K2000 et les données personnelles: Focus sur le pack de conformité de la CNIL sur la voiture connectée

Ce document a vocation à guider les opérateurs dans le secteur automobile afin que les conditions de collecte et de traitement des données personnelles soient en conformité avec Loi Informatique et Libertés, ainsi que le Règlement 2016/679 du 27 avril 2016 (« RGPD »).

La CNIL a récemment rendu public un pack de conformité sur le thème « Véhicules connectés et données personnelles ».

La CNIL invite les acteurs du secteur à intégrer dès à présent le principe de « privacy by design » dans la mise en place de solutions technologiques dans le secteur automobile, et de s’assurer que leurs systèmes sont transparents et permettent que leurs utilisateurs puissent contrôler leurs données.

La CNIL distingue trois types de scénarios de traitements de données par l’intermédiaire d’une voiture connectée :

  • Scénario 1 : « IN=>IN » : les données sont collectées à bord du véhicule sans transmission à un fournisseur de services (exemple : solution d’éco-conduite).
  • Scénario 2 « IN=>OUT » : les données sont collectées dans le véhicule et sont transmises à un fournisseur de services sans déclencher à distance d’action automatique dans le véhicule (exemples : statistiques pour amélioration du produit, études d’accidentologie contrat d’assurance « Pay as you drive », géolocalisation en cas de vol).
  • Scénario 3 « IN=>OUT=>IN » : les données sont collectées dans le véhicule et sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule (exemples : maintenant à distance, amélioration de l’expérience de conduite).

Qu’est-ce qu’une voiture connectée ?

Les véhicules connectés sont définis par le pack de conformité comme « les véhicules qui communiquent avec l’extérieur (applications mobiles, autres véhicules, infrastructure etc.) »

Ainsi les données traitées par exemple pour commander l’ouverture automatique du garage, géolocaliser une station-service, et à terme pour la conduite d’une voiture autonome sont concernées par le pack de conformité.

Le pack de conformité n’a vocation à s’appliquer que pour les véhicules à usage privé – à l’exclusion des véhicules de fonction mis à disposition des salariés. Pour ces véhicules, il conviendra de se référer notamment aux normes simplifiées établis par la CNIL sur le traitement des données des salariés (en particulier la norme simplifiée n°51 sur la géolocalisation des véhicules utilisés par les salariés).

Quelles données sont concernées ?

Toutes les données concernant une personne physique se trouvant dans le véhicule, qu’elle soit conductrice, titulaire de la carte grise ou simple passagère.

Les données directement comme indirectement identifiantes rentrent dans le champ du pack de conformité. La CNIL précise que les données suivantes peuvent rentrer dans ce champ :

  • les données « client » (nom, prénom, adresse, numéros de téléphone, courriel, etc.)
  • le numéro de série du véhicule ou tout identifiant unique du véhicule ou d’une pièce (par exemple, le numéro de la plaque d’immatriculation)
  • les données de géolocalisation
  • les données techniques liées à l’état du véhicule et des pièces
  • les données biométriques du conducteur, et
  • les données liées à l’utilisation du véhicule par le conducteur ou les occupants (par exemple, les données relatives au style de conduite, au kilométrage, à la vie à bord, etc.).

La CNIL rappelle que certaines de ces données peuvent être indirectement identifiantes dans la mesure où, seules ou combinées entre elles, elles sont susceptibles d’être rattachées à une personne physique, notamment via le numéro de série du véhicule et le numéro de la plaque d’immatriculation.

La CNIL ajoute que : « Pour déterminer le mécanisme à mettre en place pour obtenir des données anonymes, le responsable de traitement doit s’interroger quant à la possibilité de ré- identifier les personnes à partir des données obtenues. » (page 5)

Qui est le responsable de traitement ?

La CNIL se réfère à la définition du responsable de traitement, i.e. la personne qui détermine la finalité ou les moyens de traitement. Elle donne l’exemple du « fournisseur de services qui traite les données du véhicule pour adresser au conducteur des messages d’info-trafic, d’éco-conduite ou des alertes sur le fonctionnement du véhicule. » (page 6)

Quelle finalité pour le traitement de données ?

La CNIL rappelle l’exigence d’un traitement de données pour un « usage déterminé, explicite et légitime » ainsi que prévu par le RGPD et la Loi Informatique et Libertés.

