n<h6><em>Ax\u00e9 sur les appareils et services de \u00ab consommation \u00bb pour la maison et l&rsquo;entreprise, y compris les technologies portables<\/em><\/h6>\n<table>\n<thead>\n<tr>\n<td colspan=\"2\">\n<h5><strong>Cadre de confiance IoT<\/strong><\/h5>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><strong> Obligatoire (Doit) <\/strong><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/strong> <strong>Recommand\u00e9\u00a0(Devrait)<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td colspan=\"2\">\n<h6>S\u00e9curit\u00e9 &#8211; Appareil, applications et services cloud<\/h6>\n<\/td>\n<\/tr>\n<tr>\n<td>1. Indiquer si l&rsquo;appareil est capable de recevoir des mises \u00e0 jour li\u00e9es \u00e0 la s\u00e9curit\u00e9 et, dans l&rsquo;affirmative, indiquer si l&rsquo;appareil peut recevoir automatiquement les mises \u00e0 jour de s\u00e9curit\u00e9 et quelle action est requise pour assurer que l&rsquo;appareil soit correctement mis \u00e0 jour dans un d\u00e9lai raisonnable.<\/td>\n<td style=\"width: 45px;\"><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>2. S&rsquo;assurer que les appareils et les applications associ\u00e9es prennent en charge le protocole de s\u00e9curit\u00e9 et de cryptographie g\u00e9n\u00e9ralement reconnus, ainsi que les meilleures pratiques. Toutes les donn\u00e9es personnellement identifiables en transit et stock\u00e9es doivent \u00eatre crypt\u00e9es en utilisant les normes de s\u00e9curit\u00e9 g\u00e9n\u00e9ralement accept\u00e9es. Cela inclut mais n&rsquo;est pas limit\u00e9 aux connexions c\u00e2bl\u00e9es, Wi-Fi et Bluetooth.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>3. Tous les sites Web de support IoT\u00a0doivent enti\u00e8rement chiffrer la session de l&rsquo;utilisateur de l&rsquo;appareil aux services backend. Les meilleures pratiques actuelles incluent HTTPS et HTTP Strict Transport Security\u00a0(HSTS) par d\u00e9faut, \u00e9galement appel\u00e9 AOSSL\u00a0ou Always\u00a0On SSL. Les p\u00e9riph\u00e9riques\u00a0doivent inclure des m\u00e9canismes permettant d\u2019authentifier\u00a0de mani\u00e8re fiable leurs services backend et leurs applications\u00a0de supports.<a href=\"#_edn1\" name=\"_ednref1\">[1]<\/a><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>4. Les sites de supports IoT\u00a0doivent mettre en place une surveillance r\u00e9guli\u00e8re et une am\u00e9lioration continue de la s\u00e9curit\u00e9 du site et des configurations de serveur afin de r\u00e9duire de mani\u00e8re acceptable l&rsquo;impact des vuln\u00e9rabilit\u00e9s. Effectuer des tests de p\u00e9n\u00e9tration au moins deux fois par an.<a href=\"#_edn2\" name=\"_ednref2\">[2]<\/a><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>5. \u00c9tablir une divulgation\u00a0coordonn\u00e9e des vuln\u00e9rabilit\u00e9s, y compris des processus et des syst\u00e8mes pour recevoir, suivre et r\u00e9pondre rapidement aux rapports de vuln\u00e9rabilit\u00e9 externes de tierces parties, y compris mais sans s&rsquo;y limiter, les clients, les consommateurs, les universit\u00e9s et la communaut\u00e9 de recherche. Corriger les vuln\u00e9rabilit\u00e9s et les menaces li\u00e9es \u00e0 la conception de versions de produits de mani\u00e8re publiquement responsable, que ce soit par le biais de mises \u00e0 jour \u00e0 distance et \/ ou de notifications de consommateurs exploitables ou d&rsquo;autres m\u00e9canismes efficaces. Les d\u00e9veloppeurs devraient envisager des programmes de \u00ab bug bounty \u00bb et des m\u00e9thodes de crowdsourcing\u00a0pour aider \u00e0 identifier les vuln\u00e9rabilit\u00e9s.