Voiture connectée : la CNIL veut protéger les données dès la conception
Après deux mois de concertation avec la filière automobile, la Commission nationale informatique et libertés (CNIL) publie son pack de conformité « véhicule connecté et données personnelles ».
Ce document de 36 pages oriente l'industrie vers une « utilisation responsable » des données issues de capteurs, d'applications et de systèmes embarqués.
Les discussions à ce sujet ont débuté au printemps 2016. Constructeurs, équipementiers, professionnels de l'assurance et des télécoms, régulateurs y ont participé.
Malgré des intérêts divergents et des inquiétudes concernant la sécurité juridique des uns et des autres, la CNIL a ciblé le consensus et publié son référentiel de bonnes pratiques.
Trois hypothèses sont envisagées :
Dans le premier cas, les données collectées localement restent dans le véhicule, sans transmission externe.
Ce scénario offre le plus de garanties aux usagers en matière de protection de la vie privée, observe la CNIL. Et, pour les responsables de traitement, les obligations sont « allégées ». Mais ce scénario n'est pas le plus profitable pour le marché.
Dans la deuxième hypothèse, les données sont transmises à des fournisseurs qui proposeront leurs services aux usagers.
Dans le troisième cas, les données sont également transmises à l'extérieur « pour déclencher une action automatique dans le véhicule. »
« Privacy by design »
Pour la CNIL, quelle que soit l'option, « toutes les données qui peuvent être rattachées à une personne physique identifiée ou identifiable, notamment via le numéro de la plaque d'immatriculation ou le numéro de série du véhicule sont des données à caractère personnel. »
Elles sont « protégées » par la loi informatique et libertés française et par le Règlement général sur la protection des données (RGPD) européen.
Lire aussi : Avec l'AI Act, un nécessaire RGPD 2 ?
Les données collectées seront donc sécurisées et leur durée de conservation limitée. La collecte elle-même doit se faire dans une « finalité » précise.
Les usagers du véhicule doivent, a minima, être informés de la collecte, voire donner leur consentement. Et pouvoir accéder aux informations les concernant.
La CNIL, enfin, encourage les parties prenantes à privilégier une approche de la protection des données dès la conception (« privacy by design ») des technologies de traitement.
Il reste à savoir quelles seront les orientations privilégiées par la filière.
Le cadre promu par la CNIL est évolutif. Il sera porté par la France au niveau européen et mis à jour après l'entrée en vigueur du RGPD le 25 mai 2018.
Lire également :
La voiture connectée de PSA roule vers la 5G
IoT : constructeurs et acteurs IT s'unissent dans la voiture connectée
crédit photo © syda production-Shutterstock
Sur le même thème
Voir tous les articles Data & IA