Que vous soyez en voiture, en scooter ou à vélo connecté, vos données de géolocalisation, captées par les GPS embarqués, permettent de suivre vos déplacements et de déduire votre domicile, votre travail ou vos habitudes de vie. Face a ces enjeux, la Commission nationale de l’informatique et des libertés (CNIL) a publié des recommandations destinées aux acteurs du secteur afin d'encadrer l'utilisation de ces données. L’objectif : aider les constructeurs, loueurs, gestionnaires de flotte et fournisseurs de solutions télématiques à se conformer au RGPD tout en limitant les risques pour la vie privée des utilisateurs. Les véhicules connectés produisent en continu de nombreuses informations, parmi lesquelles les données de géolocalisation figurent parmi les plus sensibles. Elles donnent la possibilité de reconstituer les déplacements d’une personne, ses habitudes de vie, ses lieux de fréquentation ou encore ses centres d’intérêt. Pour la CNIL, ces informations sont particulièrement intrusives et nécessitent donc un encadrement strict. « L’exploitation de ces données permet, par exemple, de proposer des services innovants pour les usagers des transports permettant des gains de sécurité, une amélioration de l’expérience du déplacement (infodivertissement, confort, maintenance, etc.) ou encore une optimisation de l’organisation du déplacement. Dans le même temps, la connectivité des véhicules implique le recueil de données susceptibles de toucher à la vie privée de l’individu (déplacements, comportement au volant, etc.) », résume la Commission.
Les recommandations concernent principalement les véhicules connectés utilisés par des particuliers, qu’ils en soient propriétaires ou locataires. Sont visés les constructeurs automobiles, les loueurs de courte ou longue durée, les fournisseurs de boîtiers connectés ainsi que les agrégateurs de données intervenant dans l’écosystème du véhicule connecté. En revanche, les véhicules de fonction mis à disposition des salariés ne sont pas couverts par ce texte. La CNIL dispose déjà de lignes directrices spécifiques sur la géolocalisation des employés et le suivi des véhicules professionnels. Dans son document, l'organisme passe une vingtaine de recommandations portant sur le respect de la réglementation applicable en matière de protection des données personnelles (RGPD et directive 2002/58/CE du 12 juillet 2002 dite « vie privée et communications électroniques »), poursuite de finalité déterminée, explicite et légitime, identification des personnes concernées, adoption des mesures de sécurité pour encadrer les traitements de données de localisation et leur anonymisation, sécurisation des échanges de données et des boitiers connectés...
Des données issues des véhicules connectés mal protégées
L’autorité distingue plusieurs cas d’usage courants. Les données de localisation peuvent être utilisées pour l’assistance aux conducteurs en cas d’accident ou de panne, la lutte contre le vol, la gestion de flottes de véhicules en location, ainsi que l’amélioration des produits et services proposés par les constructeurs. Elles peuvent également contribuer à la maintenance prédictive ou à l’optimisation des déplacements. Toutefois, la CNIL rappelle que ces traitements doivent respecter les principes fondamentaux du RGPD, notamment la minimisation des données collectées, la limitation des finalités et la mise en place de mesures de sécurité adaptées. Les entreprises doivent notamment s’assurer que seules les données strictement nécessaires à un service sont collectées et conservées pendant une durée limitée. « En principe, aucun manquement aux obligations du RGPD ne pourra être reproché au responsable du traitement concernant les personnes dont il ne peut avoir raisonnablement connaissance qu’elles utilisent le véhicule ou qu’elles sont présentes dans le véhicule au moment de la collecte des données (les passagers), même si les données collectées pourraient leur être rattachées », rappelle cependant la CNIL.
La publication de ces recommandations intervient dans un contexte marqué par plusieurs alertes sur la protection des données issues des véhicules connectés. La CNIL évoque notamment qu’une fuite de données révélée fin 2024 [suite à une mauvaise configuration d'accès à un bucket S3 AWS] a touché plus de 800 000 propriétaires de véhicules électriques de différentes marques, illustrant les risques associés à la centralisation de ces informations sensibles. L’autorité souligne également que les données de localisation peuvent parfois être croisées avec d’autres informations afin d’identifier directement ou indirectement un conducteur. Cette capacité de profilage renforce les obligations des acteurs du secteur en matière de transparence et de sécurité.