Selon plusieurs récentes études, les services connectés deviendront courants dans le secteur automobile et 80% des voitures seront connectées d’ici 2020, soit plus de 600 millions de véhicules connectés dans le monde dont près de 160 millions rien qu’en Europe. Si cela étonne encore, les voitures connectées pourront pourtant bientôt devenir la norme.
A cet égard, Huawei, le géant chinois des télécommunications, a annoncé, ce mardi 14 novembre 2017, avoir établi une coopération avec le constructeur automobile français PSA. Cette coopération permettra à PSA de développer sa propre plateforme IoT, la « CVMP » (Connected Vehicle Modular Platform) afin de fournir aux utilisateurs une nouvelle solution de transport et ainsi créer un meilleur monde connecté. La plateforme logicielle assurera également la sécurisation des données liées aux véhicules connectés.
A travers cette récente et prometteuse coopération, on se rend bien compte de la croissance de ce marché, mais malgré l’engouement de l’industrie automobile, la voiture connectée, grâce (à cause des ?) aux capteurs, aux boîtiers connectés et aux applications mobiles, n’est pas sans danger ni sans risque pour les données personnelles des utilisateurs. En effet, l’automobile, devenu aujourd’hui un véritable smartphone roulant, produit en moyenne 1 milliard d’octets par jour. Inévitablement, cela conduit à se demander à qui appartiennent les données générées par une voiture ? Plus précisément, ces informations constituent-elles des « données machine » ou des données à caractère personnel ? Cette interrogation est sous-jacente à celle de savoir quelle serait la frontière, la limite entre une donnée personnelle et une donnée non personnelle.
Afin de trouver un équilibre entre les écosystèmes d’innovation et la protection des données personnelles des usagers de l’automobile, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 16 octobre dernier le pack de conformité « véhicules connectés et données personnelles » dont la démarche s’inscrit dans la mise en conformité avec le règlement européen sur la protection des données (RGPD), applicable à partir du 25 mai 2018. A l’instar du RGPD, le pack de conformité pourrait constituer une ligne directrice européenne permettant aux acteurs de l’industrie automobile de se positionner sur le marché européen voire mondial…
Le pack de conformité « véhicules connectés et données personnelles » : qui, quoi, comment ?
Dans l’objectif de la protection des données personnelles des usagers de l’automobile, la CNIL a lancé en mars 2016 les travaux du pack de conformité « véhicules connectés et données personnelles ». Pour une utilisation responsable des données, ce pack a été élaboré en concertation avec 21 acteurs publics et privés. Parmi ces acteurs, on retrouve notamment le secteur public (à savoir l’Agence de l’Environnement et de la Maîtrise de l’Energie, l’Autorité de Régulation des Communications Electroniques et des Postes, la Gendarmerie Nationale, etc), les professionnels de l’automobile (comme le Comité des Constructeurs Français d’Automobiles, PSA, Michelin, Renault, etc), les professionnels de l’assurance, des télécoms, des industries électriques, électroniques et de communication.
En effet, afin de conditionner la confiance des utilisateurs et ainsi le développement pérenne de ces technologies, l’enjeu était d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits et d’assurer la transparence et le contrôle par les personnes de leurs données.
La CNIL a dû sensibiliser les industriels au fait que la définition des données personnelles est très large et s’étend bien au-delà des éléments de l’identité d’une personne. C’est ainsi qu’il est apparu nécessaire de fixer un cadre et un périmètre à l’application de ce pack de conformité.
Alors, à qui, le pack de conformité, s’applique-t-il et qu’entend-on par véhicules connectés ? Les véhicules connectés sont des véhicules qui communiquent avec l’extérieur via des applications mobiles, des infrastructures ou même via d’autres véhicules. La CNIL précise que le pack de conformité couvre uniquement les usages privés et exclut donc les véhicules de fonction mis à disposition des salariés par leur employeur.
Quel est son périmètre ? Le pack a pour périmètre les traitements de données personnelles collectées via les capteurs des véhicules, les boîtiers télématiques ou les applications mobiles, que les données soient traitées à bord des véhicules ou exportées vers un serveur centralisé.
Sur la question de savoir quelles sont les données concernées, il en ressort après analyse de la législation que la plupart des données générées à bord des véhicules sont qualifiées de données personnelles, et ce tout simplement parce que les constructeurs automobiles peuvent relier ces données au propriétaire du véhicule. Elles comprennent alors l’ensemble des données associées ou pouvant l’être à une personne physique (conducteur, titulaire de la carte grise, passager, etc). Ainsi, il peut s’agir des données « clients » soit celles directement identifiantes (nom du conducteur, prénom, adresse, numéro de téléphone, courriel), mais également non identifiantes, à savoir celles liées à l’utilisation du véhicule par le conducteur ou les occupants telles que le détail des trajets effectués, les données d’usage du véhicule (par exemple les données relatives au style de conduite ou au nombre de kilomètres parcourus), les données de géolocalisation, les données techniques liées à l’état du véhicule et des pièces, les données biométriques du conducteur. Est également considéré comme donnée personnelle le numéro de série du véhicule ou tout autre identifiant unique du véhicule ou d’une pièce (numéro de la plaque d’immatriculation par exemple).
Le pack reprend les définitions des notions clés de la loi relative à l’informatique, aux fichiers et aux libertés de 1978 et du Règlement Général sur la Protection des Données ainsi que les principes à respecter et explique les changements qui seront opérés par le règlement.
