L’enrichissement du rapport de l’expert automobile par les enregistreurs de données collectées

L’enrichissement du rapport de l’expert automobile par les enregistreurs de données collectées
© dr

Les rapports de l’expert automobile constituent des aides précieuses pour la détermination de l’origine d’un accident. Avec les technologies de plus en plus avancées qui sont intégrées au véhicule, et notamment les enregistreurs de données, il serait possible d’envisager un réel enrichissement desdits rapports par les données collectées par le véhicule. L’introduction obligatoire de tels dispositifs pourrait accélérer le processus notamment si les règles relatives à la protection des données personnelles étaient respectées, et que les questions relatives à l’identité des personnes pouvant avoir accès auxdites données étaient levées.

Les enregistreurs de données, couramment appelé EDR pour Event Data Recorder représentent une innovation technologique permettant de conserver des données émises par le véhicule.

Aujourd’hui, certains conducteurs consentent au branchement d’un boîtier à la prise ODB de leur véhicule pour qu’il collecte certaines données utiles à l’assureur pour la tarification de son risque automobile (1). Demain, le véhicule automatisé compren­dra davantage de technologie. Divers capteurs, lidars, radars… viendront (en plus du GPS) enregistrer le parcours effectué par le conducteur. Les interfaces humain/machine (IHM) intégrées au véhicule pourraient aussi avoir des fonctions de monitoring du conducteur (2) pour permettre la mise en place de la délégation de conduite.

Dans cette perspective, les données collectées par le véhicule pourraient s’avérer être de « l’or digital » attirant de nombreux acteurs pour son exploi­tation (constructeur, expert, assureurs…). À ce titre, le rapport de l’expert en automobile pourrait être enrichi des données collectées par le véhicule et participer à la détermination du responsable en cas d’accident (3). La question qui se pose est alors de savoir si les rapports d’expertise pourront être enrichis des données collectées par le véhicule ? Si l’encadrement des données collectées a fait l’objet d’une modification notamment par le règlement européen adopté en avril 2016 (4), posant le cadre de la protection du titulaire de la donnée collectée, les questions relatives au droit d’accès des données émises par le véhicule automatisé et connecté restent encore en suspens.

« L’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ». Le recueil de ces données est interdit sauf consentement exprès de la personne concernée par la donnée collectée.

Les données collectées : pour quoi faire ?

Définition de la donnée personnelle. Déterminer la finalité de la donnée est fonction de la donnée pouvant être collectée. En effet, au regard de la réglementation en vigueur (5), certaines données revêtant un caractère personnel ne peuvent pas faire l’objet d’un enregistrement. Le règlement européen entrant en application au 25 mai 2018 pose une définition relativement extensive de la donnée personnelle. À ce titre est une donnée à caractère personnel, « toute information se rapportant à une personne physique identifiée ou identifiable, que cette identification soit directe ou indirecte » (6). Dès lors, toutes les données du véhicule telles que les données de localisation, le numéro VIN ou de numéro IP d’un ordinateur embarqué constituent des données à caractère personnel puisque leur recoupement permet d’obtenir a minima le nom du propriétaire du véhicule. Pratiquement, cela signifie que les données du véhicule sont considérées au regard des règlementations nationales et internationales comme des données à caractère personnel, protégées à ce titre par les dispositions précitées.

Relèvent également de la législation protectrice des données à caractère personnel, les données dites « sensibles » portant sur « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique » (7). Le recueil de ces données est interdit sauf consentement exprès de la personne concernée par la donnée collectée. En d’autres termes, le monitoring du conducteur pour permettre entre autre de l’accompagner lors des différentes phases de transition de délégation de la conduite, par exemple la pose d’un capteur optique qui suit le visage du conducteur et l’alerte dès les premiers signes d’endormissement, comprend des données de santé nécessitant le consentement explicite du conducteur.

