En octobre dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié un pack de conformité sur les véhicules connectés et les données à caractère personnel.
Pour élaborer ce pack, la CNIL s’est concertée avec les constructeurs automobiles, les assurances, les autorités publiques ainsi que les opérateurs télécoms qui sont directement concernés par la problématique du traitement des données à caractère personnel des utilisateurs de véhicules connectés.
La publication de ce pack quelques mois avant l’entrée en vigueur du Règlement sur la protection des données (RGPD) n’est pas un hasard. En effet, les voitures connectées collectent un nombre de plus en important de données à caractère personnel. Ce pack a donc pour but de guider les professionnels de l’automobile à se mettre en conformité avec le nouveau Règlement.
La CNIL distingue trois modèles différents mais en recommande un seul, le plus protecteur en ce qui concerne les données à caractère personnel des utilisateurs : ce modèle permet la collecte des données à caractère personnel à l’intérieur du véhicule sans les transmettre à l’extérieur.
Pour chaque modèle, la CNIL donne des lignes directrices permettant à chaque traitement identifié de préciser leurs finalités, les catégories de données à caractère personnel collectées, leur durée de conservation, les mesures de sécurité à mettre en place ainsi que les destinataires des informations transmises.
En outre, la CNIL définit, dans ce pack, la notion de données à caractère personnel : « données relatives aux trajets effectués, à l’état d’usure des pièces, aux dates des contrôles techniques, au nombre de kilomètres, ou au style de conduite, dans la mesure où elles sont susceptibles d’être rattachées à une personne physique, notamment via le numéro de série du véhicule et le numéro de la plaque d’immatriculation, par le responsable de traitement ou par toute autre personne ».
Enfin, la CNIL encourage les constructeurs automobiles à envisager la protection des données à caractère personnel dès la conception « privacy by design ».
