Protection des données : les recommandations de la CNIL pour les véhicules connectés

La CNIL a publié fin 2017 un pack de conformité à destination des professionnels de l’automobile. L’objectif : définir les bonnes pratiques pour une utilisation responsable des données personnelles remontées par les véhicules connectés.

par Manon Lamoureux -

11 janvier 2018

3058

CNIL pack vehicules connectes — (c) CNIL

Depuis mars 2016, la Commission informatique et libertés (CNIL) s’intéresse de près aux véhicules connectés qui sont au cœur de son sixième pack de conformité sectoriel. Fruit de 18 mois de travaux, ce document de référence se veut une boîte à outils pour aider les différents acteurs utilisant des données issues de véhicules à assurer la protection des données personnelles des utilisateurs. Il couvre l’ensemble des applications déjà existantes, depuis l’infotrafic jusqu’à la maintenance en passant par l’écoconduite, et doit permettre aux professionnels de l’automobile d’anticiper le règlement général sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018.

Les usages professionnels non concernés

Point important : « Le pack couvre les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur », précise la CNIL. Les gestionnaires de flotte ne sont donc pas directement concernés par ces recommandations, mais ils peuvent s’en inspirer en prévision du RGPD et pour mieux comprendre les enjeux du traitement des données des véhicules connectés.

Pour rédiger ce pack, la CNIL a consulté non seulement des acteurs de la filière automobile – tels le CCFA, le CNPA, la CSIAM, la FIEV et la FSDA, ou encore Avis, PSA, Michelin et Renault –, mais aussi les fédérations françaises de l’assurance, des télécoms et de l’industrie électrique, ainsi que des start-ups spécialisées en véhicule connecté, dont Drust et Eliocity.

La meilleure protection : ne pas transmettre les données

Le pack différencie trois types d’usage, selon le cas où les données restent à l’intérieur du véhicule (scénario In => In), comme par exemple pour l’affichage de conseils d’éco-conduite en temps réel sur l’ordinateur de bord, ou qu’elles sont transmises à l’extérieur, pour fournir un service à l’usager tels les contrats d’assurance au kilomètre (scénario In => Out) ou encore pour déclencher une action automatique à l’intérieur du véhicule (scénario In => Out => In), comme dans le cadre d’un service d’infotrafic avec itinéraire calculé en temps réel.

Les transmissions de données étant toujours risquées, la CNIL encourage l’ensemble des acteurs à privilégier le traitement des données en local dans le véhicule (scénario In => In). Toutefois, quelle que soit la localisation, la CNIL impose un niveau de sécurité élevé, étant donné la sensibilité des données liées au véhicule, en particulier celles susceptibles de révéler des infractions.

La protection des données dès la conception et par défaut

Cependant, dans tous les cas, plusieurs principes sont à respecter. La CNIL insiste en particulier sur les principes de protection des données dès la conception du produit (« privacy by design ») et par défaut. C’est pourquoi la collecte ne peut servir qu’à des fins déterminées. « Par exemple, un garagiste ne saurait vendre aux assureurs les données techniques du véhicule pour leur permettre d’en déduire les profils de conduite de leurs assurés », explique la CNIL.

En outre, les données collectées doivent être pertinentes : « un responsable de traitement ne saurait traiter en continu la localisation précise et détaillée du véhicule pour une finalité de maintenance technique ou d’optimisation de modèles », précise la CNIL.

Enfin, ces données ne peuvent être conservées indéfiniment : ainsi, « un responsable de traitement ne saurait conserver sans limitation de durée les données techniques de véhicules identifiés (notamment par le biais du numéro de série) à des fins d’amélioration du produit, sauf anonymisation des données. » S’appliquent également les obligations classiques : sécurisation des données, loyauté de la collecte, consentement et information de l’utilisateur qui doit pouvoir maîtriser ses données et exercer ses droits (accès, portabilité, rectification, limitation du traitement, opposition et bien sûr oubli).

Par la suite, la CNIl souhaite faire évoluer ce pack avec l’arrivée de nouvelles technologies, comme les ITS, et également porter ces recommandations à l’échelle européenne.

Pour plus de précisions sur ce sujet du pack de conformité, nous vous renvoyons à l’entretien avec Florence Gaullier, avocat-associé, et Lorette Dubois, avocate, au sein du cabinet Gilles Vercken & Florence Gaullier, spécialisé en propriété intellectuelle et droit du numérique.

Voir le pack de conformité « Véhicules connectés et données personnelles »