Après plusieurs mois de travaux débutés en mars 2016, le pack « véhicules connectés et données personnelles » publié en octobre dernier par la CNIL constitue une véritable « boite à outil » pour les professionnels du secteur automobile.
L’enjeu du pack de conformité
Grâce à ce référentiel, les professionnels du secteur automobile pourront intégrer la protection des données personnelles de leurs usagers, et dans le même temps, se conformer au Règlement général sur la protection des données (RGPD), qui sera applicable dès le 25 mai 2018.
Elaboré par la CNIL en concertation avec les acteurs tant publics que privés du secteur, ce pack s’applique aux véhicules disposant d’un système de communication avec l’extérieur. Si ce système de communication fournit aux usagers une multitude de nouveaux services, leur mise en place imposent une collecte considérable de données sur le conducteur et son interaction avec l’environnement routier.
Par ce référentiel, la CNIL cherche à sensibiliser les professionnels du secteur sur le caractère personnel de certaines données collectées, pour lesquelles une protection particulière est exigée au titre de la Loi Informatique et Libertés du 6 janvier 1978 et du RGPD.
La collecte de données personnelles
Ce pack intervient dans un objectif de protection, puisque ces collectes de données personnelles, définies comme toutes informations permettant d’identifier une personne physique, sont susceptibles de porter atteinte à la vie privée des usagers de ces véhicules connectés. En effet, on peut relever de nombreux risques inhérents à la connectivité des véhicules. A titre d’exemple, les données de géolocalisation recueillies révèlent les habitudes des usagers, et pourraient inciter des personnes malveillantes à s’introduire au sein de leurs domiciles en leurs absences.
Vers une utilisation responsable des données
Afin de responsabiliser l’utilisation des données, la CNIL a différencié dans son pack trois options pour lesquelles des lignes directrices sont proposées aux professionnels bien que la première soit vivement encouragée par la Commission :
- Les données collectées dans le véhicule restent dans celui-ci sans transmission au fournisseur de services ;
- Les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée ;
- Les données sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.
En incitant les industriels à intégrer la protection des données personnelles des usagers des véhicules connectés qui produisent en moyenne 1 milliard d’octets de données par jour, ce guide assure une transparence et la maîtrise par les personnes de leurs données.
L’adaptation future du pack CNIL aux véhicules autonomes
Si ce texte anticipe l’avenir du secteur automobile, il a vocation à être modifié dans le futur afin de s’adapter cette fois, aux voitures autonomes qui produiront 30 000 fois plus d’octets de données par jour selon Le Monde. Cela s’explique puisqu’à terme, le véhicule autonome aura besoin de capter, analyser, comprendre son environnement en permanence, devenant par conséquent véritablement dépendant des données collectées.
Si le pack s’applique aujourd’hui expressément aux véhicules connectés, deux de ses obligations impactent considérablement le développement des véhicules autonomes : la protection des données dès la conception du produit régit par le principe du Privacy by design et la protection des données par défaut, encadrée par le principe du Security by default.
La conception de véhicules « ethics by design » en réponse à l’objectif de protection de vie privée des usagers
En effet, de graves conséquences sur la vie privée des utilisateurs peuvent résulter de l’usage de ces véhicules connectés. Ainsi, afin d’éviter tout manquement au principe de la protection de la vie privée et gagner la confiance des utilisateurs quant à l’usage de ces nouvelles technologies, des questions éthiques se posent et de nouveaux engagements s’imposent. Parmi ces engagements, les constructeurs automobiles et les fournisseurs de plateformes d’intelligence artificielle pourraient être liés par l’obligation de concevoir des véhicules considérés comme « ethics by design ».
Ayant vocation à évoluer selon l’application du RGPD, et selon les progrès de la technologie, nous vous recommandons d’engager la mise en conformité dès que possible. Doté d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de sécurisation des données collectées.