La CNIL publie le pack de conformité « véhicules connectés et données personnelles ». Il s’agit d’un texte dense et prescriptif. Il porte à la fois sur les obligations au titre de la règlementation française de protection des données personnelles actuelle et sur le RGPD européen.
 
Le pack a été élaboré en concertation avec 21 acteurs publics et privés (acteurs de la filière automobile, assurance et télécom et des autorités publiques).
 
Le pack présente 3 scenarii, avec des finalités de traitement identifiées pour chacun d’entre eux (qui ne sont pas limitatives) :

Scénario n°1 « IN => IN »

Les données collectées dans le véhicule restent dans le véhicule, sans transmission au fournisseur de services.
 
Exemple : une solution d’éco-conduite qui traite les données directement dans le véhicule aux fins d’afficher des conseils d’éco-conduite en temps réel sur l’ordinateur de bord.
 
Finalités identifiées : amélioration de l’expérience de conduite ou de vie à bord (« infotaiment ») ; amélioration de la conduite d’un point de vue « sécurité routière » et maintenance préventive ; assistance automatisée à la conduite ; déverrouillage, démarrage et activation de certaines commandes du véhicule grâce aux données biométriques du conducteur.

Scénario n° 2 « IN => OUT »

Les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service au conducteur ainsi qu’aux passagers.
 
Exemple : contrat de « Pay as you drive » (assurance au kilomètre) souscrit auprès d’une société d’assurance.
 
Finalités identifiées : optimisation des modèles, amélioration du produit ; études d’accidentologie, exploitation commerciale des données du véhicule (voir l’exemple ci-dessus) ; « e-Call » vers le 112 ; lutte contre le vol.

Scénario n° 3 « IN => OUT => IN »

Les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.
 
Exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route.
 
Finalités identifiées : maintenance à distance ; amélioration de l’expérience de conduite (voir exemple ci-dessus).
 
  Ces lignes directrices, pour chaque type de traitement identifié, précisent :

  • leurs finalités,
  • les catégories de données collectées et leurs durées de conservation,
  • les informations devant être fournies aux personnes concernées (et les supports pouvant être utilisés),
  • les droits des personnes (le droit d’objecter pour motif légitime ou non, le droit à l’oubli, le droit à la limitation du traitement, le droit d’accès, le droit à la portabilité),
  • les mesures de sécurité à mettre en place,
  • les destinataires des informations et les formalités auprès de la CNIL .

Le pack met en particulier l’accent sur les points suivants :

  • Sont considérées comme « données personnelles » toutes les données qui peuvent être rattachées à une personne physique identifiée ou identifiable, notamment via le numéro de la plaque d’immatriculation ou le numéro de série du véhicule. Par exemple, les données relatives aux trajets effectués, à l’état d’usage des pièces, aux dates des contrôles techniques, au nombre de kilomètres ou au style de conduite.
  • La nécessité de permettre aux personnes concernées de contrôler leurs données en toute connaissance de cause. De ce fait, les acteurs doivent respecter les principes de transparence et de loyauté de la collecte, qui impliquent, a minima une information des personnes concernées, voire le recueil de leur consentement.
  • La nécessité d’avoir une approche de protection des données dès la conception (« privacy by design »). Elle peut se traduire par la mise en place de tableaux de bord facilement paramétrables, de façon à garantir à l’utilisateur la maîtrise de ses données.
  • La CNIL encourage les acteurs à privilégier le scénario IN => IN, qui implique le traitement des données en local, dans le véhicule, sans transmission vers le fournisseur de services. Il offre de bonnes garanties en matière de protection de la vie privée pour les usagers et entraîne pour les responsables de traitement des obligations allégées.  

La CNIL précise que le pack a vocation à être complété et mis à jour après l’entrée en application du RGDP le 25 mai 2018. La CNIL indique par ailleurs que le pack a également vocation à être porté au niveau européen.  

Le pack est consultable à l’adresse suivante : https://www.cnil.fr/fr/vehicules-connectes-un-pack-de-conformite-pour-une-utilisation-responsable-des-donnees
  Contact : stephanie.faber@squirepb.com