Image Image Image Image Image Image Image Image Image Image
Scroll to top

Haut

Véhicules connectés : la CNIL livre son pack conformité

Véhicules connectés : la CNIL livre son pack conformité

En plein essor, les voitures connectées collectent de nombreuses données sur leur conducteur, qui peuvent être transmises à des tiers. Afin d’éviter tout risque d’atteinte à la vie privée, la CNIL vient d’éditer un corpus de règles. Celles-ci concernent plusieurs acteurs, en particulier les entreprises détentrices d’une flotte automobile.

Le développement constant des nouvelles technologies touche de nombreux domaines de la vie quotidienne, comme celui de la santé connectée. Cette évolution soulève évidemment de nombreuses problématiques, à commencer par la protection des données personnelles. Les objets connectés, quels qu’ils soient, sont en effet vecteurs de données parfois sensibles : comme tels, ils présentent des risques d’atteinte à la vie privée sur lesquels peu d’utilisateurs sont avertis.

La Commission nationale de l’informatique et des libertés (CNIL) a, dans ce cadre, un rôle de sensibilisation et d’information des professionnels comme des utilisateurs aux problématiques de protection des données personnelles. A ce titre, elle édite régulièrement des lignes directrices et recommandations.

C’est ainsi qu’en octobre 2017, une réflexion engagée plus d’un an auparavant par la CNIL sur les enjeux des véhicules connectés a abouti à la publication d’un pack de conformité.

Élaboré en concertation avec les acteurs de l’industrie automobile, des assurances et des télécommunications et en lien avec les autorités publiques, ce pack vise la mise en conformité des véhicules dès leur conception, dans une approche privacy by design.

Ce pack qui marque par son souci de pédagogie s’adresse tant aux constructeurs automobiles qu’aux usagers, mais également aux responsables d’entreprises et employeurs mettant par exemple à disposition de leurs salariés des voitures de fonction. Si elles ne sont pas responsables de traitement, ces entreprises se doivent néanmoins d’être alertées sur le fait que les véhicules mis à disposition de leurs salariés collectent des données de conduite et parfois les transmettent à l’extérieur.

En outre, la CNIL anticipe dans ses recommandations l’entrée en vigueur prochaine du règlement européen sur la protection des données (RGPD), afin de constituer une véritable ligne directrice européenne.

Le pack conformité concerne les véhicules connectés, c’est-à-dire les véhicules communiquant avec l’extérieur, que ce soit par le biais d’une application mobile ou d’infrastructures spécifiques. L’ensemble des traitements de données personnelles réalisés à partir de capteurs du véhicule, de boîtiers télématiques ou d’applications mobiles doivent être conformes à la réglementation en vigueur, que ces données soient traitées directement à bord du véhicule ou par l’intermédiaire d’un serveur centralisé.

Ce pack s’applique exclusivement aux véhicules connectés d’usage privé, les données collectées provenant d’outils disponibles à bord du véhicule. Pour autant, ces données sont définies de manière extrêmement large.

La CNIL rappelle ici que les données dites « personnelles » concernent l’ensemble des données pouvant être associées à une personne physique, qu’elles soient identifiantes ou non. Toute donnée permettant l’identification d’un individu per se ou par recoupement avec d’autres données, entre donc dans la définition de donnée personnelle au sens de la réglementation. Cela concerne en particulier le numéro de plaque d’immatriculation d’un véhicule, son numéro de série, mais également l’ensemble des données relatives aux trajets effectués, à l’état du véhicule, aux contrôles techniques effectués etc.

La CNIL rappelle également un ensemble de principes fondamentaux que tout traitement de données personnelles doit impérativement respecter. En particulier, le pack vise à sensibiliser les acteurs de l’industrie automobile sur les principes d’autodétermination informationnelle, de transparence et de loyauté de la collecte.

Dès lors que des données personnelles sont en cause, leur propriétaire doit avoir un droit de regard sur leur collecte et leur utilisation et, le cas échéant, pouvoir s’y opposer. Sur ce dernier point, la CNIL mentionne notamment le droit à l’oubli prévu à l’article 17 du RGPD selon lequel toute personne doit pouvoir demander l’effacement de ses données, par exemple lorsque celles-ci ne sont plus nécessaires au vu des finalités pour lesquelles elles ont été collectées.

