Dossier - Données : les recommandations de la CNIL pour les véhicules connectés

« Le pack peut servir de guide d’interprétation pour le traitement des données »

Précurseur du Règlement européen Général sur la Protection des Données (RGPD), le sixième pack de conformité de la CNIL vient encadrer l’utilisation des données liées aux véhicules connectés. L’éclairage de Florence Gaullier, avocate-associée, et Lorette Dubois, avocate, au sein du cabinet Gilles Vercken & Florence Gaullier, spécialisé en propriété intellectuelle et droit du numérique.

2366
Florence Gaullier (à gauche), avocat-associé, et Lorette Dubois (à droite), avocate, au sein du cabinet Vercken & Gaullier, spécialisé en propriété intellectuelle et droit du numérique.
Florence Gaullier (à gauche), avocat-associé, et Lorette Dubois (à droite), avocate, au sein du cabinet Vercken & Gaullier, spécialisé en propriété intellectuelle et droit du numérique.

Florence Gaullier, avocate-associée, et Lorette Dubois, avocate – Cabinet Gilles Vercken & Florence Gaullier

À quoi sert ce pack de conformité ?

Ce pack de conformité s’adresse aux constructeurs de voitures connectées, aux fournisseurs de services liés aux voitures connectées et à toutes les autres personnes susceptibles de recueillir des données provenant des équipements de voitures connectées. Il vise à éclairer ces acteurs sur les conditions dans lesquelles les données personnelles issues des véhicules connectés peuvent être utilisées dans le respect de la règlementation.

Aujourd’hui, la loi n° 78-17 du 6 janvier 1978, dite loi Informatique et Libertés, est le socle de cette règlementation. Demain, le Règlement européen Général sur la Protection des Données n° 2016/679 du 27 avril 2016 (dit RGPD) remplacera en grande partie cette loi. Il s’appliquera à compter du 25 mai 2018 à tous les traitements de données personnelles mis en œuvre par des acteurs européens ou sur le territoire européen.

La Commission Nationale de l’Informatique et des Libertés (CNIL) aide les entreprises et institutions qui traitent des données personnelles à être en conformité avec cette règlementation et sanctionne les défauts de conformité. C’est dans cette première optique qu’elle a élaboré ce pack de conformité dans lequel elle présente ses lignes directrices d’interprétation de la règlementation actuelle et future appliquée aux véhicules connectés.

En quoi ce pack concerne-t-il les flottes d’entreprise et les gestionnaires de flotte ?

La CNIL est venue préciser que le pack « couvre les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur » (p. 4). Il n’a donc pas vocation à couvrir les traitements de données mis en œuvre par les gestionnaires de flotte d’entreprise. Le pack peut toutefois servir de guide d’interprétation pour ces traitements lorsque ceux-ci ne sont pas couverts par d’autres recommandations et délibérations de la CNIL, comme l’autorisation unique AU-010 relative au recouvrement des contraventions routières récemment mise à jour, ou la norme simplifiée NS-051 sur la géolocalisation des véhicules des employés.

Le pack a vocation à couvrir les traitements de données mis en œuvre par les gestionnaires de flotte à usage privé, lorsque ceux-ci sont amenés à traiter des données issues des équipements de véhicules connectés, par exemple à des fins de maintenance du véhicule ou pour fournir des services relatifs aux véhicules.

Il faut noter que la notion de donnée personnelle doit être entendue très largement. Elle comprend toute information nominative, mais également toute information rattachée à une personne ou toute donnée, notamment technique, qui pourrait permettre d’identifier une personne par recoupement avec d’autres données. Par exemple, la vitesse d’un véhicule ou sa localisation à un instant donné constituent des données personnelles si elles peuvent être rattachées à ce véhicule et donc, par recoupement, à une personne.

Ces bonnes pratiques s’appliquent-elles seulement aux usages privés des véhicules de fonction ?

Comme indiqué précédemment, la CNIL précise dès l’introduction du pack que ce dernier vise à couvrir « les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur » (p. 4).

Toutefois, en présence de véhicules de fonction pouvant également être utilisés à des fins privées, différencier les traitements de données selon que ceux-ci soient mis en œuvre pendant l’utilisation du véhicule à des fins professionnelles ou à des fins privées risque de s’avérer délicat, si ce n’est impossible, pour des tiers tels que les constructeurs automobiles.

Selon nous, il serait donc préférable d’opérer une distinction, non pas au niveau des usages, mais au niveau des responsables de traitement. Sur cette base, les traitements mis en œuvre par les employeurs devraient être considérés comme exclus du pack (et régis pour partie par d’autres délibérations et recommandations de la CNIL : voir ci-dessus).

En revanche, ne seraient pas exclus les traitements mis en œuvre par d’autres responsables de traitement comme les constructeurs, les autorités judiciaires ou les loueurs de véhicules, à partir de véhicules connectés utilisés à des fins professionnelles, afin par exemple d’optimiser les modèles, pour les études d’accidentologie ou encore la lutte contre le vol.

Qu’en est-il pour les flottes européennes ou internationales ?

Aujourd’hui, la loi Informatique et Libertés s’applique aux traitements mis en œuvre par des responsables de traitement établis sur le territoire français. C’est le critère également retenu en principe dans les législations des autres États membres de l’Union européenne. Ainsi, si un gestionnaire de flotte ne dispose d’un établissement stable que sur le territoire français, la loi Informatique et Libertés (lue à la lumière des recommandations du pack de conformité) s’appliquera aux traitements de données mis en œuvre par ce gestionnaire, peu important la localisation de sa flotte.

