Ces nombreuses données que collectent les constructeurs à l'insu des automobilistes

Atlantico : Les constructeurs automobiles échouent au test de confidentialité sur l’utilisation des données personnelles, selon une étude publiée par des chercheurs de la Fondation Mozilla (« Privacy Not Included »). La fondation Mozilla apporte-t-elle une preuve concrète des craintes légitimes quant à l’ultra-connectivité des objets ? Les voitures sont-elles devenues des centres de collecte de données ?

Julien Pillot : Les voitures sont devenues indéniablement des centres de collecte de données. L’électronique embarquée est de plus en plus présente dans les habitacles, de plus en plus précise et disons-le, de plus en plus intrusive. De nombreux spécialistes de la Tech tirent la sonnette d’alarme depuis de nombreuses années auprès de l’opinion publique, du législateur et des constructeurs, sur le fait que la voiture qui était pendant très longtemps, et qui demeure encore aujourd’hui dans l’inconscient collectif, un espace privé et de liberté, ne l’est plus tout à fait en réalité. La voiture collecte de plus en plus de données sensibles, sur les habitudes de déplacement et la sociologie des occupants, mais également sur ce qui peut se dire ou se faire à l’intérieur de l’habitacle. La fondation Mozilla démontre qu’il y a de la collecte de données, que les constructeurs ne s’interdisent pas de partager ces données ou de les vendre à des entités tierces. Mais pour l’instant, rien ne garantit que cela soit réellement massif et que cela soit fait en contradiction avec les garde-fous qui pourraient être déployés sur le plan législatif, notamment le RGPD pour ce qui concerne l’Europe.

Les voitures aujourd’hui sont extrêmement dotées en capteurs, en outils numériques qui peuvent faire l’objet de collectes de données assez massives et intrusives. Les conversations notamment pourraient être ciblées, notamment à des fins de marketing ou d’espionnage. Les constructeurs et les fournisseurs de technologie pourraient avoir accès à des données qui peuvent être extrêmement sensibles, sans même évoquer les hackers qui pourraient s’approprier ces informations de façon indue et insidieuse. Comme nous l’avons vu, le niveau d’intrusivité potentiel est préoccupant, à plus forte raison que la Fondation Mozilla montre que les données biométriques, ethniques voire même liées à la sexualité des automobilistes et des occupants, sont aussi potentiellement concernées. De la même manière que l’on s’interroge sur des objets connectés qui collectent des données de santé ou des données personnelles très sensibles, il est crucial de se pencher sur le commerce qui peut éventuellement être fait des données qui sont collectées par les voitures.

Est-ce que cela concerne aussi la France ? Les automobilistes français sont-ils à l’abri ? Les constructeurs automobiles français sont-ils plus respectueux du RGPD ?

Renault et Dacia permettent aux conducteurs de faire supprimer leurs données. Sur l’ensemble des entreprises étudiés (plus d’une vingtaine) par la Fondation Mozilla, ce sont les deux seuls constructeurs qui offrent cette possibilité. Or, tous les automobilistes français et européens ne roulent pas en Renault ou en Dacia. Il est donc important de s’intéresser aux pratiques commerciales et relatives au respect de la vie privée de l’ensemble des constructeurs. A ce sujet, le rapport de la fondation Mozilla interpelle. Les conditions de collectes de données sont des plus opaques. Lorsqu’ils demandent aux constructeurs de rendre des comptes, tous ne sont pas enclins à répondre de manière très transparente. Et lorsqu’ils le sont, à l’image de Nissan, on découvre que les constructeurs automobiles ne sont pas toujours précautionneux sur la façon dont ils vont gérer la seconde vie des données qui sont collectées par le biais du véhicule. Cela est assez problématique.

Mais il y a une bonne nouvelle pour les conducteurs français et européens. Le réseau des CNIL veille à faire respecter le règlement pour la protection des données, le RGPD. S’il était avéré, au terme d’une procédure, que les constructeurs manqueraient de précaution et de discernement quant à l’utilisation licite des données personnelles qu’ils sont en capacité de capter par le biais du véhicule et de revendre sur le plan commercial, il y a fort à parier que les constructeurs, au même titre que certains grands acteurs de la technologie, seront sanctionnés. Nous avons cette chance-là en Europe d’avoir cette réglementation sur le RGPD qui donne des gages de protection supplémentaire aux clients quant au respect de leur vie privée.

