Depuis quelques années, nous sommes rentrés dans une nouvelle ère de l’information et de la data. Utilisées en toute bienveillance, vos données personnelles peuvent réellement vous aider à vous déplacer, communiquer, ou encore encapsuler des informations clés de votre véhicule. A l’inverse, elles peuvent être vendues et/ou utilisées à des fins marketing très intrusives.
« A partir du moment où vous êtes connectés, votre laissez une trace digitale » a déclaré en Edward Snowden. Loin de nous l’idée de faire peur à Martine, la ménagère de 50 ans. Au contraire, là où le grand public commence à être de plus en plus encadré par des textes de loi dans le domaine du web et de l’utilisation que font les entreprises des données personnelles clients, le sujet n’est pas encore au centre des débats dans l’automobile.
Par chance, nos confrères américain du Washington Post ont mené une enquête approfondie, et leurs trouvailles vont vous faire réfléchir…
Deux expériences, un seul résultat effrayant
L’équipe en charge de ce sujet a récupéré une Chevrolet Volt de 2017. Ils se sont ensuite branchés dessus pour tâcher de découvrir quelles données personnelles l’auto encapsulait. Ils n’ont pas pu accéder à tous les systèmes de la voiture. Apparemment, « pirater » et accéder au système d’une voiture est plus difficile qu’une TV ou un ordinateur, et heureusement. Toutefois, après quelques heures de bidouillage, ces derniers ont tout de même pu récupérer tous les itinéraires GPS de l’ancien conducteur, ses contacts téléphoniques, et même ses emails.
Pour vérifier leur théorie et confirmer leur première observation, ils ont acheté un ordinateur de bord « brut » d’une autre Chevrolet récente sur Ebay pour essayer de répliquer les résultats de la première expérience. Dans le mille ! Ces derniers ont pu déceler que les anciens propriétaires étaient de New York. Ils aimaient rouler le long de la côté (direction Boston) les week-ends. Mieux, l’un d’eux était renseigné sous le nom de « Sweetie » dans le mobile (un Samsung Galaxy Note) qui était anciennement appareillé au système d’infotainment.
Fin mot de l’histoire, ou presque…
L’équipe chargée de ces expériences a immédiatement contacté General Motors (GM) pour leur informer de cette problématique. Cette note de sensibilisation fut également accompagnée d’une question : en plus d’être apparemment encapsulées dans la mémoire de l’ordinateur de bord, les données personnelles des clients Chevrolet sont-elles également sauvegardées sur les serveur GM ? Le groupe automobile américain n’a pas tenu à répondre officiellement à cette sollicitation malgré que le droit américain l’impose. Ce dernier s’est contenté de botter en touche en revoyant The Washington Post aux mentions légales de leur site, et plus précisément au paragraphe lié au traitement des données personnelles des clients GM.
Vos données personnelles sont-elles protégées par la loi ?
Le cadre juridique du RGPD relatif aux voitures connectées
Bien qu’aux Etats-Unis, on soit encore un peu au far-west sur le sujet, en Europe, vos données personnelles sont drastiquement protégées par le RGPD (règlement européen sur la protection des données personnelles), enfin sur le papier. Il existe plusieurs volets à ce règlement, notamment vos données liées à votre personne (nom, prénom, adresse, email téléphone, etc.). Toutefois, nous allons uniquement nous intéresser à celles liées à l’utilisation de votre voiture « connectée ».
Aujourd’hui, toutes les voitures récentes sont « connectées ». Les constructeurs automobiles le savent et espèrent pouvoir les utiliser afin de vous proposer « la bonne offre, au bon moment ». Ainsi, si on prend l’exemple de la géolocalisation, un constructeur apprendra à mieux vous connaître en fonction des lieux que vous fréquentez ou des SMS/emails qui rentrent et qui sortent du véhicule. Appartenance religieuse (quels lieux de culte ?), habitudes de consommation (quelles grandes surfaces ?) ou encore sexualité des usagers du véhicule, tout est exploitable…
Vos droits ?
Afin de vous protéger, la Présidente de la CNIL a présenté en octobre 2017 un « pack de conformité » destiné à tous les véhicules connectés. Ce volet spécifique à destination des constructeurs automobiles rappelle notamment : les types de données personnelles appliquées au véhicule connecté, la définition du traitement des données et les nouvelles dispositions s’y appliquant, le principe de détermination du responsable du traitement, et enfin les droits des usagers des véhicules connectés basés sur ce principe : les données provenant du véhicule et de son habitacle appartiennent à l’utilisateur.
Concrètement cela signifie quoi pour vous ? Vous avez le droit à tout moment, et pour n’importe quelle raison, de solliciter le constructeur afin de lui demander de vous remettre toutes les données qu’il détient sur vous et/ou de les supprimer. Que les plus septiques se rassurent… Si vous ne faites pas confiance à ce dernier, notez que vous pouvez passer directement par la CNIL sans passer par la case constructeur. Ils récupéreront ainsi eux-mêmes, et pour vous, ces données personnelles. Cela permet notamment, même si les constructeurs n’ont pas le droit de le faire, d’éliminer les risques de falsification des données clients détenues.