Véhicules connectés et données personnelles : ce qu’il faut savoir
Véhicules connectés : de quelles données personnelles parle-t-on ?
Des données personnelles… Lorsqu’une personne utilise des services en ligne, son activité est associée à des identifiants en ligne (adresses IP, cookies, etc.). Ces données peuvent servir à créer des profils et à identifier les personnes, notamment pour leur proposer des biens et des services.
… dans les véhicules connectés. Ces données personnelles peuvent provenir de l’utilisation d’une voiture connectée. Ces données peuvent notamment concerner :
- les données « client » : nom, prénom, adresse, numéro de téléphone, mail, etc.) ;
- le numéro de série du véhicule ou tout identifiant unique du véhicule ou d’une pièce (par exemple, le numéro de la plaque d’immatriculation) ;
- les données de géolocalisation ;
- les données techniques liées à l’état du véhicule et de ses pièces ;
- les données biométriques du conducteur ;
- les données liées à l’utilisation du véhicule par le conducteur ou les occupants (par exemple, les données relatives au style de conduite, au kilométrage, à la vie à bord, etc.).
Véhicules connectés… à quoi ? Un véhicule connecté est un véhicule qui communique avec des applications mobiles, d’autres véhicules, etc.
Responsabilité de l’entreprise. L’entreprise qui détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel (appelée « responsable du traitement des données ») doit être en mesure de prouver qu’elle a obtenu ce consentement.
Véhicules connectés et données personnelles : 3 scénarii à connaître !
3 scenarii. Les professionnels concernés par la technologie des véhicules connectés (constructeurs, assurances, télécoms, etc.) et la CNIL ont élaboré 3 scenarii qui correspondent aux 3 hypothèses qui peuvent être rencontrées en pratique. Ainsi, chaque professionnel pourra déterminer quelles sont ses obligations en matière de collecte ou de conservation des données personnelles.
Scenario 1 : « In/In ». Dans ce scenario, les données collectées restent sous la maîtrise unique du conducteur et ne sortent pas du véhicule. Les entreprises ne sont normalement pas soumises aux obligations relatives à la protection des données personnelles.
Finalités des données dans le scenario « In/In ». Dans ce scenario, 4 finalités sont notamment recherchées, à savoir :
- l’amélioration de l’expérience de conduite ou de la vie à bord (par exemple, le réglage automatique des sièges en fonction de la taille du conducteur) ;
- l’amélioration de la conduite d’un point de vue « sécurité routière » et maintenance préventive (signal sonore ou vibration en cas de dépassement sans clignotant ou alerte sur l’état des plaquettes de frein) ;
- l’assistance automatisée à la conduite (régulation de vitesse adaptive, stationnement automatique, freinage d’urgence automatique, etc.) ;
- le déverrouillage, démarrage et activation de certaines commandes du véhicule grâce aux données biométriques du conducteur.
Scenario 2 : « In/Out ». Ce scenario couvre les situations dans lesquelles les données collectées sont transmises aux fournisseurs de services. Ici, un service fonctionne à distance mais n’entraîne pas d’action automatique dans le véhicule. Les entreprises doivent ici respecter les obligations relatives à la protection des données personnelles.
Finalités des données dans le scenario « In/Out ». Dans ce scenario, 5 finalités sont notamment recherchées, à savoir :
- l’optimisation de modèles et l’amélioration du produit (un fournisseur établit des statistiques sur les paramètres de fonctionnement du véhicule ou l’état d’usure des pièces) ;
- l’étude d’accidentologie (le conducteur participe à des études d’accidentologie qui visent à mieux comprendre les causes des accidents de la route) ;
- l’exploitation commerciale des données du véhicule (par exemple, un contrat « pay as you drive » peut être proposé par les assureurs) ;
- « l’e-call » (en cas d’accident grave, le véhicule déclenche automatiquement un appel vers le 112) ;
- la lutte contre le vol (en cas de vol, la géolocalisation permet de retrouver le véhicule).
Scenario 3 : « In/Out/In ». Ce scenario couvre les cas dans lesquels les données collectées sont transmises au fournisseur de services qui peut alors déclencher à distance une action automatique dans le véhicule. Les entreprises doivent ici respecter les obligations relatives à la protection des données personnelles.
Finalités des données dans le scenario 3 : « In/Out/In ». Dans ce scenario, 2 finalités sont notamment recherchées, à savoir :
- la maintenance à distance (alerte sur l’usage des freins ou rappel de la date de contrôle technique) ;
- l’amélioration de l’expérience de conduite (infotrafic dynamique avec envoi d’un nouveau parcours suite à un incident de route, par exemple).
Le saviez-vous ?
Pour en savoir plus sur ces scenarii et les obligations qu’ils impliquent, n’hésitez pas à vous rendre le site web www.cnil.fr.
À retenir
La CNIL a publié un pack de conformité « véhicules connectés et données personnelles » qui permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données. Ce pack a identifié 3 scenarii que peuvent rencontrer les professionnels du secteur.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
- www.cnil.fr