Votre voiture connectée vous espionne-t-elle infiniment plus que tout ce que vous pouvez imaginer ?

Julien Pillot : Commençons déjà par rappeler que les voitures, à force de connectivité, sont devenues de véritables centres de collecte de données personnelles. Cela est la résultante de la multiplication des capteurs et caméras embarquées, lesquels vont enregistrer tout un tas d'informations relatives à l'état du véhicule, mais aussi des informations plus sensibles concernant vos usages (style de conduite, trajets...), voire des données relatives à vos conversations, l'identité de vos covoiturés ou vos pratiques à l'intérieur de l'habitacle. Le rapport "Privacy not included" de la fondation Mozilla est assez éclairant sur le sujet.

Certains constructeurs proposent à leurs clients de collecter leurs données à deux fins. La première consiste à accéder régulièrement aux données du véhicule pour assurer une maintenance prédictive. Cela permet au propriétaire d'être alerté quand le véhicule nécessite une intervention pour changer une pièce d'usure ou pour rectifier un éventuel dysfonctionnement. La seconde consiste à transmettre les données relatives à la conduite (temps de conduite, accélérations brusques, excès de vitesse, freinages d'urgence...) de façon à établir un "profil de conducteur". Les bons conducteurs se voient ainsi récompensés par une réduction de leur police d'assurance, et inversement. On comprend que le business model sous-jacent repose sur la vente de ces données personnelles à des compagnies d'assurance tierces qui, à leur tour, vont répercuter ce coût d'acquisition, augmenté des primes accordés aux bons conducteurs et d'une prime de risque, sur les mauvais conducteurs. 

C'est le sens, puisque vous le citez, du programme "On Star Smart Driver" de General Motors. L'idée est de s'appuyer sur la "gamification" pour inciter les clients-conducteurs, en leur permettant d'avoir un accès en temps réel à leurs données de conduite, à améliorer leur comportement routier de façon à réduire leurs polices d'assurance. Encore faut-il que le client-conducteur soit parfaitement informé des contours du programme, des compagnies partenaires, des conséquences positives ou négatives éventuelles, et ait donné explicitement son consentement à participer au programme. Et à ce sujet, certains constructeurs ne semblent pas toujours irréprochables.

Sur le plan éthique, c'est d'abord une question de confiance qui peut être définitivement rompue entre le constructeur et le client, si celui-ci s'aperçoit que le constructeur revend ses données à son insu. A plus forte raison si ce comportement peu transparent finit par lui nuire s'il se traduit par une augmentation de la police d'assurance. Cette question de transparence est cruciale et ne se limite d'ailleurs pas à la question classique des CGU que les clients, il est vrai, ne lisent pour ainsi dire jamais. C'est aussi une question de process tout au long du parcours de vente du véhicule. Les vendeurs et concessionnaires sont tenus de bien exposer les contours de ce type de programmes, pour obtenir un consentement explicite et éclairé. Le font-ils ? On est en droit d'en douter, à plus forte raison que les vendeurs en concession sont intéressés à l'inscription au programme. Dit autrement, les constructeurs ne veulent pas seulement vendre des voitures, ils veulent vendre des voitures connectées et un maximum de services qui tirent parti de cette connectivité.

Sur le plan légal, les conséquences peuvent varier d'une juridiction à l'autre. Par exemple, là où le RGPD s'applique, les sanctions pécuniaires peuvent se monter à 4% du chiffre d'affaires selon l'appréciation de la gravité de la violation, son ampleur ou la durée. Cette sanction peut être assortie de mesures correctrices, mais aussi de sanctions pénales et du versement de dommages et intérêts ainsi qu'une publicité de la violation, ce qui peut entrainer un déficit d'image.

Dans le cas qui nous intéresse, ces sanctions pourraient être aggravées dans la mesure où, en 2014, l'Alliance for Automotive Innovation (alliance des plus grands constructeurs automobiles du Monde, dont GM) se sont engagés auprès de la Federal Trade Commission à délivrer aux clients une information "claire, significative et visible" quant à la collecte de données, ainsi qu'aux fins auxquelles elles sont collectées, et les entités avec lesquelles les données sont susceptibles d'être partagées. Visiblement, ces engagements - qui ont été renouvelés en 2022 - n'ont pas été systématiquement respectés, ce qui peut constituer une circonstance aggravante.

De nouveau, cela dépend des juridictions et du droit applicable.

Le RGPD, là où il s'applique, répond à cet objectif d'encadrement en toute transparence de la collecte et de partage des données de conduite. Les constructeurs automobiles y sont soumis et doivent, par conséquent, se mettre en conformité.

Quant à savoir si le règlement est efficace, cela dépend de très nombreux paramètres qui ne sont pas toujours observables. Ce que l'on peut objectivement observer, c'est le montant total des sanctions prononcées pour violation du RGPD depuis son entrée en vigueur en UE : 4,5 milliards d'euros. Sans surprise, ce sont les géants du numérique et les data brokers qui sont particulièrement ciblés. Ce qui n'est pas observable, c'est dans quelle mesure la mise en place du RGPD a poussé les entreprises à être transparentes là où elles ne l'auraient pas été en son absence. De manière générale, hors considérations éthiques, les entreprises vont souvent avoir un comportement rationnel à ce niveau : elles vont estimer le gain lié à une violation de la règle (ce qui inclut également les économies de coût lié à la mise en conformité), et le minorer par les sanctions potentielles multipliées par la probabilité de se faire sanctionner. Ce qui m'amène souvent à dire que l'efficacité d'une règle dépend étroitement de la capacité des autorités à détecter les infractions et à appliquer une sanction réellement dissuasive.

Il est très difficile d'apporter une réponse à cette question, à plus forte raison qu'on ne sait pas dans quelle mesure les pratiques de GM sont généralisées à l'industrie, ou s'il s'agit d'un cas isolé.

Plusieurs scénarios sont envisageables. Dans l'hypothèse où GM ferait l'objet d'une sanction financière particulièrement élevée, et verrait son image passablement dégradée, alors ce précédent pourrait avoir valeur d'exemple pour discipliner l'ensemble de l'industrie. L'idée n'est pas tant d'interdire la revente de données de conduite à des assureurs, mais de le faire dans les règles de bonne information du consommateur, en toute transparence, et en recueillant explicitement au préalable son consentement éclairé. Soit exactement ce en quoi l'Alliance of Automotive Innovation s'était engagée devant la FTC en 2014.

Il est important que les constructeurs ne collectent que des données liées au bon fonctionnement du véhicule et à son usage. Les données relatives à la vie privée (nature et fréquence des déplacements, conversations privées, nombre et identité des personnes dans l'habitacle...) n'ont pas à être connues par eux.

Pour ce qui est des données de conduite, nous l'avons vu, c'est d'abord une question d'éthique qui exige de s'assurer, tout au long du parcours client, que celui-ci soit parfaitement informé de la nature des données collectées, des entités auxquelles elles peuvent être revendues, et des conséquences - positives comme négatives - pour lui. Ce qui exige de revoir l'ensemble du processus de vente, à commencer par la façon dont les vendeurs en concession sont bien (in)formés à la vente de produits et de services connectés, et à revoir les mécanismes de rémunération incitative qui peuvent facilement se muer en "pousse-au-crime".