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>6. S&rsquo;assurer qu&rsquo;un m\u00e9canisme est en place pour des m\u00e9thodes s\u00e9curis\u00e9es automatis\u00e9es permettant de fournir des mises \u00e0 jour de logiciels et \/ ou de micrologiciels, des correctifs et des r\u00e9visions. De telles mises \u00e0 jour doivent \u00eatre sign\u00e9es et \/ ou v\u00e9rifi\u00e9es comme provenant d&rsquo;une source fiable, y compris, mais sans y limiter, la signature et la v\u00e9rification de l&rsquo;int\u00e9grit\u00e9.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>7. Les mises \u00e0 jour et les correctifs ne doivent pas modifier les pr\u00e9f\u00e9rences, la s\u00e9curit\u00e9 et \/ ou les param\u00e8tres de confidentialit\u00e9 configur\u00e9s par l&rsquo;utilisateur sans la notification de l&rsquo;utilisateur. Dans le cas o\u00f9 le micrologiciel ou le logiciel de l&rsquo;appareil est plac\u00e9, lors de la premi\u00e8re utilisation, l&rsquo;utilisateur doit avoir la possibilit\u00e9 d&rsquo;examiner et de s\u00e9lectionner les param\u00e8tres de confidentialit\u00e9.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>8. Le processus de mise \u00e0 jour de s\u00e9curit\u00e9 doit indiquer s&rsquo;il est automatis\u00e9 (par rapport \u00e0 automatique). Les mises \u00e0 jour automatis\u00e9es permettent aux utilisateurs d&rsquo;approuver, d&rsquo;autoriser ou de rejeter les mises \u00e0 jour. Dans certain cas, l&rsquo;utilisateur peut vouloir d\u00e9cider comment et quand les mises \u00e0 jour sont faites, y compris, mais sans y limiter, la consommation de donn\u00e9es et la connexion via leur op\u00e9rateur mobile ou leur connexion ISP. Inversement, les mises \u00e0 jour automatiques sont transmises \u00e0 l&rsquo;appareil de mani\u00e8re transparente sans interaction de l&rsquo;utilisateur et peuvent ou non fournir des avis \u00e0 l&rsquo;utilisateur.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>9. S&rsquo;assurer que tous les appareils IoT\u00a0et les logiciels associ\u00e9s ont \u00e9t\u00e9 soumis \u00e0 des tests de cycle de vie rigoureux et standardis\u00e9s incluant des tests d&rsquo;unit\u00e9, de syst\u00e8me, d&rsquo;acceptation et de r\u00e9gression\u00a0et de mod\u00e9lisation des\u00a0menaces, ainsi qu&rsquo;un inventaire de la source pour tout code tiers \/ open source et \/ ou composants. Utiliser des techniques de renforcement du code et du syst\u00e8me g\u00e9n\u00e9ralement accept\u00e9es dans une gamme de sc\u00e9narios d&rsquo;utilisation types, y compris la pr\u00e9vention des fuites de donn\u00e9es entre l&rsquo;appareil, les applications et les services cloud. Pour d\u00e9velopper un logiciel s\u00e9curis\u00e9, il faut penser \u00e0 la s\u00e9curit\u00e9 depuis la cr\u00e9ation d&rsquo;un projet jusqu&rsquo;\u00e0 la mise en \u0153uvre, le test et le d\u00e9ploiement. Les p\u00e9riph\u00e9riques doivent \u00eatre livr\u00e9s avec le logiciel actuel et \/ ou avec des mises \u00e0 jour automatiques au premier d\u00e9marrage pour r\u00e9soudre les vuln\u00e9rabilit\u00e9s critiques connues.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>10. Effectuer des \u00e9valuations des risques de s\u00e9curit\u00e9 et de conformit\u00e9 pour tous les fournisseurs de services et de cloud. Voir le guide de ressources IoT\u00a0<a href=\"https:\/\/otalliance.org\/IoT\">https:\/\/otalliance.org\/IoT<\/a><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>11. D\u00e9velopper et maintenir une \u00ab nomenclature \u00bb comprenant des logiciels, des microprogrammes, du mat\u00e9riel et des biblioth\u00e8ques de logiciels tiers (y compris des modules open source et des plug-ins). Cela s&rsquo;applique aux p\u00e9riph\u00e9riques, aux services mobiles et au cloud\u00a0pour aider \u00e0 corriger rapidement les vuln\u00e9rabilit\u00e9s signal\u00e9es.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>12. Concevoir des dispositifs aux exigences minimales n\u00e9cessaires pour l&rsquo;op\u00e9ration. Par exemple, les ports USB ou les logements de carte m\u00e9moire ne doivent \u00eatre inclus que s&rsquo;ils sont n\u00e9cessaires au fonctionnement et \u00e0 la maintenance de l&rsquo;appareil. Les ports et services inutilis\u00e9s doivent \u00eatre d\u00e9sactiv\u00e9s.