Avec l’émergence du véhicule connecté, l’industrie automobile est confrontée à de nouveaux enjeux : collecter la masse de données générées par le véhicule connecté, les exploiter et les contrôler, les valoriser.
L’émergence du véhicule connecté fait ainsi naître de nouvelles problématiques juridiques, économiques et stratégiques pour les constructeurs automobiles autour de l’accès, du transfert et du partage des données générées par le véhicule connecté, qui sont une véritable source de valeur.
La proposition de Règlement portant sur le « Data Act » (ci-après le « Data Act ») en cours d’adoption par le Parlement européen, qui établit des règles harmonisées en matière d’accès et d’utilisation équitable des données en vue de créer un marché unique des données, devrait permettre de répondre à certaines de ces problématiques.
Ce Règlement va toutefois en générer de nouvelles pour les acteurs du secteur automobile, qui vont être confrontés à de nouveaux risques.
La libre circulation des données industrielles voulue par le Data Act
1.1 Le projet de Data Act, appelé par certains « le RGPD des données industrielles », vise à supprimer les obstacles à la circulation des données industrielles pour stimuler le développement d’un marché de données concurrentiel, favoriser l’innovation fondée sur les données et rendre les données plus accessibles à tous.
Afin d’atteindre son objectif, le Data Act a pour ambition de règlementer au niveau européen la manière dont les données peuvent être transférées et partagées, essentiellement entre entreprises.
L’axe principal choisi est d’accorder aux clients utilisateurs de nouveaux droits :
- Un droit d’accès aux données générées par l’utilisation de l’objet connecté ;
- Un droit de portabilité renforcé en exigeant une portabilité des données générées par l’utilisation de l’objet connecté vers un tiers destinataire ;
- Une liberté de recourir à des tiers pour la maintenance du produit acheté ou loué en partageant ses données.
1.2 Le principe de la libre circulation des données industrielles s’accompagne bien entendu de règles destinées à protéger les données et leur divulgation et, par ce biais, la compétitivité des entreprises générant ces données par leur produit.
On peut relever à ce titre le principe posé par le projet de Règlement selon lequel la divulgation des données doit se faire dans des conditions équitables, raisonnables, transparentes et non-discriminatoires.
Le projet de Règlement impose également au détenteur de données la mise en place de mesures techniques appropriées de protection des données et prévoit plusieurs interdictions et obligations incombant aux tiers destinataires des données afin de protéger les données et les droits des utilisateurs.
Il rappelle en outre la nécessaire protection du secret de fabrique et bien sûr du secret des affaires, qui fait l’objet de règles spécifiques. Il sera ainsi possible de mettre en place des mesures contractuelles afin que la communication des données ne se fasse pas au détriment du secret des affaires, ce qui va toutefois nécessiter un travail d’analyse et de négociation potentiellement coûteux en temps et en ressources pour les détenteurs des données.
Pour une plus amble présentation du Data Act, nous vous renvoyons à l’article « Le projet de Data Act : innovations et questions posées par le « RGPD des données industrielles« .
La perspective de ces nouvelles règles fait craindre pour les acteurs du secteur automobile l’émergence de nouvelles problématiques en lien avec les données générées par le véhicule connecté.
Les nouvelles problématiques sous-jacentes pour l’industrie automobile
2.1 La modification des modèles économiques entre partenaires
L’instauration d’un accès global et pour tous aux données générées par l’objet connecté, et plus précisément en l’occurrence par le véhicule connecté, va nécessairement constituer un obstacle aux partenariats de type exclusif, dans lesquels un constructeur et un fournisseur de services complémentaires entrent dans une coopération spécifique pour développer un service innovant.
Le risque est que les constructeurs automobiles ne soient plus incités à investir, alors même que les données générées par les véhicules dépendent exclusivement des investissements des constructeurs.
Cet accès global et pour tous risque également d’avoir pour effet de déséquilibrer la chaîne de valeur au profit d’acteurs n’effectuant aucun investissement pour générer les données. En effet, le principe instauré par le projet de Règlement européen est un accès aux données pour tous sans discrimination, ce qui va induire un niveau de prix accessible aussi aux acteurs du secteur valorisant le moins les données, au détriment des constructeurs.
