Si le pack « véhicule connecté » est en cours de finalisation, la Cnil fournit ses premières préconisations.
Le pack « véhicule connecté » de la Cnil : outil de compliance
La Cnil, qui se positionne résolument en faveur des technologies avancées, travaille à la définition d’un pack de conformité « véhicule connecté ».
Les packs de conformité traduisent la volonté de la Commission de fournir aux responsables de traitements des outils leur facilitant la mise en conformité de leurs traitements dans le cadre d’une démarche de compliance.
Ces packs sont établis en concertation et pour les besoins des professionnels et des secteurs d’activités concernés.
A titre d’exemple, le secteur social, les bailleurs sociaux, les assurances et les banques, sont autant de secteurs qui ont pu bénéficier de ces outils.
La démarche proposée pour les véhicules connectés (1) est similaire à celle adoptée par la Cnil pour les compteurs intelligents.
Les premières recommandations de la Cnil
A l’occasion du mondial de l’automobile, la Cnil publie ses premières réflexions résultant des discussions intervenues avec l’ensemble de l’écosystème des véhicules connectés.
Elle confirme que l’enjeu recherché est « d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits et assurer la transparence et le contrôle par les personnes de leurs données ».
Pour atteindre ces objectifs la Cnil, anticipant la future entrée en vigueur du règlement européen, recommande d’adopter une approche de protection des données dès la conception ou « privacy by design ».
Dans le cadre de cette démarche, les acteurs, parties prenantes à un projet de véhicule connecté, doivent intégrer dès l’origine les contraintes de protection des données et notamment, prévoir les fonctionnalités nécessaires pour assurer la conformité de leur projet.
A ce titre, tout projet doit intégrer des mécanismes visant, non seulement, à assurer, la sécurité et la confidentialité des données, mais également, l’information des personnes ou encore le principe de minimisation des données …
IN => IN, IN => OUT et IN => OUT => IN
La Cnil insiste aussi sur l’importance de l’information des personnes voir, sur le recueil de leur consentement préalable.
De ce point de vue, elle reprend la démarche qu’elle avait adoptée dans son pack « compteurs communicants » en distinguant trois situations correspondant à trois caractéristiques différentes de traitement de données dans le cadre du véhicule connecté, à savoir :
- IN => IN les données demeurent dans le véhicule, sans aucune communication à l’extérieur ;
- IN => OUT les données collectées via le véhicule connecté sont transmises à un tiers en vue de la fourniture d’une prestation de service à la personne concernée ;
- IN => OUT => IN les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.
Compte tenu de la volonté de la Cnil d’encourager l’innovation, même si au regard de ces premières réflexions elle privilégie le IN => IN, il ne fait pas de doute que son pack définira les conditions dans lesquelles les projets IN => OUT et IN => OUT => IN devront s’inscrire pour répondre aux impératifs de protection des données.
Démarche prospective en attente du pack « véhicule connecté »
D’ores et déjà, à l’instar des recommandations de la Cnil en matière de compteurs communicants, il est recommandé aux constructeurs et autres acteurs de l’écosystème des véhicules connectés de procéder à une double analyse :
- d’impact sur la vie privée ;
- des risques ;
pour déterminer les mesures et mécanismes de garantie à mettre en œuvre pour assurer la protection des données des personnes concernées.
A cet effet, la Cnil insiste sur la nécessité de mettre en place des outils permettant aux personnes concernées de maitriser leurs données selon le concept d’ « empowerment ».
Si à ce stade, la démarche adoptée par la Cnil est similaire à celle adoptée pour les compteurs communicants, il faudra attendre la publication du pack pour permettre aux acteurs d’identifier les spécificités du véhicule connecté.
Nathalie Plouviet
Lexing Droit de l’internet des Objets
Céline Avignon
Lexing Publicité et Marketing électronique
(1) Cnil, Dossier « Pack de conformité : Les compteurs communicants » 5-2014 ; Lire également notre Post du 3-7-2014.