Parmi les mesures de protection posées notamment par le règlement européen, il est exigé le consentement de la personne concernée par la donnée collectée. Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (8). Cette disposition renvoie à plusieurs questions : comment obtenir le consentement de tous les utilisateurs du véhicule lorsque le propriétaire du véhicule partage celui-ci avec d’autres personnes ? Le partage du véhicule au sein d’une même famille, ou encore la location de véhicule voire l’autopartage pourront-ils être compatibles avec la mise en œuvre du recueil du consentement précédemment énoncé ? Comment obtenir le consentement en cas de revente du véhicule entre particuliers ? Par ailleurs, si le recoupement des données renvoie à l’identification du propriétaire du véhicule, comment ces données pourront-elles être exploitées si plusieurs personnes utilisent le même véhicule ?

Les modalités de l’information de la personne concernée par la donnée collectée devront être précisées principalement dans les situations énoncées, et il appartiendra sans doute au constructeur de prévoir un dispositif d’information non seulement du propriétaire du véhicule mais également de ses utilisateurs. Parmi les informations à délivrer à la personne concernée par la donnée collectée, l’article 13 du règlement européen précise que le responsable du traitement doit indiquer « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ».

Finalité du traitement de la donnée personnelle. Identifier avec précision l’objectif du recueil de la donnée émanant du véhicule pourrait révéler des difficultés qui s’ajouteraient aux problématiques pratiques de recueil du consentement de la personne concernée par la donnée collectée. En effet, aux termes de l’article 5 du règlement européen, les données doivent être « collectées pour des finalités déterminées, explicites et légitimes ». Elles doivent en outre répondre à un principe de minimisation qui exige que les données soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Or, la donnée collectée par le véhicule peut être variée et porter tant sur la localisation du véhicule (donnée GPS qui sont déjà enregistrées par le véhicule), que sur l’activation du système d’automatisation du véhicule, ou encore sur les actions émises par le conducteur sur la pédale d’accélération, la pédale de frein, ou encore l’utilisation de l’ordinateur de bord. Par ailleurs, à la multitude des données émises par le véhicule s’ajoutent encore les données échangées avec les autres véhicules voire même avec les infrastructures. Il se pressent alors une multitude de finalités : amélioration du trafic routier (données échangées par les véhicules et/ou les infrastructures) ; amélioration de la sécurité routière (données « accident » ou « crash data ») ; mais également détermination du « conducteur » au moment de l’accident soit l’humain, soit le véhicule lui-même lorsqu’il est en mode automatisé.

Se pose alors la question du destinataire de la donnée collectée.

Les données collectées : pour qui ?

L’accès réglementé à la donnée collectée. Les données collectées par le véhicule peuvent avoir différentes finalités qui requièrent un consentement, pour chacune d’entre elles, de la personne concernée par la donnée. Outre les difficultés énoncées précédemment, l’enregistrement et l’exploitation des données émises par le véhicule posent la question de la détermination de son accès. L’article 13 du règlement européen précise que le responsable du traitement de la donnée doit indiquer à la personne concernée non seulement la finalité mais également « les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ». L’information portant sur l’identité des personnes ayant accès à la donnée se révèle être déterminante pour le recueil d’un consentement libre et éclairé. En effet, préciser au client du véhicule équipé d’un enregistreur de données que les données collectées seront utilisées par le gestionnaire d’infrastructure (destinataire) à des fins d’améliorations du trafic routier (fina­lité), pourrait paraître réconfortant voire attrayant si l’on s’attend à recevoir en retour des messages d’alerte ou des modifications d’itinéraire permettant de réduire le temps de parcours en cas d’incident sur le trajet initialement sélectionné. En revanche, le recueil des données à destination des autorités de la route (destinataire) pour sanction des infractions au code de la route (finalité) pourrait probablement être un frein au consentement. Dans ce dernier cas, le traitement de ces données dites « d’infraction » relève exclusivement du « contrôle de l’autorité publique » selon l’article 10 du règlement européen. Néanmoins « si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés [alors le contrôle pourra relever] des personnes concernées [par l’autorisation accordée par les États membres] ». Cette disposition n’est pas sans rappeler l’actuel article 9 de la loi française « Informatique et libertés » (9) qui pose le principe de l’interdiction du traitement relatif aux infractions, condamnations et mesures de sûreté (par exemple aux violations des limitations de vitesse) aux personnes de droit privé. Dans ce contexte, l’introduction d’un enregistreur de données au sein des véhicules devra respecter à la fois les normes techniques exigées pour l’homologation des véhicules, mais également les dispositions légales portant sur la protection des données en particulier concernant le traitement de la donnée.