2.2 Le risque industriel et la sauvegarde de la compétitivité
Comment répondre à l’obligation de mise à disposition des données utiles et exploitables générées par les véhicules connectés sans pour autant fragiliser sa compétitivité ?
Ceci va certainement constituer la problématique majeure à laquelle vont être confrontés les constructeurs automobiles français et européens, dès lors qu’ils vont être soumis à une obligation de divulgation de leur patrimoine informationnel, de leur propriété intellectuelle et/ou de leur savoir-faire, au reste du monde, sans qu’une obligation réciproque existe hors Union Européenne.
- D’un côté, les constructeurs vont être contraints de faire des investissements pour permettre l’accès aux données générées par leurs véhicules et faciliter leur partage.
Des investissements financiers et humains vont en effet être nécessaires pour que les constructeurs soient en mesure de donner accès directement ou d’extraire les données et vérifier la qualité des utilisateurs qui réclament l’accès.
Ce qui n’est pas sans soulever des questions très concrètes : s’agira-t-il de vérifier la carte d’identité de la personne qui demande l’accès aux données ? Le certificat d’immatriculation du véhicule ayant généré les données ? Quid si l’utilisateur n’est pas l’acheteur ?
Des investissements importants seront également nécessaires pour mettre les données à disposition de tiers, puisque le Règlement prévoit l’obligation de conclure des accords équitables, raisonnables et non-discriminatoires qu’il va falloir négocier, sans qu’il soit certain de pouvoir solliciter une compensation. En tout état de cause, la mise à disposition de données ne pourra pas être facturée, que ce soit de façon directe ou indirecte, lorsque le destinataire des données sera un consommateur.
- D’un autre côté, les constructeurs vont perdre le contrôle sur la divulgation de leurs données.
Le principal risque identifié est le phénomène d’ingénierie inversée (rétro-engineering), qui consiste à copier un produit sans avoir obtenu les plans, ni les méthodes de fabrication.
Ce risque est forcément accentué par la libre mise à disposition des données stratégiques générées par le véhicule connecté qui résultera de l’entrée en vigueur du Data Act, données auxquelles, jusqu’ici, le public comme les concurrents ne peuvent pas accéder.
Tout l’enjeu va donc être de trouver un équilibre entre le respect des investissements des opérateurs économiques établis et l’innovation des concurrents émergents.
2.3 Le risque en matière de sécurité pour les particuliers
A partir du moment où les données vont circuler, les risques de piratage vont se multiplier :
- Risque d’intrusion électronique dans le système du véhicule notamment via les connexions Bluetooth, wifi ou les unités télématiques ;
- Risque de prise de contrôle à distance du véhicule connecté, que ce soit au niveau du système de freinage, de la direction, de l’accélération, des ceintures de sécurité, des airbags ou encore de la jauge à essence ;
- Risque de récupération illégale des données de l’utilisateur du véhicule, et dans un second temps, d’usurpation d’identité pour réclamer l’accès aux données générées par l’utilisation du véhicule.
Les constructeurs automobiles vont donc devoir faire face à de nouveaux enjeux tant en termes de sécurité des véhicules et des passagers, qu’en termes de protection de la vie privée de leurs clients.
A ce stade, les négociations du projet de Règlement entre le Parlement européen, la Commission et le Conseil (les « trilogues ») sont encore en cours, pour aboutir à une version finale au cours de l’année 2023.
Il n’est en outre pas exclu qu’un règlement spécifique pour les acteurs de la mobilité soit adopté, ce qui aiderait peut-être à régler certaines problématiques spécifique au secteur automobile.
En parallèle, la CNIL a lancé le 1er mars dernier un « Club conformité » dédié aux acteurs du véhicule connecté et de la mobilité avec pour objectif d’aboutir à de pouvoir mettre à dispositions des acteurs du secteur des outils pratiques et opérationnels favorisant une utilisation responsable des données.
