Le développement des véhicules connectés a suscité de nombreuses inquiétudes de la part des automobilistes en matière de protection de leurs données à caractère personnel.

Consciente du risque d'atteinte à la règlementation applicable aux données personnelles par ces nouveaux procédés technologiques (capteurs, boîtiers télématiques ou applications mobiles), la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 17 octobre 2017 un pack de conformité intitulé "Véhicules connectés et données personnelles".

Dès le printemps 2016, la CNIL avait entamé des discussions notamment avec des acteurs de la filière automobile, des professionnels de l'assurance, des opérateurs télécoms et l'Autorité de Régulation des Communications Electroniques (ARCEP) afin de proposer un référentiel visant à assurer une "utilisation responsable des données" issues des véhicules.

Ce pack vise à sensibiliser l'ensemble des acteurs sur le fait que "toutes les données qui peuvent être rattachées à une personne physique identifiée ou identifiable, notamment via le numéro de la plaque d'immatriculation ou le numéro de série du véhicule sont des données à caractère personnel" et que leur traitement est donc soumis au respect des dispositions de la Loi Informatique et Libertés et du Règlement Général sur la protection des données (RGPD).

Par conséquent, ce pack de conformité rappelle les principales obligations qui doivent être respectées par les responsables de traitement :

-          la personne concernée doit être informée du traitement (notamment par le biais de clauses figurant dans un contrat de vente et/ou de prestation de services) ;

-          la collecte doit être loyale ;

-          la finalité du traitement doit être déterminé, explicite et légitime ;

-          les données ne peuvent être conservées indéfiniment ;

-          la sécurité des données doit être garantie ;

-          le droit d'accès et d'opposition des utilisateurs doit être assuré.

Ce pack constitue également un guide des bonnes pratiques qui vise à aider les professionnels de la voiture connectée à respecter ces principes. Ces lignes directrices sont organisées de façon très concrète autour des trois principaux scenarii susceptibles d’être rencontrés par les professionnels du secteur :

• Scénario n°1 « IN => IN » : les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services ;
• Scénario n° 2 « IN => OUT » : les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée ;
• Scénario n° 3 « IN => OUT => IN » : les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.

Cette initiative a vocation à être portée au niveau européen en vue d'établir des lignes directrices européennes sur cette problématique.