Dans le cadre de sa démarche d’accompagnement sectoriel, la CNIL a récemment lancé un « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité.
Le fort développement des véhicules intelligents entraîne en effet de nombreuses implications juridiques, car ces véhicules et les services connectés qui les accompagnent impliquent de nombreuses collectes de données (via des capteurs, GPS, radars, gyromètres, caméras et applications) et leur traitement par différents acteurs du marché (constructeurs, éditeurs de logiciels, distributeurs, mainteneurs, assureurs…).
Comme le rappelle la CNIL, ces données peuvent être utiles en termes d’innovation, de maintenance et de sécurité, mais révèlent également des aspects liés à la vie privée de leurs conducteurs ou passagers (localisation, déplacements, comportement).
Le véhicule connecté est au confluent de nombreuses réglementations (loi d’orientation des mobilités 2019-1428 du 26 décembre 2019, loi climat et résilience 2021-1104 du 22 août 2021, futur Data Act sur les données générées) mais doivent évidemment respecter le RGPD.
Autant dire que les fabricants et exploitants de véhicules connectés sont confrontés à une forêt réglementaire, que la CNIL souhaite les aider à défricher.
Ce « club conformité » est un espace de dialogue avec les professionnels, qui s’inscrit dans la foulée du « pack conformité » publié par la CNIL en 2017 et des Lignes Directrices 01/2020 du Comité Européen de Protection des Données du 9 mars 2021 sur les traitements de données dans le contexte des véhicules connectés.
Le « pack conformité » de la CNIL est un référentiel sectoriel basé sur trois scénarios de traitements de données, selon que les données
(i) restent stockées dans le véhicule sans retransmission (ex : conseils d’éco-conduite affichés au conducteur),
(ii) sont transmises hors du véhicule pour fournir des services complémentaires (ex : assurance facturée au kilomètre, études d’accidentologie, exploitation commerciale des données, ecall en cas d’urgence), ou
(iii) sont transmises hors du véhicule pour déclencher en retour des actions automatiques dudit véhicule (ex : aide à la navigation par géolocalisation, calcul d’un nouvel itinéraire en cas d’obstacle sur le parcours, assistance à la conduite, maintenance à distance, sécurité routière).
Dans chacun des scénarios, la CNIL rappelait que toute donnée liée à la personne via notamment l’immatriculation ou le numéro de série sont soumises au RGPD, et présente les exigences associées notamment en termes :
- de finalités (le traitement est-il lié au démarrage du véhicule par reconnaissance biométrique ? A la sécurité des personnes, à la fluidification du trafic, à l’amélioration de l’expérience de conduite, à l’assistance automatisée, ou encore à l’optimisation de la police d’assurance ?),
- de base légale (le traitement est-il soumis au consentement de la personne ou dépend-il de l’intérêt légitime du responsable de traitement ?),
- d’identification des destinataires des données (il n’y en a pas dans le scénario 1, mais quels sont-ils dans les scénarios 2 et 3 : le seul fournisseur de services ou ses partenaires commerciaux, notamment pour optimiser le véhicule, pour des travaux d’accidentologie, pour proposer des services connexes, pour lutter contre le vol de voitures…),
- de durées de conservation (selon les finalités mais toujours en respectant l’exigence de minimisation),
- d’information circonstanciée des personnes (notamment en cas de profilage du comportement routier), ou encore
- d’exercice de leurs droits sur leurs données personnelles (dont la portabilité des données fournies par la personne ou des données directement issues de son comportement, sans retraitement de déduction tel qu’un score d’éco-conduite).
Le pack conformité aidait à définir qui est le responsable de traitement (ex : le fournisseur de services qui traite les données issues du véhicule pour adresser au conducteur des messages d’info-trafic, d’éco-conduite ou des alertes sur le fonctionnement du véhicule).
Par opposition, les sous-traitants amenés à traiter les données ne pourront le faire que dans le respect des instructions du responsable de traitement et pour son compte.
Le pack conformité posait également l’exigence d’« autodétermination informationnelle », la personne concernée devant maîtriser les paramétrages par défaut de protection de ses données (par activation ou désactivation des traitements fondés sur son consentement tels que la prospection marketing fondée sur sa géolocalisation par exemple).
Le pack conformité rappelait enfin que la sécurité est un élément essentiel dans le déploiement de véhicules connectés et implique, sinon l’anonymisation, en tous cas des mesures de chiffrement des canaux de transfert des données extraites du véhicule, des mesures de gestion des accès et authentification, ou encore un fort cloisonnement des données selon les fonctionnalités qui les utilisent (fonctions vitales du véhicule, fonctions de communication, données susceptibles de révéler des infractions, etc.).
Ce pack conformité, bien qu’antérieur au RGPD, demeure pertinent dans beaucoup de domaines, en particulier pour répertorier les finalités des traitements qu’il est possible de mettre en place sur les données collectées via l’utilisation d’un véhicule connecté. Ce sont cependant, désormais, les Lignes Directrices du CEPD du 9 mars 2021 qui constituent la doctrine actuelle des autorités de protection.
