RGPD & CNIL : Les données personnelles de véhicules connectés

27 Nov 2017

 

RGPD et CNIL - Données personnelles et Data - Véhicules connectés et objets connectés - Voitures autonomes

RGPD et CNIL – Données personnelles et Data – Véhicules connectés et objets connectés – Voitures autonomes

Véhicules connectés. Le Règlement européen sur la protection des données – RGPD, produit déjà des effets avant même son entrée en vigueur officielle prévue pour le 25 mai 2018.

A l’origine de plusieurs « pack de conformité » déjà publiés dans les domaines des compteurs communicants, le logement social ou encore l’assurance, la CNIL a poursuivi son travail d’information et préparation des professionnels visant cette fois le secteur automobile grâce au pack de conformité sectoriel intitulé « véhicules connectés et données personnelles », visant les interactions des véhicules modernes avec l’extérieur – applications mobiles, autres véhicules, infrastructures, etc.

Cette publication intervient dans un contexte particulièrement riche pour le développement des voitures connectés, l’entreprise Huawei ayant annoncé ce mois-ci une coopération avec le constructeur PSA dans le but de développer une plateforme spécialisée baptisée la « Connected Vehicle Modular Platform ».

Un équilibre entre écosystèmes d’innovation et protection des données personnelles

Elaboré avec l’aide de grandes enseignes de l’automobile, autorités publics, organismes d’assurance et de télécoms, le pack vise à accompagner l’innovation durable des professionnels du secteur dans leurs conception de véhicules connectés ou voitures autonomes. Un nombre croissant de données sera collecté via les capteurs des véhicules, les boitiers télématiques et autres applications pouvant être traitées à bord des véhicules ou exportées vers un serveur centralisé.

Nom du conducteur, détail des trajets effectués, données d’usage du véhicule ou d’usure des pièces sont autant de données déjà stockées par les automobiles modernes.

Le document insiste ainsi sur les principes clés à respecter au regard de la LCEN et le RGPD :

  • L’autodétermination informationnelle, l’obligation de disposer d’une base légale pour les traitements mis en œuvre,
  • la loyauté et la finalité de la collecte,
  • la proportionnalité, la limitation de la durée de conservation, et la sécurité des données,

Sont également rappelés la nécessité d’information des personnes, de formalités préalables à ma lise en place d’un traitement, la limitation du traitement, la portabilité, le droit à l’oubli – modification et rectification des données selon le caractère de données directement ou indirectement identifiantes.

Véhicules connectés & Pack de conformité : CNIL & données personnelles

Distinguant trois scenarii rencontrés par les professionnels du secteur, le pack propose des lignes directrices permettant pour chaque type de traitement identifié d’en préciser en conformité avec le RGPD les finalités, catégories de données collectées, leurs durées de conservation, les droits des personnes, les mesures de sécurité à mettre en place et les destinataires des informations.

Le « In In » vise les données collectées par le véhicule restant sous la maitrise unique de l’usager et non transmises à l’extérieur.

  • Eco-conduite
  • Détection du franchissement de lignes blanches
  • Alerte de risque de collision

Particulièrement protecteur des données en évitant leur transfert, les outils numériques fonctionnant sur ce modèle limitent les risques de piratage et les formalités préalables auprès de la CNIL tout en garantissant à l’usager une mainmise sur l’exportation des données.

 

Le « In Out » concerne les données du véhicule transmis au fournisseur de service sans déclencher à distance d’action automatique dans le véhicule.

  • Assurance personnalisée
  • Assistance dépannage
  • Appel d’urgence

Optimisation de modèles, études d’accidentologie, exploitation commerciale des données des véhicules connectés, e-call ou encore lutte contre le vol, la CNIL envisage l’obligation pour le fournisseur du consentement expresse lors du contrat de prestation qui devra être distinct du contrat de vente du véhicule ainsi qu’une liberté d’activer ou désactiver par l’utilisateur des services.

Enfin, le « In Out In » permet la transmission des données du véhicule au fournisseur de services pour déclencher à distance, parfois par anticipation, une action automatique dans le véhicule. Sont concernées les situations impliquant une puissance de calcul insuffisante dans le véhicule ou nécessitant l’utilisation de données complémentaires, extérieures au véhicule.

  • Info-trafic dynamique
  • Message d’anticipation
  • Maintenance à distance

 

RGPD & CNIL : Les obligations des acteurs des véhicules connectés

Dans cette situation, la CNIL préconise un certain nombre de mesures de sécurité par exemple le cloisonnement des fonctions vitales du véhicule de celles connectées en continue à internet et toutes les garanties ou encore l’utilisation de fréquences sécurisées spécifiquement dédiées au transport.

La CNIL rappelle enfin que le document sera sujet à des modifications prenant en compte l’évolution des technologies et des usages professionnels, tout en garantissant son analyse sur les systèmes déjà exploités.