Une voiture moderne sait beaucoup de choses sur son conducteur : où il dort, où il travaille, à quelle heure il part, et chez quel médecin il s’arrête. Tant que ces informations restent bien gardées, personne ne s’en émeut. Le problème surgit quand elles fuitent, comme l’a appris le groupe Volkswagen. La CNIL vient de publier sa recommandation sur l’usage des données de localisation des véhicules connectés, voitures, vélos et scooters compris.
Comment les trajets de 800 000 voitures ont fini en libre accès
L’affaire remonte à fin 2024 : Cariad, la filiale logicielle de Volkswagen, avait laissé un espace de stockage en ligne mal configuré pendant des mois. Résultat, les données de localisation de quelque 800 000 véhicules électriques Volkswagen, Audi, Seat et Skoda se sont retrouvées exposées. Pour 460 000 d’entre eux, la position était précise à une dizaine de centimètres.
La faille a été repérée par un lanceur d’alerte anonyme, puis vérifiée par le Chaos Computer Club, une association de hackers européenne. Pour prouver le danger, ses membres ont reconstitué les déplacements d’un responsable de la défense allemande et d’un maire, jusqu’à leur médecin ou leur lieu de travail. La France faisait partie des pays concernés, aux côtés de l’Allemagne et de la Belgique. Cariad a reconnu une « mauvaise configuration » et assuré qu’aucune donnée bancaire n’avait fuité.
Consentement obligatoire, sauf si vous l’avez vraiment demandé
La recommandation vise les constructeurs, les loueurs, les fournisseurs de boîtiers télématiques et les agrégateurs de données. Pour la CNIL, la localisation relève des « données hautement personnelles », parce qu’elle expose la vie privée. Le texte pose donc un principe simple : exploiter ces données suppose le consentement de l’utilisateur, sauf si elles sont nécessaires à un service qu’il a expressément demandé, comme un dépannage. La CNIL rappelle aussi que conserver l’historique complet des trajets n’a, en principe, rien d’indispensable : pour un dépannage, la dernière position suffit souvent.
Pour les automobilistes, le texte se traduit par des droits concrets : retirer son consentement, accéder à ses données, les faire effacer ou les récupérer. La CNIL pousse aussi les constructeurs vers des profils authentifiés, pour que chaque conducteur d’un même véhicule garde la main sur ses propres trajets. Et elle insiste sur un réflexe que presque personne n’a : avant de revendre sa voiture ou de rendre un véhicule de location, mieux vaut effacer ses informations et réinitialiser le système. Trajets, adresses GPS et journaux d’appels restent sinon dans le tableau de bord, à la portée du prochain conducteur.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : CNIL