Ces Lignes Directrices ont adopté une approche par le risque, et ont porté l’accent sur cinq grandes catégories de risques que les voitures connectées doivent border :
- la collecte excessive des données personnelles ainsi que leurs réutilisations secondaires,
- l’asymétrie d’information entre le responsable de traitement et la personne concernée par les données,
- la difficulté de recueillir un consentement éclairé de la part de celle-ci, et bien entendu,
- la sécurité des données personnelles traitées.
Les Lignes Directrices du CEPD comportent des recommandations générales liées aux finalités en récapitulant les principales (gestion de la mobilité en fonction notamment du trajet des conditions de conduite), gestion du véhicule lui-même (rappels d’entretien, modalités de conduite, assurances personnalisées), sécurité routière (détection des dangers externes et prévention des collisions, détection des dérives, ecall en cas d’urgence), divertissement (plutôt tournée vers les passagers bien entendu…) ou aide au conducteur (automatisation partielle ou totale du pilotage).
Elles comportent ensuite une liste de préconisations détaillées, liées à la gestion des familles de risques susmentionnées, en portant notamment l’accent sur la qualité de l’information et du consentement requis de l’utilisateur, le principe de minimisation et de proportionnalité des données, ou encore le privacy by design, qui milite pour des traitements localisés et limités le plus possible au véhicule lui-même.
Ces Lignes Directrices comportent en outre des cas d’usage instructifs (traitements de données pour les assurances basées sur l’utilisation du véhicule, pour le service ecall en cas d’accident, pour les études d’accidentologie, ou pour la lutte contre les vols de voiture), en insistant sur les destinataires possibles des données et les bases légales devant s’appliquer à leurs traitements.
Les responsables de traitement (au premier rang desquels les constructeurs et les fournisseurs des services connectés accompagnant ces véhicules) devront donc se plier à l’ensemble des exigences du RGPD, en s’appuyant sur ces Lignes Directrices pour assurer la conformité de leurs traitements et la sécurité des données ainsi collectées.
Au sujet de la sécurité, l’ANSSI a eu l’occasion de rappeler de quelle façon les véhicules pouvaient être piratés voire dérobés par simple détournement des données collectées et a émis des préconisations pour la sécurisation des objets connectés, suite à des exemples de prise en main à distance qui entraînent évidement des risques non seulement pour les données, mais pour l’intégrité physique des personnes elles-mêmes.
Ces règles n’ont pas de valeur normative mais sont bien entendu fortement conseillées pour les fabricants de véhicules connectés.
La CNIL rappelle par ailleurs que le RGPD ne s’applique pas aux données réellement anonymes (données techniques définitivement non rattachables à une personne physique), le fournisseur pouvant alors librement les réexploiter.
Mais attention : ces données seront prochainement soumises aux exigences du Data Act, dont le projet est en cours de discussion ai niveau européen.
Cette réglementation qui vise les « données générées » par les objets connectés et les services liés (qu’elles soient d’ailleurs personnelles ou non identifiantes) prévoit en effet que
(i) le fournisseur doit préciser dans son contrat avec le client les réutilisations qu’il fera lui-même de ces données industrielles (amélioration du service, sécurité), et
(ii) en tant que détenteur de ces données, il doit les mettre à disposition de l’utilisateur ou des tiers (mainteneurs, réparateurs, etc.) dans le cadre d’une nouvelle portabilité censée favoriser l’innovation au sein d’un vaste marché européen de la donnée.
Le Data Act affirme en effet deux nouveaux droits :
(i) un droit d’accès pour l’utilisateur aux données générées par l’utilisation d’un objet connecté, pour renforcer son « expérience utilisateur » ainsi que sa liberté de recourir à des tiers pour la maintenance du produit qu’il a acheté ou loué, et
(ii) un droit pour l’utilisateur d’exiger la portabilité des données générées par son utilisation de l’objet connecté vers un tiers destinataire, qui pourra les réutiliser à son tour pour fournir son propre service à l’utilisateur.
Le Data Act entraine corrélativement une obligation de principe pour les détenteurs de données : « Les fabricants et les concepteurs doivent concevoir les produits de telle manière que les données soient facilement accessibles par défaut, et ils devront faire preuve de transparence quant aux données qui seront accessibles et à la manière d’y accéder ».
La réflexion sur l’accès des utilisateurs aux données générées doit donc désormais intervenir dès la conception des véhicules connectés, selon une notion d’« accessibility by design » comparable au « privacy by design » du RGPD.
Les fournisseurs de véhicules connectés devront donc, outre le strict respect du RGPD, assurer leur conformité au Data Act et à cet égard, renforcer encore l’information due à leurs clients, garantir la portabilité technique des données générées par l’utilisation de leurs véhicules, et mettre ces données à disposition des tiers dans le cadre de contrats à nouer avec ces derniers.
L’innovation que constituent indéniablement les véhicules connectés, et l’ensemble de services de sécurité comme de confort apportés aux conducteurs et leurs passages, implique donc pour les fabricants et éditeurs de services un travail considérable de cartographie des données et de mise en conformité avec les différentes réglementations applicables.