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td colspan=\"2\">\n<h6>Acc\u00e8s utilisateur et informations d&rsquo;identification<\/h6>\n<\/td>\n<\/tr>\n<tr>\n<td>13. Inclure l&rsquo;authentification forte par d\u00e9faut, y compris la fourniture de mots de passe uniques, g\u00e9n\u00e9r\u00e9s par le syst\u00e8me ou \u00e0 usage unique ; ou bien utiliser des informations d&rsquo;identification de certificat s\u00e9curis\u00e9es. Au besoin, exiger l&rsquo;utilisation de mots de passe uniques pour l&rsquo;acc\u00e8s administratif, la d\u00e9limitation entre les appareils et les services et l&rsquo;impact respectif des r\u00e9initialisations d&rsquo;usine.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>14. Fournir des m\u00e9canismes de r\u00e9cup\u00e9ration g\u00e9n\u00e9ralement accept\u00e9s pour les applications IoT\u00a0et prendre en charge les mots de passe et \/ ou les m\u00e9canismes de r\u00e9initialisation des informations d&rsquo;identification \u00e0 l&rsquo;aide de la v\u00e9rification et de l&rsquo;authentification multifactorielle (courriel et t\u00e9l\u00e9phone, etc.) l\u00e0 ou aucun mot de passe utilisateur n&rsquo;existe.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>15. Prendre des mesures de protection contre la \u00ab force brute \u00bb et \/ ou d&rsquo;autres tentatives de connexion abusives (telles que les robots de connexion automatis\u00e9s, etc.) en verrouillant ou en d\u00e9sactivant les comptes utilisateur et p\u00e9riph\u00e9rique apr\u00e8s un nombre raisonnable de tentatives de connexion non valides.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>16. Fournir aux utilisateurs une notification de r\u00e9initialisation ou de modification du mot de passe en utilisant une authentification s\u00e9curis\u00e9e et \/ ou des notifications hors bande.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>17. Les informations d&rsquo;authentification, y compris, mais sans y limiter, les mots de passe des utilisateurs doivent \u00eatre sal\u00e9s, hach\u00e9s et \/ ou crypt\u00e9s. S&rsquo;applique \u00e0 toutes les informations d&rsquo;identification stock\u00e9es pour emp\u00eacher les acc\u00e8s non autoris\u00e9s et les attaques par force brute.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>\n<h6>Confidentialit\u00e9, divulgations et transparence<\/h6>\n<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>18. Veiller \u00e0 ce que les r\u00e8gles de confidentialit\u00e9, de s\u00e9curit\u00e9 et de support soient facilement identifiables, claires et facilement accessibles <u>avant<\/u> l&rsquo;achat, l&rsquo;activation, le t\u00e9l\u00e9chargement ou l&rsquo;inscription. En plus du placement bien visible sur l&#8217;emballage du produit et sur leur site Web, il est recommand\u00e9 aux entreprises d&rsquo;utiliser des codes QR, des URL courtes conviviales et d&rsquo;autres m\u00e9thodes similaires dans les points de vente.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>19. Divulguer la dur\u00e9e et la s\u00e9curit\u00e9 en fin de vie ainsi que la prise en charge des correctifs (au-del\u00e0 de la garantie du produit). L&rsquo;assistance peut prendre fin \u00e0 une date d&rsquo;expiration, par exemple le 1er janvier 2025, ou pour une dur\u00e9e sp\u00e9cifique \u00e0 compter de la date d&rsquo;achat, non contrairement \u00e0 une garantie traditionnelle. Id\u00e9alement, ces divulgations devraient \u00eatre align\u00e9es sur la dur\u00e9e de vie pr\u00e9vue de l&rsquo;appareil et communiqu\u00e9es au consommateur avant l&rsquo;achat. <em>(Il est reconnu que les p\u00e9riph\u00e9riques IoT\u00a0ne peuvent pas \u00eatre ind\u00e9finiment\u00a0s\u00e9curis\u00e9s et facilement accessibles.