Ce point est l’occasion pour elle d’évoquer la transmission de données aux assureurs : « un garagiste ne saurait vendre aux assureurs les données techniques du véhicule pour leur permettre d’en déduire les profils de conduite de leurs assurés. » (page 9)

Les conditions de collecte et de conservation doivent ainsi être pensées en adéquation avec la finalité poursuivie.

Sur ce point, la CNIL insiste sur le principe de minimisation des données, et la nécessaire proportionnalité entre les données traitées et la finalité poursuivie : « un responsable de traitement ne saurait traiter en continu la localisation précise et détaillée du véhicule pour une finalité de maintenance technique ou d’optimisation de modèles. » (page 10)

De même, la durée de conservation des données doit être limitée et en adéquation avec la finalité poursuivie. La CNIL précise à cet égard : « un responsable de traitement ne saurait conserver sans limitation de durée les données techniques de véhicules identifiés (notamment par le biais du numéro de série) à des fins d’amélioration du produit, sauf anonymisation des données » (page 10).

Et la sécurité des données ?

La CNIL insiste sur la nécessité de mettre en place des mesures de protection des données, et en particulier afin de sécuriser l’authentification, la transmission des données (exigence d’un chiffrement des canaux de communication, cloisonnement des domaines et sous-domaines participant au traitement), mais aussi de détection des intrusions (incluant un mode dégradé en cas d’attaque).

La CNIL recommande de privilégier le traitement de données en local (scénario IN => IN) et de limiter la transmission de données à l’extérieur du véhicule, ce qui entraîne pour le responsable de traitement des obligations alléguées en termes d’exigences de sécurité.

Comment délivrer l’information aux personnes concernées par le traitement de données ?

La CNIL évoque plusieurs supports selon le type de traitement de données applicable à la voiture connectée afin de délivrer l’information adéquate aux personnes concernées sur les conditions de traitements de leurs données et d’exercice de leurs droits. Elle indique que cette information pourrait être délivrée dans :

  • le contrat de vente du véhicule ou de prestation de services, sous réserve que les clauses soient « concises et aisément compréhensibles » (page 13)
  • le carnet d’entretien ou le manuel du véhicule
  • sur le tableau de bord du véhicule, et
  • sur le recours à des icônes normalisées à l’intérieur du véhicule. La création de ce type d’icônes est un thème qui est en cours d’exploration par CNIL dans le cadre de la consultation publique sur la transparence de l’information en vue de l’entrée en application du RGPD.

Précisions apportées sur le droit à la portabilité

La CNIL précise les données qui rentreront dans le champ de ce nouveau droit introduit par le RGPD, et applicable pour les traitements de données fondés sur le consentement de la personne concernée ou sur l’exécution d’un contrat passé par elle (Article 20.1 du RGPD).

La CNIL indique que seront concernées par le droit à la portabilité : les données fournies par la personne concernée au responsable de traitement (par exemple par le biais d’un formulaire ou d’un système de navigation), ainsi les données générées par l’activité du conducteur (historique de trajets, données relatives au style de conduite, etc.).

Le droit à la portabilité ne pourra cependant trouver à s’exercer sur des données qui n’ont pas été fournies par l’usager, ou sur les données inférées par le responsable de traitement à partir des données fournies par la personne (la CNIL donne à titre d’exemple le score relatif à la conduite, ou la note d’éco-conduite).

La CNIL précise que l’exercice du droit à la portabilité dans ce cas n’a pas vocation à faire échec aux dispositions du règlement 715/2007 du 20 juin 2007 relatif à la réception des véhicules à moteur au regard des émissions des véhicules particuliers et utilitaires légers qui prévoit en son article 7 que « Les constructeurs peuvent facturer des frais raisonnables et proportionnés pour l'accès aux informations sur la réparation et l'entretien des véhicules couvertes par le présent règlement […]»

Conclusion

Le pack de conformité constitue une source d’information particulièrement éclairante, en particulier quant à l’articulation de la Loi Informatique et Libertés et du RGPD pour la mise en place de traitements de données dans des solutions digitales innovantes telles les voitures connectées. La CNIL adopte ici une approche pédagogique du sujet, en particulier grâce à l’étude pratique de différents scénarios d’échanges de données par l’intermédiaire d’une voiture connectée.

Ce document (ainsi que toutes les informations accessibles via les liens présents dans ce document) est fourni uniquement à titre informatif et ne constitue en aucun cas un conseil juridique. Des conseils juridiques professionnels sont nécessaires avant une quelque action résultant du contenu de ce document.