La Cnil publie son pack de conformité pour les véhicules connectés

Le mot d’ordre de la Commission nationale informatique et liberté (Cnil) est sans ambiguïté : quel que soit le schéma d’évolution du véhicule connecté, l’automobiliste doit rester propriétaire de ses données personnelles. Le pack de conformité, publié ce 17 octobre 2017 par cette instance, définit clairement le terrain de jeu des professionnels du secteur automobile dans le cadre de la protection des données personnelles avec les véhicules connectés. De manière schématique, la Cnil reste fidèle à sa position historique : assurer la transparence et le contrôle par les personnes de leurs données. Une telle démarche conditionne, selon elle, la confiance des utilisateurs et le développement pérenne de ces technologies. 

Quelles sont les données ?

Dans son pack, la Cnil rappelle quelques principes élémentaires. Notamment que plusieurs catégories de données seraient concernées par le réglement :  les données "client" (nom, prénom, adresse, numéros de téléphone, courriel, etc.), le numéro de série du véhicule ou tout identifiant unique du véhicule ou d’une pièce (par exemple, le numéro de la plaque d’immatriculation), les données de géolocalisation, les données techniques liées à l’état du véhicule et des pièces, les données biométriques du conducteur, les données liées à l’utilisation du véhicule par le conducteur ou les occupants (par exemple, les données relatives au style de conduite, au kilométrage, à la vie à bord, etc.). 

En parallèle, trois scenarii ont été rédigés dans le cadre du développement du véhicule connecté. Ces trois hypothèses de travail correspondent aux cas rencontrés par les professionnels de l'automobile. Ces lignes directrices permettent, pour chaque type de traitement identifié, de préciser leurs finalités, les catégories de données collectées, leurs durées de conservation, les droits des personnes, les mesures de sécurité à mettre en place et les destinataires des informations.

1. Scenario IN-IN. Dans ce premier cas, les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services. ce sont essentiellement les informations d'éco-conduite apportées par le véhicule au conducteur au moment même du déplacement du véhicule. 
2. Scenario IN-OUT. Les données collectées à l'intérieur du véhicule sont transmises à l'extérieur pour fournir un service au conducteur. C'est le cas notamment du Pay as you drive dans l'assurance.
3. Scenario IN-OUT-IN. Les données collectées dans le véhicules sont transmises à l'extérieur pour déclencher une action automatique à l'intérieur. il s'agit par exemple du nouveau calcul d'itinéraire suite à des embouteillages par l'infotrafic.

Pour ces trois hypothèses de travail, la règle unique imposée par la Cnil est simple : des données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé, explicite et légitime. Dans tout autre cas, il s'agirait d'un détournement passible de sanctions administratives ou pénales. la Cnil cite en effet cet exemple : un garagiste ne saurait vendre aux assureurs les données techniques du véhicule pour leur permettre d'en déduire les profils de conduite de leurs assurés.