<\/em><em> Envisager de communiquer les risques li\u00e9s \u00e0 l&rsquo;utilisation d&rsquo;un p\u00e9riph\u00e9rique au-del\u00e0 de sa date d&rsquo;utilisation, ainsi que l&rsquo;impact et les risques pour les autres si les avertissements sont ignor\u00e9s ou si l&rsquo;appareil n&rsquo;est pas retir\u00e9).<\/em> Si les utilisateurs doivent payer des frais ou souscrire\u00a0un contrat\u00a0d&rsquo;assistance annuel, cela doit \u00eatre indiqu\u00e9 avant l&rsquo;achat.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>20. Divulguer de mani\u00e8re visible quels types et attributs de donn\u00e9es personnelles et identifiables sont collect\u00e9s et comment ils sont utilis\u00e9s, en limitant la collecte des donn\u00e9es raisonnablement utiles pour la fonctionnalit\u00e9 et l&rsquo;objectif de la collecte. Divulguer et fournir l&rsquo;adh\u00e9sion du consommateur \u00e0 tout autre fin.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>21. Divulguer quelles fonctionnalit\u00e9s ne fonctionneront pas si les services de connectivit\u00e9 ou de backend\u00a0sont d\u00e9sactiv\u00e9s ou arr\u00eat\u00e9s, y compris, mais sans y limiter, l&rsquo;impact potentiel sur la s\u00e9curit\u00e9 physique. Indiquer ce qui se passe lorsque l&rsquo;appareil ne re\u00e7oit plus les mises \u00e0 jour de s\u00e9curit\u00e9 ou si l&rsquo;utilisateur ne parvient pas \u00e0 mettre \u00e0 jour l&rsquo;appareil.<em> (Envisager d&rsquo;int\u00e9grer des contr\u00f4les pour d\u00e9sactiver la connectivit\u00e9 ou d\u00e9sactiver les ports afin d&rsquo;att\u00e9nuer\u00a0les menaces potentielles, tout en conservant la fonctionnalit\u00e9 principale du produit, en fonction de l&rsquo;utilisation du p\u00e9riph\u00e9rique, en \u00e9quilibrant les probl\u00e8mes de vie \/ s\u00e9curit\u00e9 potentiels).<\/em><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>22. Divulguer la politique de conservation de donn\u00e9es et la dur\u00e9e de conservation des informations personnelles identifiables<em>.<\/em><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>23. Les appareils IoT doivent fournir un avis et \/ ou demander une confirmation \u00e0 l&rsquo;utilisateur lors du couplage, de l&rsquo;int\u00e9gration et \/ ou de la connexion avec d&rsquo;autres appareils, plateformes ou services.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>24. Divulguer si et comment la propri\u00e9t\u00e9 de l&rsquo;appareil \/ produit \/ service IoT\u00a0et les donn\u00e9es peuvent \u00eatre transf\u00e9r\u00e9es (par exemple, une maison connect\u00e9e \u00e9tant vendue \u00e0 un nouveau propri\u00e9taire ou la vente d&rsquo;un tracker de fitness).<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>25. Partager les donn\u00e9es personnelles des consommateurs avec des tiers uniquement avec le consentement explicite des consommateurs, \u00e0 moins que cela ne soit requis et limit\u00e9 pour l&rsquo;utilisation des fonctionnalit\u00e9s\u00a0du produit ou le fonctionnement du service. Exiger que les fournisseurs de services tiers soient tenus de respecter les m\u00eames politiques, y compris la conservation de ces donn\u00e9es \u00e0 titre confidentiel et les exigences de notification de tout incident de perte ou de violation de donn\u00e9es et \/ ou d&rsquo;acc\u00e8s non autoris\u00e9.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>26. Fournir des contr\u00f4les et \/ ou la documentation permettant aux consommateurs d&rsquo;examiner et de modifier les pr\u00e9f\u00e9rences de confidentialit\u00e9 de l&rsquo;appareil IoT, y compris la possibilit\u00e9 de r\u00e9initialiser au \u00ab r\u00e9glage usine \u00bb.