Doit-on d’ores et déjà encourager les constructeurs à envisager des modalités de déconnexion du boîtier d’enregistrement de la donnée ?

Vers l’introduction d’une règlementation technique obligeant l’insertion de dispositif d’enregistrement de données ? À l’heure où nous écrivons, un groupe de travail au Conseil économique et social des Nations unies a pour mission de réviser l’accord portant sur l’adoption de conditions uniformes d’homologation et la reconnaissance réciproque de l’homologation des équipements et pièces de véhicules à moteur datant du 20 mars 1958 (10). Au sein de cet accord plusieurs règlements ont été publiés en tant qu’additif séparé de l’Accord de 1958 afin d’adapter ce dernier aux progrès techniques, d’améliorer la sécurité des véhicules et la protection de l’environnement. Un amendement au règlement 79 portant sur les prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne l’équipement de direction (11) est en cours de discussion au sein du groupe de travail appelé WP29 appartenant au forum mondial de l’harmonisation des règlements concernant les véhicules (12). Les règles d’homologation du véhicule pourraient prochainement imposer l’insertion d’un enregistreur de données selon les prescriptions techniques établies dans l’amendement, au même titre que l’exigence du dispositif d’eCall devant être intégré aux nouveaux véhicules (13). Aux États-Unis, les enregistreurs de données ont fait l’objet d’une règlementation au sein du code de Règlementation fédérale en 2006. Le titre 49 du Code, consacré au Transport, comprend désormais une partie 563 réglementant les EDR. L’objectif recherché par ces dispositions consiste en la détermination d’exigences uniformes pour les véhicules équipés d’EDR concernant la collecte, le stockage et la récupération des données d’accident. Le texte précise également les exigences pour les constructeurs à rendre les outils disponibles et accessibles par les enquêteurs mais aussi par les chercheurs. La finalité clairement énoncée par les textes est donc l’exploitation des données pour l’analyse des performances des équipements de sécurité mais aussi la compréhension des circonstances dans lesquelles se sont produits les accidents, et les blessures, afin de permettre une conception plus sûre des véhicules. La règlementation prévoit ainsi deux finalités : analyse des performances des dispositifs et amélioration de leur conception. Cependant les personnes habilitées à l’exploitation des données ne sont pas précisées par le texte. Ainsi, la réglementation technique internationale pour l’harmonisation des conditions d’introduction des EDR au sein de tous les véhicules, pas seulement ceux intégrant une technologie permettant la délégation de conduite, pourrait donc s’inspirer de la législation américaine. Reste que l’évolution des réglementations internationales (technique relative à l’homologation, et, légale relative à la protection des données personnelles) sont de même valeur dans la hiérarchie des normes selon la pyramide de Kelsen, et elles devront être compatibles. En cas de conflits de lois internationales, le Conseil d’État a indiqué qu’il appartenait aux juges « de définir, conformément aux principes du droit coutumier relatifs à la combinaison entre elles des conventions internationales, les modalités d’application respectives des normes internationales en débat conformément à leurs stipulations, de manière à assurer leur conciliation, en les interprétant, le cas échéant, au regard des règles et principes à valeur constitutionnelle et des principes d’ordre public » (14). En conséquence, l’enregistrement de la donnée devrait s’analyser comme le recueil uniforme de données préétablies par la règlementation technique et traitées selon les dispositions énoncées par les règles internationales et nationales de protection des données personnelles.

