La CNIL a publié le 17 octobre 2017, le pack conformité intitulé « Véhicules connectés et données personnelles ».
Ce document a pour objectif d’aiguiller les professionnels de ce secteur en posant les règles générales de traitement des données (nature des données pouvant être collectées, base légale, durée de conservation, destinataires, information des personnes concernées, mesures de sécurité).
Selon la CNIL, il s’agit d’un « référentiel sectoriel » permettant aux professionnels « de se mettre en conformité avec le règlement européen sur la protection des données, applicable à partir du 25 mai 2018. »
La CNIL distingue trois situations, en fonction de l’accès ou non, par le fournisseur du service, aux données personnelles.
La première situation, qualifiée de « IN – IN », est celle dans laquelle les données collectées dans le véhicule restent sous la maîtrise de l’unique usager et ne sont aucunement transmises au fournisseur de services (il s’agit du cas où les données collectées sont traitées à l’intérieur du véhicule uniquement. Ex : conseil de sécurité routière, maintenance préventive, assistance à la conduite et même démarrage grâce aux données biométriques du conducteur). Cette situation, si elle présente l’avantage de s’affranchir de la législation et de la réglementation sur les données personnelles, ne concerne toutefois que des cas limités.
A l’instar des entreprises, la CNIL s’intéresse surtout aux hypothèses où les données sont transmises au fournisseur du service.
Le régime sera différent selon que les données traitées entrainent une action automatique dans le véhicule (II) ou n’entrainent aucune action (I).
- Scénario « IN – OUT » : Les données sont transmises au fournisseur du service mais n’entrainent pas d’action automatique à distance dans le véhicule
La CNIL considère que ce scénario vise la fourniture d’un service à valeur ajoutée ou l’amélioration des produits de l’entreprise. Elle distingue cinq finalités (non exhaustives) :
- Finalité n°1 : Optimisation de modèles et amélioration des produits
La CNIL admet que le fournisseur de services ou le constructeur établisse des statistiques sur les paramètres de fonctionnement du véhicule ou l’état d’usure des pièces, sur la base des données d’usage[1] de la personne concernée.
A cet égard, la CNIL demande une pseudonymisation des données et interdit le traitement de données de géolocalisation. Les données collectées ne peuvent être conservées que 3 ans.
- Finalité n°2 : Etude d’accidentologie: l’automobiliste accepte de participer à une ou plusieurs études visant à mieux comprendre les causes des accidents de la route
Le consentement exprès et éclairé du conducteur est requis, au moyen par exemple de la signature d’un formulaire d’accord de participation à l’étude.
La CNIL impose que les recherches aient un caractère scientifique. Ainsi, les projets de R&D purement marketing ou commercial ne pourront pas entrer dans cette catégorie des études scientifiques d’accidentologie.
Ces recherches en matière d’accidentologie justifient la collecte de la vitesse instantanée, même par les personnes morales ne gérant pas de mission de service public. Néanmoins, cette collecte ne doit pas servir à déterminer l’existence d’une infraction. Les données relatives à la vitesse devront en outre être pseudonymisées et être stockées dans des bases chiffrées.
Concernant les données de localisation, la CNIL estime pertinent de ne conserver que les enregistrements des 45 secondes précédant l’événement et des 15 secondes après l’événement.
- Finalité n°3 : Exploitation commerciale des données du véhicule : la personne concernée contracte avec un fournisseur de services aux fins d’obtenir des services à valeur ajoutée relatifs à son véhicule (« Pay as you drive »[2] ou assistance dépannage)
Concernant les données de localisation, la CNIL estime qu’elles ne peuvent pas être collectées en continu mais uniquement lorsque le client a activé le service. Ainsi, la mise en place du service dépannage ne permettra la collecte des données qu’à partir du moment où l’automobiliste a demandé une intervention. Concernant la tarification d’une prime d’assurance, il ne semble pas vraiment possible de laisser le client choisir les moments où il active le service, sauf à fausser complètement le concept.
Les données d’usage nécessaires à la réalisation de la finalité n°3 (exploitation commerciale des données du véhicule), bénéficient d’un traitement particulier, étant donné que la CNIL recommande à leur égard, et dans la mesure du possible, un traitement directement dans le véhicule, afin que le fournisseur de service n’accède pas aux données brutes détaillées mais aux données de résultats (ex : le score).
La CNIL ne se prononce pas précisément sur la durée de conservation des données d’usage : « ces données doivent être conservées pendant une durée limitée sous forme détaillée, puis doivent être agrégées pour le reste de la durée du contrat. »
- Finalité n°4 : E-Call, qui permet en cas d’accident, le déclenchement automatique d’un appel vers le 112
Afin de prévenir tout abus, la Commission précise que seules les trois dernières positions peuvent être conservées, comme moyen strictement nécessaire à la détermination de la localisation du véhicule et à sa direction.
