Données personnelles : la CNIL veut protéger les automobilistes
JULIEN DUPONT-CALBO
LE « GENDARME DE LA VIE PRIVÉE » PUBLIE UN ENSEMBLE DE BONNES PRATIQUES À L’INTENTION DES ACTEURS DE LA VOITURE CONNECTÉE.
Cela n’a pas été facile. En concertation avec les représentants de plusieurs mondes, la Commission nationale de l’informatique et des libertés (CNIL) est parvenue à rédiger un vade-mecum de 35 pages sur la collecte et le bon usage des données issues des voitures – grâce aux capteurs, aux boîtiers connectés et aux applications mobiles.
Les discussions sur ce « pack de conformité » avaient commencé en mars 2016, l’idée étant d’établir une boîte à outils pour une utilisation « responsable » des informations tirées des véhicules, informations toujours plus nombreuses et cruciales. « Il y avait des intérêts divergents et il a fallu trouver des consensus. Nous avons eu beaucoup de débats sur le périmètre des données à caractère personnel et leur portabilité », souligne Joanna Masson, la juriste de la CNIL en charge du sujet.
Autour de la table, des acteurs publics (l’Arcep, Bercy ou… la gendarmerie nationale), des grands groupes ou leurs représentants (Avis, les opérateurs télécoms, Michelin, des assureurs, les constructeurs et les équipementiers automobiles) et quelques start-up de la « cartech », tous venus défendre leurs vues et se doter d’une « sécurité juridique ». « Il fallait leur faire comprendre que les données techniques automobiles sont en réalité des données à caractère personnel, puisque les individus concernés sont identifiables via le numéro de châssis », affirme Joanna Masson.
Maîtrise et consentement
Les règles d’or ? Les données doivent être récupérées en vue d’une « finalité » précise, être sécurisées, ne pas être conservées indéfiniment, les consommateurs doivent être informés de la collecte, donner leur consentement, pouvoir y accéder. Et il ne faut pas non plus capter plus de data que nécessaire. En clair, l’automobiliste doit pouvoir maîtriser les données et avoir la main sur les paramètres.
Par exemple et en vrac, un garagiste ne saurait vendre aux assureurs les données techniques du véhicule pour leur permettre d’en déduire les profils de conduite. Une entreprise ne saurait traiter en continu la localisation du véhicule pour des raisons de maintenance ou d’optimisation de modèles. Si le fournisseur de services est le constructeur automobile, le consentement devra être recueilli lors de la signature du contrat de prestation, qui devra être distinct du contrat de vente du véhicule. Et les traitements en temps réel, sans diffusion des données hors du véhicule, sont à privilégier.
« Nous voulions un cadre opérationnel tout de suite, donc ce pack est centré sur la voiture connectée, pas sur le véhicule autonome. Il sera évolutif », précise la juriste. Un point d’étape est prévu en mai 2018,
date de l’entrée en vigueur de la nouvelle règle européenne sur les données personnelles
. L’ambition de la CNIL est d’ailleurs de porter ce travail au niveau communautaire. « Nous discutons déjà avec notre homologue allemand », confie Joanna Masson.
Fonte: