Régulateurs de vitesse, système anticollision, caméras de contrôle, géolocalisation… Sur les routes, les dispositifs d’aide à la conduite se généralisent, et pas seulement pour les véhicules haut de gamme. Les capteurs de nos voitures bardées de technologies en savent de plus en plus long sur nos trajets et nos comportements quotidiens.

Qui est destinataire de ces informations et combien de temps peuvent-elles être conservées ? Comment s’assurer que les acteurs de ce secteur respectent bien les libertés individuelles et notamment le droit à la vie privée ?

La CNIL a publié mardi 17 octobre un guide des bonnes pratiques à l’usage des constructeurs de véhicules connectés mais aussi des assureurs, entreprises de télécoms et pouvoirs publics, parties prenantes de ces nouveaux dispositifs. Elle y liste les devoirs qui incombent aux fournisseurs de ces services, selon que le traitement de la donnée est effectué par un ordinateur à bord du véhicule, ou transféré à une plate-forme centrale.

La couverture du guide de la CNIL publié mardi 17 octobre.

La couverture du guide de la CNIL publié mardi 17 octobre.

Lire aussi : Les libertés individuelles, oubliées de la smart city

Tableau de bord paramétré par le conducteur

Cette « boîte à outils » est issue d’une concertation avec des acteurs publics comme l’Ademe, l’Arcep ou la gendarmerie nationale, et des acteurs privés : constructeurs automobiles (PSA et Renault), professionnels d’aide à la conduite (Michelin), de location (Avis), fédérations françaises de l’assurance et des télécoms.

« Accompagner l’innovation durable » en intégrant « la protection des données personnelles dès la phase de conception des produits ».

Une façon, selon la gardienne des données personnelles, d’« accompagner l’innovation durable » en intégrant « la protection des données personnelles dès la phase de conception des produits ».

Premier constat : tout ce qui peut permettre d’identifier une personne par le biais de la plaque d’immatriculation ou du numéro de série du véhicule relève de « données à caractère personnel protégées », et implique au minimum une information des personnes concernées, voire le recueil d’un consentement.

Lire aussi : Voiture autonome : c’est déjà demain !

Le champ est large, puisqu’il intègre les données relatives aux trajets effectués, à l’état d’usure des pièces du véhicule, aux dates de contrôle technique et bien sûr aux styles de conduite. On en est loin aujourd’hui.

La CNIL préconise la fabrication de tableaux de bord qui affichent clairement ces éléments et puissent être paramétrés par le conducteur afin qu’il reste maître de ses données. Par exemple à l’aide d’icônes, les mêmes quels que soient le constructeur et la marque du véhicule.

Religion ou orientation sexuelle

Cette simplicité d’affichage est indispensable pour les données de localisation « particulièrement révélatrices des habitudes de vie des personnes » : lieu de travail, domicile, mais aussi centres d’intérêt du conducteur tels que « les loisirs et, le cas échéant, la religion via le lieu de culte ou encore l’orientation sexuelle via les endroits fréquentés ».

Un ordinateur de bord installé dans le véhicule, et non sur une plate-forme externe, afin d’offrir « de bonnes garanties en matière de vie privée pour les usagers ».

La CNIL encourage aussi les acteurs à limiter autant que possible la transmission des informations à des fournisseurs de service. Elle recommande par exemple que les conseils d’éco-conduite – affichés en temps réel sur le tableau de bord pour limiter la consommation de carburant – soient traités par un ordinateur de bord installé dans le véhicule, et non sur une plate-forme externe, afin d’offrir « de bonnes garanties en matière de vie privée pour les usagers ».

Lire aussi : Le Conseil national du numérique lance un débat public sur la régulation des plates-formes

Le guide de la CNIL s’inscrit dans la perspective du nouveau règlement européen sur la protection des données personnelles, qui entrera en vigueur en mai 2018 et imposera des règles plus strictes aux professionnels, assorties de sanctions.

Le responsable du traitement des données devra par exemple être en mesure de prouver que la personne concernée a bien donné son consentement. Il devra aussi respecter un « droit à l’oubli » et un « droit à la portabilité » afin de permettre aux personnes qui le souhaitent de récupérer leurs données personnelles dans un format ouvert et lisible par une machine.

Ce guide de bonnes pratiques pourrait servir de base aux futurs standards européens de régulation des véhicules connectés. D’autant que la présidente de la CNIL, Isabelle Falque-Pierrotin, est aussi présidente du G29, le groupe de travail des CNIL européennes.