(Paris, le 31 octobre 2017)
Dans l’épineux dossier qui oppose autour des données des voitures connectées les constructeurs, les assureurs, et les opérateurs, sans oublier les réparateurs, la Commission Nationale Informatique et Libertés a pris position. Elle vient de publier un pack de conformité, qui érige en priorité absolue la protection des données personnelles. Le dossier de 36 pages a été publié sur le site de la Commission. Il fait suite à un travail de longue haleine, puisque la consultation avait été entamée au début de l’année 2016. Un point d’étape avait eu lieu dans le cadre du Mondial de l’Automobile. Et c’est sur un autre salon, Equip Auto, que le rapport final a été présenté le 19 octobre dernier.
Ce que précise le pack, en préambule, c’est qu’il s’applique aux données personnelles collectées via les capteurs des véhicules, les boîtiers télématiques ou les applications mobiles, que les données soient traitées à bord des véhicules ou exportées vers un serveur centralisé. A noter que le pack couvre les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur. La CNIL qualifie de données personnelles tout ce qui peut être relié à un personne physique, soit de façon directe via le numéro de série (VIN) du véhicule, mais aussi d’autres données indirectes comme le détail des trajets, le nombre de km et le style de conduite, et même les données techniques liées à l’usure de pièces, pour peu que des croisements puissent être faits avec une personne.
La loi Informatique et Libertés du 6 janvier 1978 ne s’applique pas quand les données sont anonymes. Si la position et la vitesse d’un véhicule sont remontées pour alimenter un service d’information trafic, sans traitement de données personnelles, il n’y a priori pas de problème. Le pack de conformité de la CNIL vise à mettre en place des garde-fous, de façon à ce qu’un sous-traitant ne soit pas tenté par exemple d’exploiter pour son compte des données. Ainsi, un garagiste ne saurait vendre aux assureurs les données techniques du véhicule pour leur permettre d’en déduire les profils de conduite de leurs assurés.
Concrètement, tout système doit par défaut protéger la vie privée (Privacy by design). C’est-à-dire qu’il doit demander son accord à l’utilisateur pour partager des données, sachant que celui-ci peut à tout instant désactiver la géolocalisation. La CNIL recommande le recours à des icônes normalisées à l’intérieur des véhicules. Le fabricant doit également s’engager sur l’anonymisation (ou pseudonymisation) des données, ainsi que sur une durée de conservation limitée.
Si l’on prend le cas d’une une solution d’éco-conduite qui traite les données dans le véhicule (scénario IN/IN) aux fins d’afficher des conseils en temps réel sur l’ordinateur de bord, la CNIL suggère de traiter localement les données et de ne pas les envoyer à un tiers. Dans le cas d’une transmission de données à un fournisseur de services (maintenance préventive, optimisation technique des véhicules), il ne doit pas y avoir de déclenchement automatique à distance sans le consentement du conducteur.
Sophie Nerbonne, directrice de la conformité à la CNIL, se félicite de ce texte, qui a fait l’objet « de nombreuses discussions avec l’ensemble des professionnels, dont des start-up (Drust et Xee) ». Le texte répond selon elle « aux besoins des professionnels », notamment « pour la maintenance à distance ». « Un réparateur a-t-il besoin d’accéder en continu à des données de localisation précises et fines ?, la réponse est non », a-t-elle notamment déclaré sur le plateau TV d’Equip Auto. La CNIL a posé un principe qui est celui de la « minimisation », qui est celui des données strictement nécessaires, pour que « les consommateurs aient confiance ».
Exprimant le point de vue d’une partie des réparateurs, la FEDA (Fédération des Distributeurs de l’Automobile) a demandé si le pack de conformité tranchait la question de la propriété des données issues du véhicule. « C’est une question qui a été posée, a reconnu Sophie Nerbonne de la CNIL. Mais, contrairement aux Etats-Unis, où il y a un marché pour cela, la question des données relève d’un droit personnel et ne se monétise pas. Cela signifie que les personnes en Europe doivent pouvoir contrôler et maîtriser les données. En revanche, quand cela fait partie d’une législation, comme l’appel d’urgence en 2018, elles ne pourront pas s’y opposer ».
Les travaux vont maintenant continuer avec la CNIL pour faire vivre et évoluer le pack. Celui-ci va être porté au niveau européen, où justement un règlement sur la protection des données s’applique à partir de mai 2018.