En conclusion, l’introduction de dispositifs obligatoires recueillant certaines données à caractère personnel du propriétaire voire du simple utilisateur du véhicule ne devra pas se soustraire aux dispositions portant notamment sur l’information et le consentement de la personne concernée, avec la difficulté pratique que si la norme technique impose le recueil de certaines données, quelles seront les conséquences du refus du traitement par l’utilisateur ? Le constructeur devra-t-il prévoir la possibilité de ne pas traiter les données pourtant collectées par l’enregistreur exigé au titre de l’homologation du véhicule ? Doit-on d’ores et déjà encourager les constructeurs à envisager des modalités de déconnexion du boîtier d’enregistrement de la donnée ? L’enrichissement du rapport d’expertise par les données collectées est ainsi subordonné à de nombreuses conditions. Le consentement de la personne concernée par le traitement de la donnée collectée s’avère être la clé de voûte de cette évolution quand bien même l’EDR relèverait d’une disposition règlementaire obligatoire pour l’homologation des véhicules. Au challenge juridique s’ajoute un défi technique et sociétal : comment protéger les données qui seront collectées afin que l’utilisateur ait confiance dans le traitement et l’exploitation sans qu’il ait à craindre des risques de violation de ses données personnelles ? Si les données émises par les infrastructures (au sens large) pourraient exiger des contraintes supplémentaires, voire une redondance de la donnée qui sécuriserait l’ensemble, l’acceptabilité sociale de l’innovation numérique doit être accompagnée pour favoriser l’introduction des nouvelles technologies dans notre acceptation de la gestion des sinistres, et en particulier dans l’enrichissement du rapport de l’exper­tise automobile. ?

1. Les exemples se multiplient auprès des compagnies d’assurance, V. not. : https://www.amaguiz.com/assurance-auto/boitier-pay-as-you-drive ; www.youdrive.fr

2. V. les travaux menés dans le cadre du projet AutoConduct financé par l’ANR (www.agence-nationale-recherche.fr/fileadmin/.../aap-g-anr-DS06-selection-2016.pdf) coordonné par Patricia Jonville, adjointe à la direction du programme EcoMobilité de Vedecom.

3. V. notre étude « Le renouveau du paradigme de l’expertise automobile au bénéfice des assureurs », Resp. civ. et assur., 2016, n° 12, p. 1.

4. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

5. Ibid. – L. n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, Jorf du 7 janvier 1978 p. 227.

6. Art. 4 du Règlement (UE) 2016/679, préc.

7. Art. 9 du Règlement (UE) 2016/679, préc.

8. Art. 4 du Règlement (UE) 2016/679, préc.

9. L. n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, préc.

10. Agreement 1958 text; done at Geneva on 20 March 1958 E/ECE/324E/ECE/TRANS/505

11. Règlement n° 79 de la Commission économique pour l’Europe des Nations unies (CEE-ONU) – Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne l’équipement de direction.

12. Pour les derniers travaux menés par le WP29, voir notamment : World Forum for Harmonization of Vehicle Regulations, 170th session, Geneva, 15-18 November 2016, ECE/TRANS/WP.29/1126.

13. Règlement (UE) 2015/758 du Parlement européen et du Conseil du 29 avril 2015 concernant les exigences en matière de réception par type pour le déploiement du système eCall embarqué fondé sur le service 112 et modifiant la directive 2007/46/CE.

14. CE, Assemblée, 23 décembre 2011, M. P., n° 303678.

Emploi

LA CENTRALE DE FINANCEMENT

RESPONSABLE ADJOINT MARCHE ASSURANCES H/F

Postuler

La Mutuelle Générale

CHARGE DE CONTENU MARKETING -(H/F)-CDD

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

Commentaires

L’enrichissement du rapport de l’expert automobile par les enregistreurs de données collectées

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié