Le 17 octobre 2017, la Commission nationale de linformatique et des libertés (Cnil) a mis en ligne le pack de conformité « véhicules connectés et données personnelles », qui permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données (RGPD), applicable à partir du 25 mai 2018.
Ce pack de conformité a été élaboré en concertation avec les acteurs de la filière automobile, les entreprises de plusieurs secteurs dactivité dont les assurances et les télécoms et les autorités publiques.
Accompagnant linnovation durable des professionnels du secteur, ce pack identifie trois hypothèses de travail qui correspondent à trois scenarii rencontrés par les professionnels du secteur :
– Scénario n° 1 « IN => IN » : les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services ;
– Scénario n° 2 « IN => OUT » : les données collectées dans le véhicule sont transmises à lextérieur pour fournir un service à la personne concernée ;
– Scénario n° 3 « IN => OUT => IN » : les données collectées dans le véhicule sont transmises à lextérieur pour déclencher une action automatique dans le véhicule.
Ces lignes directrices permettent, pour chaque type de traitement identifié, de préciser leurs finalités, les catégories de données collectées, leurs durées de conservation, les droits des personnes, les mesures de sécurité à mettre en place et les destinataires des informations.
Dans ce pack, la Cnil met particulièrement laccent sur les points suivants :
– toutes les données qui peuvent être rattachées à une personne physique identifiée ou identifiable, notamment via le numéro de la plaque dimmatriculation ou le numéro de série du véhicule sont des données à caractère personnel protégées par la loi Informatique et Libertés et le règlement général sur la protection des données (données relatives aux trajets effectués, à létat dusage des pièces, aux dates des contrôles techniques
) ;
– le pack vise à sensibiliser les acteurs économiques du secteur automobile sur les principes dautodétermination informationnelle, de transparence et de loyauté de la collecte (qui impliquent, a minima une information des personnes concernées, voire le recueil de leur consentement) ;
– une approche de protection des données dès la conception (« privacy by design ») doit être privilégiée ;
– les acteurs sont encouragés à privilégier le scénario IN => IN, qui implique le traitement des données en local, dans le véhicule, sans transmission vers le fournisseur de services.
Ce pack est un document évolutif qui a vocation à être complété et mis à jour après lentrée en application du règlement européen sur la protection des données le 25 mai 2018.
En outre, il a également vocation à être porté au niveau européen pour permettre aux acteurs de se positionner sur un marché européen, voire mondial.