Véhicules connectés : le pack de conformité est publié

Par - Publié le

,

,

A l’issue d’une concertation réunissant 21 acteurs publics et privés dont la Fédération Française de l’Assurance (FFA), la CNIL a publié, le 17 octobre, le pack de conformité « véhicules connectés et données personnelles ». Ce référentiel sectoriel permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données (RGPD).

La voiture connectée génère un flux de nouvelles données... personnelles dont l'usage est règlementé
La voiture connectée génère un flux de nouvelles données... personnelles dont l'usage est règlementé

Le texte fait 35 pages et il est accessible depuis le 17 octobre 2017 sur le site Internet de la Commission nationale Informatique et libertés (CNIL) en cliquant sur ce lien. Elaboré en concertation avec les acteurs de la filière automobile, les entreprises de plusieurs secteurs d’activité dont les assureurs via la Fédération française de l’assurance (FFA), le pack conformité est un guide de bonnes pratiques relatives à l’usage des données. Or, à l’aube de l’entrée en vigueur du règlement européen sur la protection des données à caractère personnel (RGPD), en mai 2018, l’exploitation des données est en proie à un changement règlementaire important.

Le pack de conformité, boîte à outils pour les assureurs

Pour les assureurs, le secteur public, les professionnels de l’automobile ou des Télécoms ou des industries, « le pack conformité constitue une véritable boîte à outils leur permettant d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits (ndlr : le Privacy by design) et d’assurer la maîtrise par les personnes de leurs données. Une telle démarche conditionne la confiance des utilisateurs, donc le développement pérenne de ces technologies. Elle est enfin la traduction d’une régulation innovante, à la fois évolutive et concertée », souligne la CNIL.

Trois hypothèses de travail sont établies pour les professionnels du secteur :

 

  • Scénario n°1 « IN => IN » : les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services
    Exemple : une solution d’éco-conduite qui traite les données directement dans le véhicule aux fins d’afficher des conseils d’éco-conduite en temps réel sur l’ordinateur de bord
  • Scénario n° 2 « IN => OUT » : les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée
    Exemple : contrat de « Pay as/How you drive » souscrit auprès d’une société d’assurance, e-call (appel d'urgence géré par les assisteurs), études d'accidentologie, etc.
  • Scénario n° 3 « IN => OUT => IN » : les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule
    Exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route

Important : ces lignes directrices permettent, pour chaque type de traitement identifié, de préciser leurs finalités, les catégories de données collectées, leurs durées de conservation, les droits des personnes, les mesures de sécurité à mettre en place et les destinataires des informations. Car, comme le souligne Félicien Vallet, ingénieur expert de la CNIL, « les données relatives au client, le numéro de série identifiant le véhicule, les données de géolocalisation, les données techniues ou liées à l'utilisation sont très révélatrices d'habitudes de vie et de potentielles infractions... »

Le scénario privilégié par la CNIL n'avantage pas les offres  de télématique embarquée (Pay How You Drive...)

La CNIL alerte sur les points suivants :

  • Toutes les données qui peuvent être rattachées à une personne physique identifiée ou identifiable, notamment via le numéro de la plaque d’immatriculation ou le numéro de série du véhicule sont des données à caractère personnel protégées par la loi Informatique et libertés et le règlement général sur la protection des données. Par exemple, les données relatives aux trajets effectués, à l’état d’usage des pièces, aux dates des contrôles techniques, au nombre de kilomètres ou au style de conduite constituent bien des données personnelles lorsqu’elles sont susceptibles d’être rattachées à une personne physique.
  • Le pack vise à sensibiliser les acteurs économiques du secteur automobile sur les principes d’autodétermination informationnelle, de transparence et de loyauté de la collecte, qui impliquent, a minima une information des personnes concernées, voire le recueil de leur consentement.
  • Une approche de protection des données dès la conception doit être privilégiée. Elle peut se traduire par la mise en place de tableaux de bord facilement paramétrables, de façon à garantir à l’utilisateur la maîtrise de ses données.
  • La CNIL encourage les acteurs à privilégier le scénario IN => IN qui n'est donc pas celui impliquant les assureurs, prompts à un scénario « In-Out » qui implique le traitement des données en local, dans le véhicule, sans transmission vers le fournisseur de services. Il offre de bonnes garanties en matière de la vie privée pour les usagers et entraîne pour les responsables de traitement des obligations allégées sur le plan Informatique et libertés.

Le pack est un document évolutif qui a vocation à être complété lors de l’entrée en vigueur de RGPD en mai prochain et qui doit également être porté au niveau européen pour permettre aux acteurs de se positionner sur un marché européen, voire mondial.

 

 

 

 



Effectuer une autre recherche

Rechercher