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>27. S&rsquo;engager \u00e0 ne pas vendre ou transf\u00e9rer\u00a0des donn\u00e9es de consommation identifiables sauf si elles sont d\u00e9pendantes de la vente ou de la liquidation de l&rsquo;activit\u00e9 principale qui a initialement collect\u00e9 les donn\u00e9es, \u00e0 condition que la politique de confidentialit\u00e9 de l&rsquo;acqu\u00e9reur n&rsquo;en modifie pas les termes. Sinon, un avis et un consentement doivent \u00eatre obtenus.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>28. Fournir la possibilit\u00e9 pour un consommateur de retourner un produit sans frais apr\u00e8s avoir examin\u00e9 les pratiques de confidentialit\u00e9 qui sont repr\u00e9sent\u00e9es avant l&rsquo;op\u00e9ration, \u00e0 condition que ces termes ne soient pas divulgu\u00e9s de fa\u00e7on visible avant l&rsquo;achat. Le terme (nombre de jours) pour les retours de produits doit \u00eatre conforme aux politiques d&rsquo;\u00e9change en vigueur du d\u00e9taillant, ou sp\u00e9cifi\u00e9 \u00e0 l&rsquo;avance.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>29. Chaque fois que l&rsquo;opportunit\u00e9 de refuser ou renoncer \u00e0 une politique est pr\u00e9sent\u00e9e, les cons\u00e9quences doivent \u00eatre clairement et objectivement expliqu\u00e9es, y compris tout impacte sur les caract\u00e9ristiques\u00a0ou les fonctionnalit\u00e9s du produit. Il est recommand\u00e9 que la valeur d&rsquo;adh\u00e9sion et \/ ou de partage des donn\u00e9es de l&rsquo;utilisateur soit communiqu\u00e9e \u00e0 l&rsquo;utilisateur final.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>30. Se conformer aux r\u00e9glementations\u00a0applicables, y compris, mais sans y limiter, \u00e0 la Children&rsquo;s Online Privacy\u00a0Protection Act\u00a0(COPPA) et aux exigences internationales en mati\u00e8re de confidentialit\u00e9, de s\u00e9curit\u00e9 et de transfert de donn\u00e9es.<a href=\"#_edn3\" name=\"_ednref3\">[3]<\/a><a href=\"#_edn4\" name=\"_ednref4\">[4]<\/a><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>31. Publier publiquement l&rsquo;historique des modifications apport\u00e9es \u00e0 l&rsquo;avis de confidentialit\u00e9 pour un minimum de deux ans. Les meilleures pratiques comprennent l&rsquo;horodatage, les redlines et un r\u00e9sum\u00e9 des impacts des changements.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>32. Fournir \u00e0 l&rsquo;utilisateur ou au mandataire la possibilit\u00e9 de supprimer, ou de rendre anonymes, des donn\u00e9es personnelles ou sensibles stock\u00e9es sur les serveurs de l&rsquo;entreprise (autre que l&rsquo;historique de transaction d&rsquo;achat) en cas d&rsquo;interruption, de perte ou de vente de l&rsquo;appareil.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>33. Fournir la possibilit\u00e9 de r\u00e9initialiser un appareil et une application aux param\u00e8tres d&rsquo;usine, y compris la possibilit\u00e9 d&rsquo;effacer les donn\u00e9es de l&rsquo;utilisateur en cas de transfert, de location, de perte ou de vente.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td colspan=\"2\">\n<h6>Notifications et bonnes pratiques associ\u00e9es<\/h6>\n<\/td>\n<\/tr>\n<tr>\n<td>34. Les communications de l&rsquo;utilisateur final, y compris mais sans s&rsquo;y limiter, les emails et les SMS, doivent adopter des protocoles d&rsquo;authentification pour aider \u00e0 pr\u00e9venir\u00a0le harponnage et l&rsquo;usurpation d&rsquo;identit\u00e9. Les domaines doivent impl\u00e9menter SPF, DKIM\u00a0et DMARC\u00a0pour toutes les communications et notifications relatives \u00e0 la s\u00e9curit\u00e9 et \u00e0 la confidentialit\u00e9, ainsi que pour les domaines parqu\u00e9s et ceux qui n&rsquo;envoient jamais d&#8217;emails.<a href=\"#_edn5\" name=\"_ednref5\">[5]<\/a><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>35. Pour les communications par email, dans les 180 jours suivant la publication d&rsquo;une strat\u00e9gie DMARC, impl\u00e9menter une strat\u00e9gie de rejet ou de mise en quarantaine, qui aide les fournisseurs d&rsquo;acc\u00e8s et les r\u00e9seaux r\u00e9cepteurs\u00a0\u00e0 rejeter les emails \u00e9chouant les v\u00e9rifications d&rsquo;authentification.