Concernant l’information des personnes, le règlement UE 2015/758 du 29 avril 2015 prévoit que ces informations doivent être fournies dans un manuel séparément de celles relatives aux systèmes d’ « eCall » pris en charge par des services tiers, et ce avant que le système ne soit utilisé.
Concernant les mesures de sécurité des données à mettre en place au niveau des infrastructures externes au véhicule, le fournisseur de services devra mener une étude d’impact (étude des risques engendrés par le traitement afin de déterminer les mesures nécessaires à la protection de la vie privée des personnes).
- Finalité n°5 : Lutte contre le vol : les données de localisation sont transmises aux autorités
Les données de localisation collectées à l’occasion de l’activation du service ne peuvent être conservées que le temps de l’instruction du dossier ou jusqu’à l’issue de la procédure permettant de conclure que le véhicule n’a pas été volé.
Pour toutes ces finalités, la CNIL rappelle fermement que les données de géolocalisation sont particulièrement révélatrices de la vie privée et de l’intimité des personnes – du fait des déductions possibles résultant de la fréquentation de certains lieux – en matière de loisirs, religion, orientation sexuelle ou autre. La CNIL demande aux responsables de traitements de se limiter aux strictes nécessités imposées par leur traitement.
Ainsi, lorsque le traitement impose la détection du mouvement du véhicule, l’accéléromètre et le gyromètre sont suffisants et justifient de ne pas collecter les données de localisation.
Lorsque les données de localisation sont nécessaires au traitement, la CNIL rappelle que la collecte de ces données est subordonnée :
- Au recueil d’un consentement spécifique, distinct de celui obtenu à l’égard des conditions générales de vente ou d’utilisation, notamment, sur l’ordinateur de bord ;
- A un paramétrage de la précision de la géolocalisation proportionnée à la finalité du traitement;
- A la possibilité de désactivation à tout moment de la géolocalisation ;
- A une activation automatique de la géolocalisation uniquement lorsqu’est lancée par l’usager une fonctionnalité qui nécessite la localisation ;
- A l’information de l’usager de cette activation ;
- A une information précise sur les finalités du traitement ;
- A la définition d’une durée de conservation limitée.
La CNIL impose également un consentement spécifique sous forme de case à cocher si les données doivent être transmises à un partenaire commercial.
2. Scénario « IN – OUT – IN » : Les données sont transmises au fournisseur du service et cette transmission entrainent une action automatique à distance dans le véhicule
Dans ce type de scénario qui vise à créer une action automatique à distance dans le véhicule, la CNIL considère qu’il existe deux types de finalités :
1/ Maintenance à distance, le but étant pour l’automobiliste, de recevoir des messages et autres alertes concernant l’état de fonctionnement du véhicule ainsi que des mises à jour techniques,
2/ Amélioration de l’expérience de conduite, permettant à la personne concernée de bénéficier de services (sur le trafic, l’écoconduite…) aux fins d’adapter sa conduite.
Pour la finalité n°1, la CNIL refuse le traitement de données de géolocalisation précises et détaillées. A contrario, une position moins précise (à l’échelle du quartier ou de la ville par exemple) pourrait être collectée mais cela semble difficilement conciliable avec la finalité poursuivie.
Les durées de conservation des données d’usage font l’objet d’un régime différencié en fonction de la finalité poursuivie : ainsi si pour la finalité n° 2 (amélioration de l’expérience de conduite) elles doivent être conservées pendant une durée limitée sous forme détaillée avant d’être agrégées pour le reste de la durée d’exécution du contrat, celles collectées pour la réalisation de la finalité n°1 (maintenance à distance), peuvent être conservées pendant toute la durée de vie du véhicule.
En matière de sécurité, la CNIL impose, pour tous ces scénarios, différentes mesures de chiffrement, dont les coûts sont bien évidemment à la charge du responsable de traitement et incite fortement ceux-ci à réaliser des études d’impact.
***
Par ce pack de conformité, la CNIL a enfin acté la course à laquelle ont pris part de nombreux acteurs économiques (constructeurs, assureurs, entreprises de télécommunication…) motivés par des enjeux financiers considérables, mais aussi par des possibilités d’innovation démultipliées en matière de confort et de sécurité.
Néanmoins, les droits des personnes, et le « privacy by design » doit primer. La majorité des indications données par la CNIL dans ce pack impose une réelle prudence notamment en matière de données d’usage, puisque ces données relèvent de la notion de « profilage » au sens du RGPD. Une bonne interprétation de ces indications est donc indispensable pour éviter tout risque de non-conformité.
Charlotte GALICHET
[1] Trajets effectués, style de conduite etc.
[2] Option en matière de contrats d’assurance permettant d’adapter la tarification au comportement de conduite