Enfin, la CNIL expose trois cas pratiques que les professionnels du secteur automobile sont susceptibles de rencontrer :

Scénario IN => IN : les données du véhicule ne sont pas transmises au fournisseur de service

Dans ce scénario, les données personnelles restent sous la maîtrise unique de l’usager. Il s’agit en particulier des solutions qui traitent à bord les données du véhicule pour proposer directement des conseils d’éco-conduite en temps réel.

Les applications de collecte et de traitement des données sont alors confinées sur des réseaux de communication sous la maîtrise exclusive de l’usager (type bluetooth ou réseaux ouverts au public de type ADSL, fibre ou GSM), c’est-à-dire sans transfert au fournisseur de services.

Ces traitements ne sont pas soumis à la réglementation dès lors qu’ils relèvent de la sphère exclusivement personnelle. Dans la mesure où ils sont les plus protecteurs des droits des personnes, la CNIL privilégie ce type de traitements.

Scénario IN => OUT : les données du véhicule sont transmises au fournisseur de services, sans déclencher à distance d’action automatique dans le véhicule

Ce scénario concerne les cas dans lesquels les données sont transmises au fournisseur de services afin, par exemple, de fournir un service particulier. Il peut s’agir de l’optimisation des modèles, le fournisseur de services établissant des statistiques sur les paramètres de fonctionnement du véhicule ou encore l’état d’usure des pièces sur la base des données d’usage de la personne concernée. Dans ce cas, à la différence du scénario 3, le service fonctionne à distance mais n’entraîne pas d’action automatique dans le véhicule

Par principe, le responsable de traitement de données personnelles de tiers doit se conformer à la réglementation en vigueur, et est en tant que tel redevable de diverses obligations légales.

Scénario IN => OUT => IN : Les données du véhicule sont transmises au fournisseur de services pour déclencher à distance une action automatique dans le véhicule

Dans ce dernier scénario, les données collectées sont transmises au fournisseur de services pour déclencher à distance une action automatique dans le véhicule.

La finalité de ce type de traitement peut être, notamment, la fourniture de services de maintenance à distance, ou encore d’amélioration de l’expérience de conduite.

Dans ces deux derniers scenarii potentiellement attentatoires aux droits des personnes, la CNIL énonce un ensemble de recommandations à destination des acteurs concernés. Ceux-ci sont invités à mettre en place des audits préalables afin d’identifier les risques et d’adopter les mesures appropriées pour sécuriser la collecte et le traitement des données.

Plus généralement, pour chaque scénario, la CNIL énonce des exemples de finalités poursuivies par les traitements, leur base légale, ainsi que des conseils de mise en conformité pour la collecte des données, la durée de conservation et la protection des droits des personnes. Ce texte particulièrement didactique vise clairement la promotion de pratiques raisonnées : les acteurs du secteur automobile sont invités à adopter un principe de précaution. Tout traitement doit être strictement nécessaire et incontournable pour la fourniture du service visé.

Ce pack constitue donc une véritable boîte à outils de mise en conformité à destination des constructeurs automobiles, mais également des usagers, dans un souci de clarté et de transparence.

Pour autant, le périmètre du pack exclut expressément les systèmes de transport intelligent dont le déploiement est encore marginal, mais qui posent de réelles questions au regard de la protection des données personnelles. Ce domaine extrêmement large, regroupant toute application de technologies de l’information aux véhicules de transport, inclut notamment les voitures sans chauffeur dont la mise en circulation est déjà à l’essai pour de nombreux constructeurs automobiles. Le pack écarte également la délicate question – non encore résolue en droit français – des caméras embarquées à bord de véhicules privés, dont l’installation fournirait de précieuses indications en cas d’accident, mais impliquerait également des enjeux majeurs en matière de traitements de données à caractère personnel. Nul doute que le développement de ces technologies nécessitera une mise à jour du pack.

 

Auteurs

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Clotilde Patte, juriste, droit de la propriété intellectuelle

 

Véhicules connectés : la CNIL livre son pack conformité – Article paru dans Option Finance Innovation le 19 janvier 2018