<a href=\"#_edn6\" name=\"_ednref6\">[6]<\/a><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>36. Les fournisseurs d&rsquo;IoT utilisant la communication par email devraient adopter la confidentialit\u00e9 au niveau du transport, y compris les techniques de s\u00e9curit\u00e9 g\u00e9n\u00e9ralement accept\u00e9es pour s\u00e9curiser la communication et am\u00e9liorer la confidentialit\u00e9 et l&rsquo;int\u00e9grit\u00e9 du message (\u00e9galement appel\u00e9 \u00ab\u00a0TLS opportuniste pour\u00a0email\u00a0\u00bb).<a href=\"#_edn7\" name=\"_ednref7\">[7]<\/a><\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>37. Mettre en \u0153uvre des mesures pour aider \u00e0 pr\u00e9venir ou \u00e0 rendre \u00e9vidente toute alt\u00e9ration physique des appareils. Des telles mesures permettent de prot\u00e9ger l&rsquo;appareil contre l&rsquo;ouverture ou la modification \u00e0 des fins malveillantes apr\u00e8s l&rsquo;installation ou d&rsquo;\u00eatre renvoy\u00e9 \u00e0 un revendeur dans un \u00e9tat compromis.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>38. R\u00e9fl\u00e9chir \u00e0 la fa\u00e7on de r\u00e9pondre aux exigences d&rsquo;accessibilit\u00e9 pour les utilisateurs qui peuvent \u00eatre malvoyants ou malentendants afin de maximiser l&rsquo;acc\u00e8s pour les utilisateurs de toutes les capacit\u00e9s physiques.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>39. D\u00e9velopper des processus de communication pour maximiser la sensibilisation des utilisateurs \u00e0 tout probl\u00e8me potentiel de s\u00e9curit\u00e9 ou de confidentialit\u00e9, aux notifications de fin de vie et aux rappels de produits \u00e9ventuels, y compris les notifications dans l&rsquo;application. Les communications doivent \u00eatre \u00e9crites en maximisant la compr\u00e9hension pour le niveau de lecture de l&rsquo;utilisateur g\u00e9n\u00e9ral. Envisager des communications multilingues, en reconnaissant que l&rsquo;anglais peut \u00eatre la \u00ab deuxi\u00e8me langue \u00bb pour les utilisateurs (voir les principes connexes concernant la s\u00e9curit\u00e9 et l&rsquo;int\u00e9grit\u00e9 des messages).<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<tr>\n<td>40. Adopter un plan d&rsquo;intervention et de cyber-r\u00e9ponse\u00a0et de notification du consommateur \u00e0 r\u00e9\u00e9valuer, tester et mettre \u00e0 jour au moins une fois par an et \/ ou apr\u00e8s d&rsquo;importants changements internes au syst\u00e8me, techniques et \/ ou op\u00e9rationnels.<\/td>\n<td><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>Les ressources et les mises \u00e0 jour sont affich\u00e9es sur\u00a0<\/strong><a href=\"https:\/\/otalliance.org\/IoT\"><strong>https:\/\/otalliance.org\/IoT<\/strong><\/a><\/p>\n<h5>Terminologies, d\u00e9finitions et clarifications<\/h5>\n<ol>\n<li>Port\u00e9e &#8211; Ax\u00e9 sur les appareils et services de \u00ab consommation pour la maison et l&rsquo;entreprise, y compris les technologies portables \u00bb. Les voitures intelligentes, y compris les v\u00e9hicules autonomes, automoteurs, ainsi que les dispositifs m\u00e9dicaux et les donn\u00e9es HIPAA<a href=\"#_edn8\" name=\"_ednref8\">[8]<\/a>d\u00e9passent la port\u00e9e du cadre, mais la majorit\u00e9 des crit\u00e8res sont jug\u00e9s applicables. Respectivement, ils rel\u00e8vent de la surveillance r\u00e9glementaire de la National Highway Traffic Safety Administration (NHTSA) et la Food and\u00a0Drug Administration (FDA), <a href=\"#_edn9\" name=\"_ednref9\">[9]<\/a><\/li>\n<li>Les termes fabricants d&rsquo;appareils, fournisseurs, d\u00e9veloppeurs d&rsquo;applications, fournisseurs de services et op\u00e9rateurs de plateformes sont tous impliqu\u00e9s par le terme \u00ab soci\u00e9t\u00e9 \u00bb.