Le projet de loi d’orientation des mobilités (1) prévoit certaines dispositions permettant l’accès aux données des utilisateurs.
Alors que la totalité des nouveaux modèles de véhicules proposés en Europe, aux Etats-Unis et en Chine seront connectés à Internet en 2022, notamment à l’aide de boitiers télématiques, intégrés ou non au véhicule, l’essor des véhicules connectés pose la question de l’encadrement des données qu’ils produisent. La nouvelle réglementation relative à la généralisation des enregistreurs de données en cas d’accident et d’état de délégation (2) devrait également accroître le volume de données disponibles.
Dans ce contexte, le gouvernement a souhaité intégrer des dispositions relatives à l’accès à ces données dans le cadre du projet de loi des mobilités, actuellement en cours d’examen à l’Assemblée nationale.
Les enjeux
L’étude d’impact relative à ce projet de loi fait état d’enjeux d’ordre :
- technique, notamment s’agissant de questions d’interopérabilité ou de cybersécurité ;
- économique : les données des véhicules connectés pouvant être considérées comme des infrastructures essentielles, l’accès à ces données doit être permis dans des conditions non discriminatoires pour éviter que ne se constituent des barrières à l’entrée anti-concurrentielles ;
- juridique dans la mesure où il s’agit de données à caractère personnel.
Les dispositions du projet de loi des mobilités
L’article 13 du projet prévoit la possibilité pour le Gouvernement de prendre par voie d’ordonnance dans un délai de dix-huit mois à compter de la publication de la loi toute mesure afin de :
- rendre accessible aux forces de l’ordre et aux services d’incendie et de secours, certaines données des véhicules connectés, y compris des systèmes d’aide à la conduite ou de navigation intégrés au véhicule, nécessaires à l’exercice de leurs missions;
- rendre accessibles certaines données événementielles ou d’état de délégation de conduite enregistrées, en cas d’accident de la route, aux officiers et agents de police judiciaire ainsi qu’aux organismes chargés des enquêtes accidents ;
- permettre la correction télématique des défauts de sécurité et l’amélioration de la sécurité des systèmes d’automatisation, par des modalités appropriées d’accès aux données pertinentes de ces véhicules.
L’accès aux données de la part des forces de l’ordre et des services d’incendie et de secours (SDIS)
Au-delà du fait que la notion de véhicule connectée n’est pas clairement définie, le texte est assez imprécis sur la nature des données qui seraient concernées. Il évoque en effet « certaines données des véhicules routiers connectés » ce qui semble assez imprécis. Il s’agirait cependant des données « nécessaires à l’exercice » des missions des forces de l’ordre et des SDIS. Par ailleurs, la finalité de cette collecte n’est pas précisée, ni le moment de cette collecte : s’agit-il d’un accès en continu ou ponctuel en cas d’accident ? Enfin, la plus-value de cette disposition n’est pas évidente dans la mesure où les services de police et de gendarmerie peuvent déjà avoir accès à ces données sur réquisition judiciaire.
L’accès aux données d’EDR et d’ADDR
Les mêmes remarques que précédemment peuvent être faites. Dès lors, la nécessité de prévoir une disposition spécifique pour l’accès à ces données n’apparait pas clairement.
La correction télématique des défauts de sécurité et l’amélioration de la sécurité des systèmes d’automatisation
Il s’agit de permettre aux constructeurs de modifier par voie télématique les paramètres de fonctionnement du véhicule connecté lorsqu’ils « présentent des enjeux critiques de sécurité routière » (analyse d’impact). Ce projet de disposition ne mentionne pas qui serait habilité à accéder à ces paramètres et ne précise pas non plus comment la personne concernée serait informée de cet accès, voir si celui-ci devrait donner son consentement à toute intervention.
Dans le cadre de l’examen du projet de loi au Sénat, la Commission des lois et le rapporteur ont conclu au fait que la nécessité de recourir à une ordonnance n’apparaissait pas évidente – en l’absence d’urgence – et que l’habilitation apparaissait trop imprécise. Le rapporteur a donc sollicité la suppression de cette disposition. Il regrette en particulier que le Gouvernement souhaite agir sur des sujets relevant de la protection des données personnelles sans soumettre ce travail à la discussion du Parlement. Il a donc été proposé de supprimer cette disposition.
Cependant, partageant les objectifs du Gouvernement quant à la nécessité d’apporter des « réponses juridiques aux questions posées par le recueil, le traitement et l’exploitation des véhicules connectés », le rapporteur a invité le Gouvernement à proposer une nouvelle rédaction plus satisfaisante en vue de sa discussion en séance publique.
Réécriture lors des débats au Sénat
Lors des débats en première lecture au Sénat, le Gouvernement a proposé par voie d’amendement une réécriture de cette disposition.
La nouvelle rédaction proposée lors des débats au Sénat le 21 mars 2019 prévoit désormais six cas dans lesquelles les données relatives aux véhicules connectées seraient accessibles.
Elle prévoit notamment de « rendre accessibles, sans consentement du conducteur et gratuitement, en cas d’accident de la route, les données des dispositifs d’enregistrement de données d’accident et les données d’état de délégation de conduite enregistrées dans la période qui a précédé l’accident, aux officiers et agents de police judiciaire aux fins de détermination des responsabilités ainsi qu’aux organismes chargés de l’enquête technique et de l’enquête de sécurité prévues à l’article L. 1621-2 du code des transports ».
Elle précise également que l’accès « aux données pertinentes des véhicules » doit être permis afin de permettre la correction télématique des défauts de sécurité et l’amélioration de la sécurité des systèmes d’automatisation via « des modalités appropriées ».
Enfin, des mesures devront être adoptées afin de « permettre un accès non discriminatoire aux données pertinentes des véhicules pour le développement des services liés au véhicule de réparation, de maintenance et de contrôle technique automobiles, d’assurance et d’expertise automobiles, etc. »
Si cette seconde rédaction apparaît plus précise, la notion de « données pertinentes » ne fait cependant l’objet d’aucune définition.
Ce texte, voté au Sénat le 2 avril, a été transmis à l’Assemblée nationale. Il fait l’objet d’une procédure législative accélérée.
L’accès aux données des véhicules connectés est un enjeu majeur qu’il s’agisse de faire bénéficier la collectivité des données de mobilité, de protéger les données personnelles des utilisateurs (parfois susceptibles de révéler des informations sensibles) et le secret des affaires des constructeurs ou encore la sécurité des transports routiers (qu’en est-il si l’accès aux données télématiques est détourné à des fins malveillantes et non pour corriger des paramètres de sécurité, etc.). Dès lors, ce projet apparaît comme crucial dans le paysage législatif.
Aurélie Banck
Lexing Conformité RGPD Banque et Assurance
(1) Projet de loi d’orientation des mobilités. Texte n° 157 (2018-2019) de M. François DE RUGY, ministre d’État, ministre de la transition écologique et solidaire et Mme Élisabeth BORNE, ministre chargée des Transports, déposé au Sénat le 26 novembre 2018.
(2) Dans le cadre du projet de révision du règlement sur la sécurité des véhicules, la Commission européenne a proposé que les nouveaux véhicules particuliers soient obligatoirement équipés d’un enregistreur de données d’évènement (d’accident) également appelé Event Data Recorder (pour EDR).