Recevez chaque jour la lettre
d'actualité d'autoactu.com :
Inscrivez-vous
GRATUITEMENT !

Déjà inscrit : connectez-vous

Offres commerciales

Statistiques

Offres d'emploi

Exclusif !

Déjà inscrit ? Identifiez-vous pour
profiter pleinement d’autoactu.com
Recevez GRATUITEMENT chaque jour la lettre d’actualité d’autoactu.com
envoyer par email
Constructeurs - 24/11/2017

Voiture connectée et protection des données : les recommandations de la CNIL

Le règlement général sur la protection des données (RGPD) entrera en vigueur le 18 mai prochain. Sophie Nerbonne, qui dirige la direction de la conformité de la CNIL, en rappelle les obligations, notamment dans le cadre du recueil de données à travers la voiture connectée.

Invitée de la conférence sur l’après-vente connectée, organisée par Autoactu.com le 15 novembre dernier, Sophie Nerbonne, qui dirige la direction de la conformité de la CNIL, a rappelé les grands principes à respecter quand on recueille des données personnelles à travers une voiture connectée.
Elle a rappelé que toutes les recommandations de la CNIL en la matière sont détaillées dans un document spécifique, le pack de conformité "Véhicules connectés et données personnelles", publié en octobre dernier pour intégrer les contraintes imposées par le RGPD (règlement général sur la protection des données) applicable le 25 mai prochain. Ce nouveau règlement fixe des sanctions en cas de manquement aux obligations qui peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires et qui sont sans commune mesure avec les précédentes sanctions, peu dissuasives.
Dès lors que l’on recueille des données personnelles, c’est-à-dire "liées à des personnes physiques identifiées ou identifiables, notamment via le numéro de série du véhicule ou le numéro de la plaque d’immatriculation", il y a cinq grands principes à respecter, a-t-elle expliqué :
- Les données doivent être recueillies dans un but précis, défini à l’avance ("déterminé, explicite et légitime", dans le texte de loi) "mais on peut définir un large éventail de finalités qui peuvent évoluer dans le temps, à condition d’en informer le client", précise-t-elle.
- Seules les données utiles ("pertinentes, adéquates et non excessives") peuvent être recueillies. Ainsi, "la géolocalisation précise et continue du véhicule n’est pas nécessaire pour une finalité de maintenance technique", précise-t-elle.
- Les données ne peuvent pas être conservées de façon illimitée après leur usage, sauf contraintes réglementaires.
- La sécurité des données doit être assurée. Dans le cadre du RGPD, en cas de fuite de données, la CNIL devra être informée dans les 72 heures, ainsi que les personnes concernées "en cas de risque élevé pour leurs droits et libertés", selon le texte.
- Les personnes concernées doivent être informées des finalités poursuivies par le traitement des données et de leurs droits : droit d’accès, droit d’opposition, droit de rectification et trois autres nouveaux droits avec le RGPD, le droit à l’oubli, le droit à la portabilité et le droit à la limitation du traitement (détaillés dans le pack de conformité).
"Dès lors, un client peut-il demander la suppression des données d’entretien de son véhicule lorsqu’il décide de le vendre ?", s’interroge un constructeur. "Non, répond l’intervenante, seule son identité peut être supprimée, pas les données d’entretien que le constructeur a un intérêt légitime à conserver".
Dans le cadre de la voiture connectée, la CNIL recommande le recours à des icônes normalisées à l’intérieur des véhicules, afin d’informer les personnes concernées "de manière claire, synthétique et facilement compréhensible" du traitement de leurs données. "Le paramétrage des systèmes de recueil de données doit être protecteur par défaut et nécessiter une action de l’utilisateur pour entrer en fonction, notamment en ce qui concerne la géolocalisation", souligne Sophie Nerbonne.
Un moyen de se soustraire à ces obligations est d’anonymiser les données ou de les "pseudonymiser", c’est-à-dire les protéger par l’usage d’un pseudonyme non-signifiant, protégé par un code secret. L’anonymisation suppose la suppression irréversible du lien entre les données d’usage et le numéro de série du véhicule, rendant impossible la ré-identification des personnes concernées, ce qui n’est pas le cas des données pseudonymisées qui restent des données à caractère personnel soumise à la loi Informatique et Libertés.
Dans le cas de la géolocalisation de 500 véhicules connectés circulant en Suède pour identifier les zones dangereuses, l’anonymisation des données autorise une géolocalisation précise, permanente et en temps réel.
La CNIL prévoit d’enrichir le pack de conformité au fur et à mesure que de nouvelles problématiques apparaîtront. "Dans le domaine de la voiture connectée, les  choses évoluent très vite, nous avons donc prévu une clause de rendez-vous avec les acteurs intéressés dans 18 mois pour faire le point", indique-t-elle.
 Des contrôles pourraient être opérés par la CNIL, dès l'entrée en vigueur en mai 2018. "Nous savons que toutes les entreprises ne seront pas prêtes mais il faut au moins qu'un plan d'action global soit mis en place", prévient-elle.
Xavier Champagne

Partagez cet article :

Réactions

Dans ce domaine nous accusons un retard plus que certain notamment dans l'accès au EDR* lors des accident qui n'est pas disponible en France pourquoi les média ne s'y intéresser pas? cela pourrait pousser les pouvoir public à légiférer...
(*Event Data Recorder)pour info ces données contienne bcp de chose comme les vitesses lors du déclenchement de l'air bag, l'angle de volant, la pression sur les frein beaucoup d'information très utile en cas d'accident mortel
Christophe HUCHET, Le vendredi 24 novembre 2017

On va déjà savoir où est la voiture accidentée, son VIN, etc.. avec le "MSD" (Minimum Set of Data) envoyé par le système ECall.
En ce qui concerne le EDR, il faudrait déjà que les véhicules aient la capacité de mesurer tous ces facteurs. En second lieu il y a encore et toujours un problème philosophique de fond qui casserait le principe de mutualisation des sociétés d'assurance qui ne manqueraient pas dans ce cas de calculer les primes en fonction des coups de frein du conducteur..
Donc un modèle social à repenser ? ou pas ?
Dans ce sujet de la connection communication big brother il faut sortir le museau du guidon et avoir une Altavista du sujet.
;0)
;0)
Lucos, Le vendredi 24 novembre 2017

PS : pétard quand je me relis, on dirait le Prof...
Faut que je parte en WE...
;0)
Lucos, Le vendredi 24 novembre 2017

Les portes ouvertes depuis des siècles qu'enfonce la CNIL ont laissé passer tellement de monde qu'elle ne sert plus qu'à encombrer les écrans de messages périmés (ex : ces messages sur les cookies qui nous emm…)
Pierre l'Alpin, Le vendredi 24 novembre 2017

Et Uber Pierre....
alain boise, Le samedi 25 novembre 2017



Plus de 250 groupes référencés dans l'édition 2018 de l'Annuaire des groupes de distribution automobile
Pascal Luchetti nouveau directeur après-vente de PSA



Copyright © 2017 AUTOACTU.COM - Tous droits réservés
autoactu.com - 3 avenue des Pavillons, 92270 Bois-Colombes - Siret : 479 660 235 00017