<\/li>\n<li>Il est pr\u00e9vu que les soci\u00e9t\u00e9s divulguent des cas de partage de donn\u00e9es avec les forces de l&rsquo;ordre et se r\u00e9f\u00e8rent \u00e0 tous les rapports de transparence applicables comme l\u00e9galement autoris\u00e9s.<\/li>\n<li>Les appareils intelligents se r\u00e9f\u00e8rent \u00e0 des appareils (et des capteurs) qui sont en r\u00e9seau\u00a0et ne peuvent avoir que des communications unidirectionnelles.<\/li>\n<\/ol>\n<p><em>L&rsquo;OTA est une initiative de l&rsquo;Internet Society, un organisme de bienfaisance 501c3 \u00e0 but non lucratif dont la mission est de promouvoir le d\u00e9veloppement, l&rsquo;\u00e9volution et l&rsquo;utilisation d&rsquo;Internet au profit de tous les peuples du monde. La mission de l&rsquo;OTA\u00a0est d&rsquo;am\u00e9liorer la confiance en ligne, la responsabilisation des utilisateurs et l&rsquo;innovation en organisant des initiatives multipartites, en d\u00e9veloppant et en promouvant les meilleures pratiques, les pratiques de confidentialit\u00e9 responsables et la gestion des donn\u00e9es. Pour en savoir plus, visitez\u00a0<a href=\"https:\/\/otalliance.org\">https:\/\/otalliance.org<\/a> et <a href=\"https:\/\/www.internetsociety.org\/fr\/\">https:\/\/www.internetsociety.org<\/a>.<\/em><\/p>\n<p><em>Le contenu de cette publication est uniquement \u00e0 des fins \u00e9ducatives et informatives. Ni l&rsquo;\u00e9diteur, la Online\u00a0Trust Alliance (OTA), l&rsquo;Internet Society\u00a0(ISOC) ses membres ni les acteurs n&rsquo;assument aucune responsabilit\u00e9 pour les erreurs ou omissions ni comment cette publication ou son contenu sont utilis\u00e9s ou interpr\u00e9t\u00e9s ou pour toute cons\u00e9quence directe ou indirecte de l&rsquo;utilisation de cette publication. Ni l&rsquo;OTA, ni l&rsquo;Internet Society\u00a0ne font d&rsquo;affirmations ou de mentions concernant la s\u00e9curit\u00e9, la confidentialit\u00e9 ou les pratiques des commerciales\u00a0des entreprises qui pourraient choisir d&rsquo;adopter les recommandations d\u00e9crites.\u00a0Pour des conseils juridiques ou autres, veillez consulter votre avocat personnel ou un professionnel appropri\u00e9. Les opinions exprim\u00e9es dans cette publication ne refl\u00e8tent\u00a0pas n\u00e9cessairement les points de vue de l&rsquo;OTA\u00a0et des soci\u00e9t\u00e9s membres de l&rsquo;Internet Society\u00a0ou des organisations affili\u00e9es. L&rsquo;OTA\u00a0et L&rsquo;INTERNET SOCIETY\u00a0NE FOURNISSENT AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU L\u00c9GALE, CONCERNANT LES INFORMATIONS CONTENUES DANS CE DOCUMENT.<\/em><\/p>\n<p><strong>Notes<\/strong><\/p>\n<p><a href=\"#_ednref1\" name=\"_edn1\">[1]<\/a><a href=\"https:\/\/otalliance.org\/resources\/always-ssl-aossl\">https:\/\/otalliance.org\/resources\/always-ssl-aossl<\/a><br \/>\n<a href=\"#_ednref2\" name=\"_edn2\">[2]<\/a><a href=\"https:\/\/otalliance.org\/blog\/responsible-coordinated-ethical-vulnerability-disclosures\">https:\/\/otalliance.org\/blog\/responsible-coordinated-ethical-vulnerability-disclosures<\/a><br \/>\n<a href=\"#_ednref3\" name=\"_edn3\">[3]<\/a> Les entreprises, produits et services doivent se conformer \u00e0 toute loi ou r\u00e9glementation de la juridiction qui r\u00e9git la collecte et le traitement des informations personnelles et sensibles, y compris, mais sans s&rsquo;y limiter, le respect du cadre UE-US Privacy Shield\u00a0<a href=\"http:\/\/www.commerce.gov\/privacyshield\">www.commerce.gov\/privacyshield<\/a> et \/ ou le r\u00e8glement\u00a0g\u00e9n\u00e9ral de l&rsquo;UE sur la protection des donn\u00e9es (GDPR)\u00a0<a href=\"http:\/\/www.eugdpr.org\">www.eugdpr.org<\/a>. Le non-respect peut constituer un non-respect de ce cadre.