Avec le RGPD, les critères évoluent. La règlementation européenne s’appliquera également à des responsables de traitement sans établissement stable sur le territoire de l’Union européenne, qui traiteront des données personnelles concernant des personnes se trouvant sur le territoire de l’Union lorsque ces activités de traitement seront liées à l’offre de biens ou de services à ces personnes concernées dans l’Union ou au suivi du comportement de ces personnes au sein de l’Union. Ainsi, si un gestionnaire de flotte dispose de véhicules sur le territoire européen, le RGPD aura vocation à s’appliquer pour les traitements de données liés à ces véhicules, même si le gestionnaire ne dispose pas d’un établissement stable en Europe.

Quelles sont les démarches à entamer pour les gestionnaires de flotte ? Quels sont vos conseils ?

Les gestionnaires de flotte doivent s’assurer en premier lieu que les recommandations du pack de conformité portent sur leurs activités puisque le pack, comme nous l’avons vu précédemment, ne couvre pas toutes les activités liées à des véhicules connectés.

Si tel est bien le cas, ils devront identifier le ou les scénarios correspondant à ces activités. La CNIL distingue notamment le scénario dit IN → OUT selon lequel les données du véhicule connecté sont transmises à une ou plusieurs personnes autres que l’usager du véhicule sans déclencher à distance d’action automatique, et le scénario dit IN → OUT → IN incluant également le déclenchement à distance d’actions automatiques dans le véhicule.

Les gestionnaires devront ensuite s’assurer, pour le ou les scénarios les concernant, que le traitement de données issues des véhicules connectés qu’ils gèrent respecte ou non les recommandations de la CNIL. Celles-ci portent notamment sur les finalités qui peuvent être poursuivies lors du traitement des données (par exemple fourniture de services liés aux véhicules), les durées pendant lesquelles les données peuvent être conservées, les bases légales sur lesquels ce traitement doit reposer (par exemple le consentement ou le contrat conclu avec l’usager des véhicules), les informations qui doivent être portées à la connaissance des utilisateurs, etc.

Il est également fortement recommandé de s’assurer que des mesures de sécurité suffisantes ont été prises pour protéger les données. Certains exemples de mesures comme le chiffrement des données et l’authentification fiable des usagers sont listés dans le pack. Cette vérification pourra s’inscrire dans le cadre plus général de l’étude de risques dite « analyse d’impact » préconisée par la CNIL dans le cadre des deux scénarios précités, qui vise à mesurer les risques engendrés par le traitement des données pour les usagers et à identifier les mesures prises pour éviter ces risques (conformité à la réglementation, sécurité, etc.).

Dans quelle mesure ces recommandations sont-elles contraignantes ?

Ces recommandations ne sont pas contraignantes dans le sens où elles n’ont pas de valeur législative, règlementaire ou contractuelle pour les gestionnaires de flotte. Cependant, comme le souligne la CNIL en sa qualité d’autorité chargée de surveiller le respect de la règlementation, les lignes directrices développées dans ce pack de conformité constituent la « grille d’analyse utilisée par la CNIL pour apprécier d’éventuels manquements à la loi » (p. 3). Ne pas suivre cette grille d’analyse sans raison valable engendre donc un risque en cas de contrôle de la CNIL qui pourrait retenir, voire sanctionner, des manquements à la règlementation. En cas de contentieux visant à contester une telle décision de la CNIL, il faut aussi relever que les interprétations de la CNIL sont souvent suivies par les juges.

Quelles seront les conséquences pour les flottes suite à l’entrée en vigueur du règlement général de protection des données ? Quelles évolutions sont à attendre ?

Le RGPD vise à responsabiliser les acteurs privés et publics traitant des données personnelles. Plusieurs nouvelles obligations sont introduites : par exemple l’obligation de tenir un ou plusieurs registres recensant les traitements de données mis en œuvre au sein de l’entreprise, celle de désigner dans certains cas un délégué à la protection des données (dit DPO selon son acronyme anglais), celle de réaliser des analyses d’impact sur la vie privée des personnes concernées pour certains traitements de données, celle relative à la notification des failles de sécurité aux autorités de contrôle dans certains cas et parfois aux personnes concernées, etc. En outre, les responsables de traitement devront documenter de nombreuses prises de décision et actions afin de pouvoir démontrer leur conformité au règlement dans le cadre de l’obligation dite d’accountability.

D’autres obligations déjà existantes sont par ailleurs modifiées. C’est le cas de l’obligation d’information des personnes concernées (de nouvelles informations doivent être communiquées) ou encore des obligations relatives aux personnes traitant des données pour le compte des responsables tels que les hébergeurs (de nouvelles mentions obligatoires devront notamment figurer dans les contrats avec ces sous-traitants).

Compte tenu de ces évolutions, il est aujourd’hui important pour les gestionnaires de flotte comme pour les entreprises d’auditer leur organisation interne et leurs traitements existants afin d’identifier les mesures à prendre pour mettre ceux-ci en conformité d’ici mai 2018 et d’anticiper le futur.

Dossier - Données : les recommandations de la CNIL pour les véhicules connectés