Reste à savoir si ce type de procédures seront effectivement lancées à leur encontre. Il n’est d’ailleurs pas interdit de penser que les constructeurs puissent avoir aussi des régimes et pratiques qui soient différenciés en fonction des zones juridiques dans lesquelles ils font circuler leurs voitures. En l’absence d’enquête plus approfondie, nous restons en alerte quant à cette éventualité.

Les propriétaires ont-ils la possibilité de contrôler les données collectées ? Est-il possible de désactiver certaines configurations, capteurs, microphones ou objets au sein des voitures ? Peut-on avoir un accès réel aux données embarquées ?

Les consommateurs commencent à prendre conscience que leurs données sensibles ont de la valeur et qu’elles peuvent faire l’objet d’un commerce non sollicité. Des études économiques montrent que les consommateurs occidentaux commencent à renoncer à acheter certains objets connectés parce qu’ils craignent que le constructeur de l’objet en question puisse avoir accès à des niveaux de données qu’ils jugent comme étant beaucoup trop intimes. Ces cas de figure se présentent pour les appareils liés à la santé connectée. Pour les véhicules, il n’y a pas à ma connaissance d’étude scientifique spécifique qui permettraient de savoir si le consommateur a bien compris que son véhicule est truffé de capteurs et que, à l’instar de son smartphone, il collecte énormément de données personnelles.

Il faudrait ensuite, dans le meilleur des mondes, que les constructeurs mettent en place des mécanismes de contrôle des données partagées qui soient accessibles, compréhensifs, intuitifs . S’il y a des niveaux de captation de données dont les utilisateurs ne veulent pas, il faut que cette option-là puisse être désactivée très facilement, sans que cela nuise au confort de conduite ou au confort d’utilisation du véhicule. Or, il y a peu de constructeurs qui permettent de faire ce type de manipulations de façon très intuitive. Lorsque cela est présent, ce droit de retrait est généralement difficile à faire valoir, étant souvent caché dans des sous-menus du système « d’infotainment ». Dit autrement, les constructeurs automobiles doivent s’inspirer de ce qui se pratique déjà au niveau des services numériques s’étant mis en conformité avec le RGPD, où les consommateurs sont alertés de façon claire et compréhensible des usages réalisés avec leurs données personnelles, avec la possibilité de faire de « l’opt-in » (consentement à utiliser les données pour certains types de services rendus) et de « l’opt-out » (refus de partage de données en renoncement à certains services associés). Il faudrait que les constructeurs automobiles se mettent au diapason, mais cela ne semble pas être pour l’heure considéré comme une priorité.

Les normes de sécurité sont-elles garanties ? Y a-t-il des risques de piratage et de vol de données liés aux voitures connectées ? Est-ce une nouvelle difficulté qui s’inscrit dans le cadre du RGPD ?

Les risques de piratage existent. A partir du moment où vous êtes connectés à Internet, il y a des possibilités de fuites et de captations de données pour des intérêts commerciaux et, parfois, malveillants. De manière générale, partout où il y a de l’hyper connectivité, il faut être vigilant et très précautionneux concernant la cybersécurité.

Au-delà des risques de fuite de données à caractère personnel, et d’espionnage, que nous avons déjà évoqués, l’un des principaux risques concerne également la conduite autonome. La science-fiction pourrait devenir une forme de réalité. Avec un piratage, la prise de contrôle à distance d’un véhicule autonome fait redouter le pire. Cela représente une véritable hantise pour les entreprises qui proposent de la délégation de conduite ou qui travaillent sur des modèles d’automatisation de conduite totale, de niveau 4. Des hackers malveillants pourraient prendre le contrôle à distance des véhicules autonomes piratés pour le voler ou provoquer une situation chaotique sur la route.

Fort heureusement, les constructeurs auraient fort à perdre avec un nouveau scandale sur des fuites de données et nous pouvons imaginer qu’ils font le nécessaire pour sécuriser au maximum leurs systèmes informatiques et leurs serveurs distants, et qu’ils mettent la pression sur leurs fournisseurs de technologie pour en faire autant. De même, les législateurs sont de mieux en mieux équipés pour surveiller les mauvais agissements qu’il pourrait y avoir autour des données individuelles et pour sanctionner les mauvaises pratiques. Il est vrai Le niveau d’intrusivité interroge et questionne et que les hackers ont toujours un temps d’avance. Mais nous n’avons jamais été aussi bien armés sur le plan juridique et technique afin de bien adresser ces problématiques.