<br \/>\n<a href=\"#_ednref4\" name=\"_edn4\">[4]<\/a> COPPA <a href=\"https:\/\/www.ftc.gov\/enforcement\/rules\/rulemaking-regulatory-reform-proceedings\/childrens-online-privacy-protection-rule\">https:\/\/www.ftc.gov\/enforcement\/rules\/rulemaking-regulatory-reform-proceedings\/childrens-online-privacy-protection-rule<\/a><br \/>\n<a href=\"#_ednref5\" name=\"_edn5\">[5]<\/a> Authentification par email &#8211; <a href=\"https:\/\/otalliance.org\/eauth\">https:\/\/otalliance.org\/eauth<\/a><br \/>\n<a href=\"#_ednref6\" name=\"_edn6\">[6]<\/a> DMARC &#8211;<a href=\"https:\/\/otalliance.org\/resources\/dmarc\">https:\/\/otalliance.org\/resources\/dmarc<\/a><br \/>\n<a href=\"#_ednref7\" name=\"_edn7\">[7]<\/a> TLS for Email &#8211; <a href=\"https:\/\/otalliance.org\/best-practices\/transport-layered-security-tls-email\">https:\/\/otalliance.org\/best-practices\/transport-layered-security-tls-email<\/a><br \/>\n<a href=\"#_ednref8\" name=\"_edn8\">[8]<\/a> U.S. Minist\u00e8re am\u00e9ricain de la Sant\u00e9 des Services Sociaux, Protection des renseignements personnels\u00a0sur la sant\u00e9\u00a0<a href=\"http:\/\/www.hhs.gov\/hipaa\/index.html\">http:\/\/www.hhs.gov\/hipaa\/index.html<\/a><br \/>\n<a href=\"#_ednref9\" name=\"_edn9\">[9]<\/a><a href=\"http:\/\/www.nhtsa.gov\/Vehicle+Safety\">http:\/\/www.nhtsa.gov\/Vehicle+Safety<\/a> et\u00a0<a href=\"http:\/\/www.fda.gov\/MedicalDevices\/default.htm\">http:\/\/www.fda.gov\/MedicalDevices\/default.htm<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le cadre de confiance IoT (IoT Trust Framework\u00ae) inclut un ensemble de principes strat\u00e9giques n\u00e9cessaires pour s\u00e9curiser les terminaux IOT et leurs donn\u00e9es lors de leur exp\u00e9dition et tout au long de leur cycle de vie. Gr\u00e2ce \u00e0 un processus multipartite ax\u00e9 sur le consensus, des crit\u00e8res ont \u00e9t\u00e9 identifi\u00e9s pour la maison connect\u00e9e, le [&hellip;]<\/p>\n","protected":false},"author":46,"featured_media":0,"template":"","categories":[170,156,4909],"tags":[6247,4648,2795],"region_news_regions":[6029],"content_category":[6105],"ppma_author":[4057],"class_list":["post-79801","resources","type-resources","status-publish","hentry","category-confidentialite","category-iot-fr","category-renforcer-internet","tag-internet-des-objets-ido","tag-online-trust-alliance-fr","tag-ota-fr","region_news_regions-mondial","resource_types-ota-fr","content_category-resources-type"],"acf":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false,"square":false,"gform-image-choice-sm":false,"gform-image-choice-md":false,"gform-image-choice-lg":false},"uagb_author_info":{"display_name":"Ivana Trbovic","author_link":"https:\/\/www.internetsociety.org\/fr\/author\/trbovic\/"},"uagb_comment_info":0,"uagb_excerpt":"Le cadre de confiance IoT (IoT Trust Framework\u00ae) inclut un ensemble de principes strat\u00e9giques n\u00e9cessaires pour s\u00e9curiser les terminaux IOT et leurs donn\u00e9es lors de leur exp\u00e9dition et tout au long de leur cycle de vie. Gr\u00e2ce \u00e0 un processus multipartite ax\u00e9 sur le consensus, des crit\u00e8res ont \u00e9t\u00e9 identifi\u00e9s pour la maison connect\u00e9e, le\u2026","_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources\/79801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources"}],"about":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/types\/resources"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/users\/46"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/media?parent=79801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/categories?post=79801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/tags?post=79801"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/region_news_regions?post=79801"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/content_category?post=79801"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/ppma_author?post=79801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}