Ainsi, sont rappelés le principe de l’autodétermination informationnelle, l’obligation de disposer d’une base légale pour les traitements mis en œuvre. Le pack précise, à ce sujet, que l’article 7 du RGPD prévoit que le consentement qui constitue la base légale du traitement doit être spécifique c’est-à-dire distingué clairement des autres questions, sous une forme compréhensible et aisément accessible, formulée en des termes clairs et simples. La loyauté de la collecte, la finalité (par exemple un garagiste ne saurait vendre aux assureurs les données techniques du véhicule pour leur permettre d’en déduire les profils de conduite de leurs assurés), les principes de proportionnalité des données (par exemple, un responsable de traitement ne saurait traiter en continu la localisation précise et détaillée du véhicule pour une finalité de maintenance technique ou d’optimisation de modèles), la durée limitée de conservation des données (par exemple, un responsable de traitement ne saurait conserver sans limitation de durée les données techniques de véhicules identifiées à des fins d’amélioration du produit, sauf anonymisation des données), la sécurité assurant la confidentialité des données sont rappelés. Ce principe devra s’appliquer aussi bien aux données collectées et traitées au sein du véhicule qu’aux données transmises à l’extérieur du véhicule tout en restant vigilant sur la sensibilité de certaines données telles que celles susceptibles de révéler des infractions qui imposent un niveau d’exigence supplémentaire du fait des conséquences sur la vie privée que pourrait avoir la diffusion de ces données. S’agissant des droits des personnes, le pack de conformité mentionne les droits prévus initialement à savoir le droit d’opposition pour motifs légitimes et non subordonné aux motifs légitimes, le droit d’accès, le droit de rectification, il vient détailler les trois nouveaux droits instaurés par le RGPD à savoir le droit à l’oubli, le droit à la portabilité et le droit à la limitation du traitement.
L’identification de trois scénarios : quelles hypothèses de traitement ?
L’intérêt du pack de conformité est l’identification de trois hypothèses. Elles correspondant à trois scénarios rencontrés par les professionnels du secteur.
Le scénario n° 1 « IN => IN » correspond au cas où les données collectées par le véhicule ne sont pas transmises au fournisseur de services. La CNIL encourage les acteurs à privilégier ce scénario compte tenu des avantages qu’il présente, à savoir la bonne et unique maîtrise de l’usager sur ses données constituant un facteur de confiance et d’acceptabilité des produits, ainsi que les bonnes garanties qu’il offre en matière de vie privée. Quant aux responsables de traitement, leurs obligations sont allégées sur le plan Informatique et Libertés.
Le scénario n°2 « IN => OUT » correspond au cas où les données du véhicule sont transmises au fournisseur de services sans déclencher à distance d’action automatique dans le véhicule. C’est le cas par exemple du contrat de « Pay as you drive » souscrit auprès d’une société d’assurance ou l’appel « e-Call » vers le 112 déclenché automatiquement par le véhicule en cas d’accident grave sur le territoire de l’Union.
Le scénario n°3 « IN => OUT => IN » couvre les cas dans lesquels les données collectées sont transmises au fournisseur de services pour déclencher à distance une action automatique dans le véhicule. Dans ce cas de figure, deux finalités peuvent être soulevées. La première vise la maintenance à distance, à savoir une personne qui contracte avec un fournisseur de services aux fins de recevoir des messages ou des alertes liés au fonctionnement du véhicule, par exemple une alerte sur l’état d’usage des freins ou le rappel de la date de contrôle technique. La seconde finalité vise l’amélioration de l’expérience de conduite avec le système Infotrafic permettant l’envoi d’un nouveau parcours suite à un incident sur la route, ou des messages d’anticipation ou bien encore des alertes d’éco-conduite.
Le « droit de la donnée » : quand le malheur des uns fait le bonheur des autres…
… Et pour cause ! C’est ainsi que l’on peut schématiquement analyser la portée du nouveau droit à la portabilité instauré par l’article 20 du RGPD. En effet, selon la nouvelle réglementation européenne, un individu aura le droit de transmettre les données le concernant à un autre responsable de traitement, entendu ici comme un autre prestataire de service que le constructeur, sans que ce dernier auquel les données à caractère personnel ont été communiquées y fasse obstacle. Ce droit à la portabilité fait alors le bonheur des assurances qui voient là l’occasion de prospecter de nouveaux clients et d’offrir des prestations sur mesure aux conducteurs. Bien entendu, ce « droit à la donnée » est loin d’avantager les constructeurs mais ces derniers doivent, immanquablement, faire bonne figure afin de ne pas aller à l’encontre des demandes et des droits de leurs clients.
SOURCES
- Commission Nationale de l’Informatique et des Libertés, Pack de conformité « véhicules connectés et données personnelles » : <www.cnil.fr > ; https://www.cnil.fr/sites/default/files/atoms/files/pack_de_conformite_vehicule_connecte.pdf
- GUILLAUME (G.), FROST (L.), édité par BELOT (JM), «PSA s’allie au chinois Huawei pour sécuriser ses données auto », Economie, publié le 14 novembre 2017, consulté le 20 novembre 2017, https://fr.reuters.com/article/businessNews/idFRKBN1DE2F7-OFRBS
- VALLERIE (E.), « Voiture connectée. PSA met Huawei sous son capot » Ouest-France Entreprises, publié le 15 novembre 2017, consulté le 20 novembre 2017, https://www.ouest-france.fr/economie/entreprises/psa/voiture-connectee-psa-met-huawei-sous-son-capot-5379871
- ANONYME, « Le groupe PSA et Huawei coopèrent pour la voiture connectée », publié le 14 novembre 2017, consulté le 20 novembre 2017, http://huaweienfrance.fr/le-groupe-psa-et-huawei-cooperent-pour-la-voiture-connectee/