Aux États-Unis, il n’existe aucune loi à l’échelle fédérale qui vise à légiférer les données personnelles. Il incombe donc à chaque État de mettre en oeuvre la panoplie juridique nécessaire pour éviter les déroutes. Cet arsenal est indispensable à l’heure où il est nécessaire de ne jamais perdre du regard de nombreux acteurs du numérique, d’autant plus qu’une nouvelle industrie arrive : l’automobile.
En Californie, l’agence pour la protection de la vie privée (CPPA) vient d’obtenir ses pleins pouvoirs depuis le 1er juillet pour mener des actions afin de faire respecter les textes du CCPA (California Consumer Privacy Act). Et en guise de première mission, elle s’est justement donné pour cible les voitures connectées. Une enquête a été annoncée au début du mois d’août.
En fonction de l’enquête et des découvertes, l’agence est en mesure de pouvoir ordonner un fabricant de faire supprimer certaines données, ou en empêcher le partage. Les informations récupérées par une voiture connectée à Internet peuvent être très nombreuses et confidentielles, et le but de l’enquête sera certainement d’aller faire la lumière sur le partage de la data à des tiers.
Selon le Washington Post, les politiques de confidentialités des constructeurs sont particulièrement vagues quand il est question du partage de la data à des acteurs tiers. Si ces derniers sont des partenaires commerciaux, cela veut donc dire que les données des conducteurs sont commercialisées et qu’à ce chapitre, la data générer par une voiture peut clairement dresser un portrait facile d’un client.
On constate en effet qu’une voiture connectée peut très bien enregistrer et analyser l’historique d’appel, les contacts, les positions géographiques (et déterminer la résidence, le lieu de travail, la destination des vacances, les loisirs, etc…), mais aussi enregistrer le contenu des caméras.
« Les véhicules modernes sont effectivement des ordinateurs connectés sur roues. Ils sont capables de collecter une multitude d’informations via des applications, des capteurs et des caméras intégrés, qui peuvent surveiller les personnes à l’intérieur et à proximité du véhicule », comment le directeur exécutif de la CPPA, Ashkan Soltani.
Les enquêtes en Europe et en France
De l’autre côté de l’Atlantique, l’Europe et la France devancent les États-Unis avec un vrai socle de loi commun, le RGPD (Règlement Général de la Protection des Données). En revanche, pour ce qui est des enquêtes, les débuts restent très timides. Actuellement, la Cnil (Commission nationale de l’informatique et des libertés) a ouvert un « club conformité », dans le but de maintenir le dialogue et la prévention avec les acteurs pour éviter les écarts.
Les textes sont bien là et le CEPD (Comité européen de la protection des données) possède aussi une instance dédiée à la voiture connectée. De mars à juin 2022, l’Union européenne ouvrait également une consultation publique, mais celle-ci visait surtout à réfléchir sur l’évolution du cadre réglementaire plus que d’aller enquêter sur les habitudes des constructeurs.
Et le risque est bien là, car en juillet 2022, le gendarme français avait fait payer le spécialiste de l’autopartage Ubeeqo pour avoir utilisé de façon excessive les données de localisation des clients. En question : une géolocalisation quasi permanente, mais aussi un stockage des données des clients pendant la période de leur contrat et jusqu’à 3 ans après. L’amende en question avait été de 175 000 euros, en guise d’atteinte à la vie privée (les amendes de la Cnil montent à plusieurs dizaines de millions d’euros).
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Washington Post
