Le pack de conformité « Véhicules connectés et données personnelles » publié par la CNIL
A l’issue d’une concertation réunissant 21 acteurs publics et privés, la Commission nationale Informatique et Libertés (CNIL) publie le pack de conformité « véhicules connectés et données personnelles » (téléchargeable ci-dessous). Ce référentiel sectoriel permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données, applicable à partir du 25 mai 2018.
Le pack de conformité a été élaboré en concertation avec les acteurs de la filière automobile, les entreprises de plusieurs secteurs d’activité dont les assurances et les télécoms et les autorités publiques. Il constitue pour ces professionnels une véritable boîte à outils leur permettant d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits et d’assurer la maîtrise par les personnes de leurs données.
Une telle démarche conditionne la confiance des utilisateurs, donc le développement pérenne de ces technologies. Elle est enfin la traduction d’une régulation innovante, à la fois évolutive et concertée.
La présentation de trois scenarii
Pour accompagner « l’innovation durable » des professionnels du secteur, le pack « véhicules connectés » identifie trois hypothèses de travail qui correspondent à trois scenarii rencontrés par les professionnels du secteur :
- Scénario n°1 « IN => IN » : les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services
Exemple : une solution d’éco-conduite qui traite les données directement dans le véhicule aux fins d’afficher des conseils d’éco-conduite en temps réel sur l’ordinateur de bord - Scénario n° 2 « IN => OUT » : les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée
Exemple : contrat de « Pay as you drive » (assurance au kilomètre) souscrit auprès d’une société d’assurance - Scénario n° 3 « IN => OUT => IN » : les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule Exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route
Ces lignes directrices permettent, pour chaque type de traitement identifié, de préciser leurs finalités, les catégories de données collectées, leurs durées de conservation, les droits des personnes, les mesures de sécurité à mettre en place et les destinataires des informations.
Le pack met en particulier l’accent sur les points suivants :
- Toutes les données qui peuvent être rattachées à une personne physique identifiée ou identifiable, notamment via le numéro de la plaque d’immatriculation ou le numéro de série du véhicule sont des données à caractère personnel protégées par la loi Informatique et Libertés et le règlement général sur la protection des données. Par exemple, les données relatives aux trajets effectués, à l’état d’usage des pièces, aux dates des contrôles techniques, au nombre de kilomètres ou au style de conduite constituent bien des données personnelles lorsqu’elles sont susceptibles d’être rattachées à une personne physique.
- Le pack vise à sensibiliser les acteurs économiques du secteur automobile sur les principes d’autodétermination informationnelle, de transparence et de loyauté de la collecte, qui impliquent, a minima une information des personnes concernées, voire le recueil de leur consentement.
- Une approche de protection des données dès la conception (« privacy by design ») doit être privilégiée. Elle peut se traduire par la mise en place de tableaux de bord facilement paramétrables, de façon à garantir à l’utilisateur la maîtrise de ses données.
- La CNIL encourage les acteurs à privilégier le scénario IN => IN, qui implique le traitement des données en local, dans le véhicule, sans transmission vers le fournisseur de services. Il offre de bonnes garanties en matière de la vie privée pour les usagers et entraîne pour les responsables de traitement des obligations allégées sur le plan Informatique et Libertés.
Le pack est un document évolutif qui a vocation à être complété et mis à jour après l’entrée en application du règlement européen sur la protection des données le 25 mai 2018.
Le pack a également vocation à être porté au niveau européen pour permettre aux acteurs de se positionner sur un marché européen, voire mondial.