FCA (Stellantis) contraint de déverrouiller l’accès aux données de ses véhicules

La justice européenne a tranché. Dans le cadre de l’affaire opposant Carglass et ATU au groupe FCA (Stellantis), la CJUE s’est prononcée, le 5 octobre 2023, en faveur de l’enseigne de réparation de bris de glace et du réseau de centres autos allemand (filiale du groupe Mobivia). Elle a, en effet, jugé que les restrictions spécifiques aux constructeurs concernant l'accès aux systèmes de diagnostic embarqué (OBD) des véhicules sont illégales.

"Secure Gateway" : le point de discorde

Ce jugement constitue une victoire pour les acteurs de la réparation indépendante, que n’a d’ailleurs pas manqué de souligner le Conseil européen du commerce et de la réparation automobile (Cecra) qui y voit un "message fort" de l’Europe.

"Cette décision de la Cour renforce notre position selon laquelle les passerelles de sécurité mises en œuvre sous prétexte de cybersécurité sont injustes et contraires à la législation de l'UE", insiste l’organisation professionnelle.

Au cœur de cette affaire se trouve la question de la subordination, par un constructeur, de l'accès aux informations, aux équipements de diagnostic et au système OBD à certaines conditions et, si oui, lesquelles. Or Stellantis exige, outre l'inscription et la connexion personnelle à un serveur (protocole dit "Secure Gateway"), que le réparateur indépendant souscrive un abonnement payant pour l'utilisation des outils de diagnostic génériques le connectant au serveur. Ces mesures sont, selon le constructeur, nécessaires pour des raisons de cybersécurité.

Pour justifier cette procédure, Stellantis s’appuie sur le règlement ONU 155, qui réglementera la cybersécurité automobile à partir de juillet 2024. Mais selon ATU et Carglass, le règlement d'homologation UE 2018/858 ne prévoit pas de telles conditions.

Les deux réseaux ont, en outre, considéré que les mesures de Stellantis affectaient la compétitivité des réparateurs agréés. C’est la raison pour laquelle ils ont saisi le tribunal régional de Cologne dans le cadre d’une action contre Fiat Chrysler (FCA Italy SpA). L’instance a, en 2022, préféré renvoyer l'affaire devant la CJUE.

Un jugement entériné par le Data Act ?

Tranchant donc en faveur d’ATU et Carglass, la CJUE a rappelé l’obligation, pour les constructeurs automobiles, de "fournir un accès illimité, normalisé et non discriminatoire aux informations du système OBD ainsi qu’à celles sur la réparation et l’entretien des véhicules".

Cette mesure comprend l’obligation de permettre aux opérateurs indépendants de traiter et d’exploiter ces informations sans être soumis à des conditions autres que celles prévues par les textes européens.

Pour le Cecra, cette décision doit désormais être validée, dans le cadre de la réglementation Data Act, par une législation spécifique sectorielle.

"Il n'y a pas de services de qualité et innovants sans un accès égal aux données embarquées ! C'est la raison pour laquelle nous continuons de demander à la Commission européenne de présenter très prochainement la législation spécifique sectorielle tant attendue. Nous continuons de défendre le fait que des pratiques justes et transparentes sont essentielles au sein de l’écosystème automobile afin que les intérêts des consommateurs, ainsi que des concessionnaires et réparateurs, soient dûment pris en compte", indique Bernard Lycke, directeur général du Cecra.

Un discours qui fait écho à celui de Jean-Pierre Filippini, directeur général de Carglass Allemagne, qui espère désormais que les constructeurs se plieront au jugement de la CJUE : "Nous attendons désormais de tous les constructeurs automobiles qu'ils respectent l'interprétation de la loi de la CJUE et mettent immédiatement fin à toutes les restrictions d'accès au port OBD […]".