La CNIL guide les pros dans le traitement des données des véhicules connectés

Publié le par

La Commission nationale de l’informatique et des libertés (CNIL) a élaboré un pack de conformité « véhicules connectés et données personnelles » pour aider les professionnels à se mettre en conformité avec le règlement européen sur la protection des données.

La CNIL guide les pros dans le traitement des données des véhicules connectés

Alors que les véhicules s’avèrent toujours plus connectés et délivrent de ce fait toujours plus de données, les professionnels de l’automobile sont naturellement parmi les plus concernés par le nouveau règlement européen sur la protection des données qui renforce les droits des citoyens de l’Union européenne en leur accordant plus de contrôle sur leurs données personnelles. C’est pour les aider à se mettre en conformité avec ce règlement que la CNIL, appuyée par 21 acteurs publics et privés (dont le CCFA, le CNPA, la FIEV, Michelin ou encore Renault) a conçu son pack de conformité « véhicules connectés et données personnelles ».

Dans un premier temps ce pack de 35 pages récapitule :

  • Quels types de données personnelles sont concernés par ce règlement : les données client (nom, prénom, adresse, numéros de téléphone, courriel, etc.), le numéro de série du véhicule ou tout identifiant unique du véhicule ou d’une pièce (par exemple, le numéro de la plaque d’immatriculation), les données de géolocalisation, les données techniques liées à l’état du véhicule et des pièces, les données biométriques du conducteur, les données liées à l’utilisation du véhicule par le conducteur ou les occupants (par exemple, les données relatives au style de conduite, au kilométrage, à la vie à bord).
  • Qu’est-ce qu’un traitement : collecte, enregistrement, conservation, modification, extraction, consultation, utilisation, communication, interconnexion, destruction.
  • Qui est désigné responsable du traitement : la personne qui détermine les finalités ou les moyens du traitement.
  • Quelles sont les nouvelles dispositions à prendre lors de la collecte, le traitement et la transmission : l’obligation de disposer d’une base légale pour les traitements mis en œuvre, le respect de la loyauté de la collecte, le renseignement précis sur sa finalité, le respect du principe de la proportionnalité des données, de la durée limitée de conservation des données et de la sécurité assurant la confidentialité des données.
  • Quels sont les droits des personnes à qui appartiennent ces données personnelles : le droit des personnes, le droit à l’oubli, le droit à la portabilité, le droit à la limitation du traitement.

Les données qui proviennent du véhicule appartiennent à l’utilisateur

Une fois ces bases rappelées, le pack propose trois hypothèses de travail qui correspondent à trois scenarii rencontrés par les professionnels du secteur. Chacun de ces scenarri, qui confirme que les données provenant du véhicule appartiennent bel et bien à l’utilisateur, est concerné par le besoin de confidentialité et de sécurité des données.

Les trois scenarii déterminés sont les suivants :

  • Scénario 1 « IN => IN » : les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services.

Exemple : une solution d’éco-conduite qui traite les données directement dans le véhicule aux fins d’afficher des conseils d’éco-conduite en temps réel sur l’ordinateur de bord.

  • Scénario n° 2 « IN => OUT » : les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée.

Exemple : contrat de « Pay as you drive » (assurance au kilomètre) souscrit auprès d’une société d’assurance.

  • Scénario n° 3 « IN => OUT => IN » : les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.

Exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route.

Pour chacun de ce type de traitement identifié, la CNIL précise les catégories de données collectées, leurs durées de conservation, les droits des personnes, les mesures de sécurité à mettre en place et les destinataires des informations. L’enjeu ici est bien d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits et d’assurer la transparence et le contrôle par les personnes de leurs données.

Ce pack à lire ici a vocation à être porté au niveau européen pour permettre aux acteurs de se positionner sur un marché européen voire mondial. Il pourrait constituer une ligne directrice européenne, comme le prévoit le règlement.

En partenariat avec le En partenariat avec CNPA
A la une
La quotidienne Auto-infos