La Cnil rouvre les discussions sur les données récoltées par les véhicules connectés

Le 1er mars 2023, la Cnil a lancé un "club conformité" dédié à la mobilité connectée, qui se veut un espace d’échange regroupant des acteurs du secteur pour débattre des enjeux de la collecte de données par les véhicules "intelligents". Il est censé apporter des "réponses concrètes et adaptées" pour parvenir à "concilier innovation et protection de la vie privée".

D'ici 2025, plus de 470 millions de véhicules connectés devraient circuler sur les routes d'Europe, des Etats-Unis et de Chine. Qu’il s’agisse de voitures, de trottinettes ou de scooters, ils sont munis de nombreux capteurs qui collectent et fournissent des milliers de données aux entreprises qui les commercialisent : état du véhicule, géolocalisation, vie à bord, trajets effectués, lieux régulièrement fréquentés ou encore style de conduite.

Si les constructeurs se défendent en assurant ne les utiliser qu’à des fins de maintenance ou d’amélioration de la sécurité et du confort, la Cnil craint une atteinte à la vie privée des usagers.

La suite du pack de conformité publié en 2017 ?

D’où la création de ce "club conformité", du même ordre que ceux existants pour les secteurs de l’assurance et de la banque, confirmant la volonté de l’autorité française d’accompagner chaque secteur de manière individuelle dans la protection des données. En 2016, une concertation du même type a déjà été réalisée et avait abouti à la publication d’un "pack de conformité véhicules connectés et données personnelles" en 2017.

Celui-ci rappelait que toutes les données pouvant être rattachées à une personne physique identifiée ou identifiable, (notamment via le numéro de la plaque d’immatriculation ou le numéro de série du véhicule) sont des données à caractère personnel, protégées par la loi informatique et libertés française et par le Règlement général sur la protection des données (RGPD) européen.

Le document expliquait par ailleurs que les données collectées doivent être sécurisées et que leur durée de conservation doit être limitée dans le temps. La collecte elle-même doit se faire dans une finalité précise et les usagers du véhicule doivent, a minima, être informés de la collecte, voire donner leur consentement pour que l’entreprise puisse accéder à ces informations.

Ce pack de conformité ainsi que les lignes directrices du Comité européen de la protection des données (CEPD) sur les véhicules connectés et les applications liées à la mobilité, publié en 2020, combinées au RGPD, constituent les documents de référence dans le secteur, même s'ils n’empêchent pas certains constructeurs de faire des écarts.

Ubeeqo condamné pour géolocalisation excessive

En juillet dernier, le gendarme du numérique avait condamné Ubeeqo, spécialisé dans l'autopartage, à une amende de 175 000 euros pour avoir porté atteinte à la vie privée de ses clients en les géolocalisant de manière quasi-permanente. La start-up avait assuré que cela permettait simplement de retrouver le véhicule en cas de vol ou de porter assistance aux clients en cas d’accident, mais le régulateur a considéré qu’aucune de ces finalités ne justifiait une géolocalisation aussi fine et intrusive.

Par ailleurs, la durée excessive de conservation des données (pendant toute la durée de la relation commerciale avec le client, mais aussi trois ans après la fin de la location du véhicule), constituait une entorse à l'article 5.1.e du RGPD. La Cnil avait volontairement décidé de rendre la décision publique pour envoyer un message à tous les acteurs du secteur.

Notons qu’entre le 29 mars et le 21 juin 2022, l’Union européenne a également ouvert une consultation sur l’accès aux données issues des véhicules connectés.

Sélectionné pour vous

Ascendance Flight Technologies lève 21 millions d’euros pour faire décoller son projet d'aéronef hybride

La Cnil sanctionne Cityscoot pour la géolocalisation abusive de ses clients

Cabify, concurrent espagnol d'Uber, lève 100 millions d’euros