Où partent les données des voitures connectées ?

En février 2024, Gina Raimondo, secrétaire américaine au Commerce, n’y est pas allée avec le dos de la cuillère. "Les voitures électriques chinoises permettent de collecter une énorme quantité de données sur les conducteurs", a‑t‑elle déclaré.

En pleine guerre commerciale avec la Chine, les Américains sortent l’artillerie lourde, évoquant même un risque pour la sécurité nationale. Après une enquête de près de huit mois sur les dangers que peuvent représenter les véhicules connectés chinois, la Maison-Blanche a tout bonnement interdit la circulation des véhicules connectés équipés de matériels et de logiciels chinois dès 2027.

Outre‑Atlantique, on aime souvent voir la paille dans l’œil de son voisin. Car jusqu’en 2020, Tesla, notamment, était accusé à son tour par l’Union européenne de transférer toutes les données des utilisateurs de ses véhicules sur le sol américain. Celles-ci pourraient tomber aux mains des services de renseignements.

A lire aussi : Les données personnelles à l'épreuve de la voiture connectée

Entre 2020 et 2023, un arrêt de la Cour de justice européenne (arrêt Schrems II) interdit tout transfert de données. En pleine négociation pour sécuriser son approvisionnement en gaz, l’Union européenne fait marche arrière. Le 10 juillet 2023, elle accepte que les informations collectées quittent le continent.

Des données comme s’il en pleuvait

En 2025, 70 % du parc sera composé de véhicules connectés en France. Ce sera 95 % en 2035. Cet enjeu de l’utilisation de la donnée se fait de plus en plus pressant. "Aujourd’hui, plus un seul véhicule n’est commercialisé sans données connectées. Même Dacia est concernée", fait remarquer Bertrand de La Villéon, partner chez Eurogroup Consulting.

Géolocalisation du véhicule, captation d’images dans et autour de ce dernier, consommation moyenne, pression des pneus, recharge de la batterie d’un VE... Le cabinet KPMG estime que le volume total des données générées au niveau mondial par les véhicules connectés durant la conduite était de l’ordre de 87 zettaoctets en 2021, soit 87 000 milliards de gigaoctets.

A lire aussi : L'intérêt pour la donnée des véhicules connectés ne se dément pas

Un véhicule connecté génère en moyenne un volume de données de 25 gigaoctets par heure d’usage. Une énorme pièce montée de données, estimée à 300 milliards de dollars, qui faisait rêver les constructeurs automobiles il y a encore quelques mois. Mais ce rêve tarde à se réaliser. Lors de la présentation du plan DareForward, Carlos Tavares, patron de Stellantis, estimait les revenus issus de la vente de services à 20 milliards d’euros à l’horizon 2030.

Mais, par exemple, chez BMW, le taux de souscription des options payantes est inférieur à 1 % des acheteurs. "Les business models sont encore incertains, reconnaît Bertrand de La Villéon. Le potentiel économique des véhicules connectés reste assez faible, y compris avec des options qui peuvent être levées en fonction des besoins des clients. Le risque est que le consommateur accepte difficilement de payer des suppléments."

Le RGPD veille en Europe

D’autant que l’accès à ces données est sévèrement réglementé, tout au moins en Europe. Le RGPD (Règlement général sur la protection des données), entré en application dans l’Union européenne en 2018, veille au grain. Chaque collecte d’informations ou de data doit faire l’objet d’un consentement au préalable. Et les constructeurs ne peuvent utiliser ces données que dans le cadre d’un service à proposer.

Le "route planner" ou e‑Routes chez Stellantis est l’exemple parfait de la collecte des données au service des consommateurs. Le logiciel récupère en temps réel les informations du véhicule pendant son trajet et adapte les arrêts aux bornes de recharge pour que l’automobiliste d’un VE puisse charger sa batterie de manière optimale et arriver à bon port. Encore faut‑il que le conducteur accepte de partager ses informations.

"Toute la difficulté est de pouvoir récolter ce consentement du propriétaire du véhicule, mais aussi de chaque personne qui pourrait tenir le volant", complète Luc Meslin, directeur chez Eurogroup Consulting.

Car la donnée personnelle appartient à toute personne qui se trouve derrière le volant. Et non uniquement au propriétaire du véhicule. Dès l’achat d’un modèle connecté, le consentement de l’automobiliste est demandé via l’écran multimédia.

De manière générale, à la question : "Voulez‑vous partager vos données ?", 70 % des conducteurs acceptent, selon le cabinet d’étude. Mais comme dans tout contrat, il faut plonger dans les petites lignes.

Si les constructeurs occidentaux se trouvent dans l’œil du cyclone ou plutôt de l’EDPB (European Data Protection Board), soit la communauté des Cnil de l’Union, qu’en est‑il des constructeurs chinois ?

Un transfert des données en Chine

La collecte des consentements s’effectue de la même manière quelle que soit la nationalité des véhicules. Toute la question est de savoir où partent les données une fois collectées. Toutes les marques chinoises mettent en avant sur leur site la protection et le respect du règlement RGPD. Mais certaines les transfèrent en Chine où plus aucun contrôle ne peut être effectué. Aucun accord sur le sujet n’existe entre la Chine et le reste de l’Europe.

"La seule possibilité de transférer des données en Chine serait de faire signer des clauses contractuelles qui prouveraient comment elles sont sécurisées pour respecter le RGPD", reconnaît Luc Meslin. "Mais l’EDPB a réalisé un rapport dont la conclusion est que le système juridique chinois n’offre pas de garanties suffisantes et comparables à celles que l’on trouve sur le sol européen."

A lire aussi : RGPD, cet avenant qui inquiète la distribution automobile

Le gouvernement chinois impose d’ailleurs la collecte de données sur les véhicules électrifiés. Ces données sont recueillies en temps réel. Officiellement, il s'agit d’améliorer la sécurité publique.

Avant même l’achat, des plateformes telles que WeChat Pay ou encore Alipay (qui servent également de moyens de paiement) collectent et enregistrent les données des consommateurs. Celles‑ci peuvent même être envoyées aux concessionnaires. Un excellent moyen de connaître toutes les informations concernant le futur acheteur (âge, situation familiale, enfants, animaux de compagnie, loisirs...)

Comment sont protégées les données des consommateurs en Europe ?

Le RGPD et la directive ePrivacy (également connue sous le nom de loi Cookies) sont les lois européennes les plus importantes dans le domaine de la confidentialité et de la protection des données personnelles. En vigueur depuis 2002, la directive ePrivacy a mis en place des lignes directrices en matière de vie privée sur Internet, s’appliquant entre autres aux traqueurs (comme les cookies sur Internet) et à l’envoi de communications à des fins marketing.

De son côté, le RGPD (Règlement général sur la protection des données) est entré en vigueur en 2018. Le texte précise comment les données personnelles doivent être traitées légalement. Sans oublier la manière dont elles sont collectées, utilisées, protégées ou comment interagir avec elles en général. Alors que le RGPD ne s’applique qu’au traitement des données personnelles, la directive ePrivacy réglemente la communication électronique, même si elle concerne des données non personnelles. De même, en cas de cookies, c’est généralement la directive ePrivacy qui prime.

Elle exige le consentement éclairé des utilisateurs avant de stocker des cookies sur leur appareil et/ou de les suivre. Cela signifie que si un site (ou une application ou tout service) utilise des cookies, une bannière doit permettre à l’utilisateur de donner son consentement. Avant le consentement, aucun cookie – à l’exception de ceux exemptés – ne peut être installé.