Le véhicule connecté : protection des données personnelles
Titre 3. La transformation de l’automobile traditionnelle: symptômes des inquiétudes à venir.
Passées les inquiétudes relatives au cadre juridique des voitures autonomes, se posent celles de la protection des données personnelles collectées par le véhicule autonome et connecté (Chapitre 1) notamment au regard du respect de la vie privée; et celle du comportement éthique de la voiture (Chapitre 2).
Chapitre 1. La protection des données personnelles collectées dans un véhicule « hyper connecté ».
La mise en circulation des voitures autonomes supposera que ces derniers soient équipés de logiciels de traitement des données de circulation.
Certains constructeurs ont même évoqué l’existence de boîtes noires comme dans les avions.
Protection des données personnelles – Opérations financières sur l’internet
Se pose alors la question de savoir si de tels systèmes peuvent être intégrés au véhicule et utilisés à titre de preuve sans pour autant méconnaître les droits et libertés de ses usagers ?
Ainsi, l’exigence de preuve est-elle un enjeu compatible avec le respect de la vie privée ?
Quelles sont les données susceptibles d’être collectées et dans quelle mesure peut-on le faire ?
Section 1. Les données personnelles mises à l’épreuve par l’arrivée du véhicule autonome.
§1. L’impact de la connexion des voitures automatisées.
A) La traçabilité d’un véhicule par la somme des informations collectées.
Le véhicule connecté et autonome a de nombreuses incidences en matière de protection des données et des libertés individuelles79. En effet, lors de son utilisation, le véhicule connecté va collecter une quantité de données relatives:
- au comportement du véhicule,
- mais également aux habitudes de l’utilisateur: comportement du conducteur, nature de ses déplacements et trajets parcourus, etc.
79 Vingiano I. Le renouveau du paradigme de l’expertise automobile au bénéfice des assureurs, déc. 2016 – Revue LexisNexis, responsabilité civile et assurances n°12, étude 14.
Les différents types de données collectées peuvent aller des informations d’identification et de géo localisation, jusqu’aux conversations et aux vidéos des caméras de surveillance à l’intérieur du véhicule, en passant par les informations dérivées via la Wifi du véhicule.
Si certaines de ces données pourront avoir un usage uniquement interne au véhicule (in-in), d’autres seront très prochainement transmises à l’extérieur, notamment aux services après-vente, ou aux services annexes situés le long du trajet effectué (in-out); d’autres encore pourront être transmises à l’extérieur du véhicule, interconnectées avec l’ensemble du big data, pour être traitées, avant de revenir vers le véhicule sous la forme de correctif afin d’adapter, au plus près, l’automobile à son utilisateur (in-out-in).
Il est indispensable d’assurer à ces données complexes et personnelles la protection la plus sûre possible.
Dans la Revue Juridique de l’Université de Santa Clara (Etats-Unis), une analyse approfondie a été réalisée sur le lien entre la vie privée et les voitures autonomes.
Dorothy J. Glancy distingue deux types de voitures autonomes:
- les voitures interconnectées, reliées à un réseau commun pour ces voitures, permettant d’échanger des informations;
- les voitures non connectées au réseau (« self-contained »), conservant toutes les données dans l’ordinateur de bord, sans effectuer d’échanges avec d’autres voitures.
La distinction est très importante car elle va avoir un impact sur la gestion des données issues de la voiture.
En effet, les données de la voiture indépendante seront moins facilement accessibles et donc moins à risque alors que la voiture autonome sera communicante pour lui assurer une perception d’ensemble des situations routières, mais donc plus à risque.
B) L’appréhension des risques induits par le véhicule intégralement connecté et autonome.
1) Un risque accru de cyber-attaque.
Par définition, les véhicules « robots » sont susceptibles d’être la cible de personnes malveillantes.
C’est d’ailleurs pour prévenir ce risque qu’étrangement certains constructeurs automobiles comme Tesla emploient des « white hats » (hackers bien intentionnés) chargés de sécuriser les systèmes d’informations des véhicules afin de mieux anticiper des actes malveillants de « black hats » (hackers malintentionnés).
Par exemple, un chercheur spécialisé a récemment démontré une faille dans le système de télédétection par laser dénommé LIDAR (un radar optique qui cartographie les obstacles mobiles et fixes autour du véhicule à l’aide de plusieurs capteurs).
Celui-ci aurait cherché à tromper la télémétrie par laser en envoyant de faux signaux simulant des objets ou sujets virtuels afin de forcer le véhicule à s’arrêter ou à ralentir. En cause: l’absence de cryptage des impulsions du système LIDAR80.
80 Toussaint V. Véhicules “robots”, 14 sept. 2015 – Revue Lamy, bulletin des transports et de la logistique n°3564.
Il est donc certain que les constructeurs automobiles devront redoubler d’effort pour travailler sur le développement de ces prototypes afin d’assurer la cyber sécurité, sinon le consommateur ne fera pas de pas en avant.
2) L’emploi par les assureurs des données personnelles: une aubaine dans leur approche des risques, cachant un risque d’individualisation.
Pour les assureurs, l’avantage à acquérir avec la voiture autonome réside très certainement dans la collecte des données directement effectuées par les voitures.
Cette technique leur permettrait de connaître les habitudes de leurs assurés en pratique (exemples cités ci-dessus des formules « Pay how you drive », et « Pay as you drive »).
Plus encore, on peut y voir un moyen plus simple de procéder à une indemnisation rapide, exempt d’une procédure longue et coûteuse. En effet, le partage de responsabilité et les causes de l’accident seraient des notions réglées instantanément.
Enfin, les assureurs, malgré leurs appréhensions pourraient avoir une meilleure approche du risque de leur assuré et ainsi évaluer un montant de prime plus en phase avec la réalité.
Néanmoins, on s’est aperçu très vite que ces différentes formules présentent des dangers car le principe assurantiel s’oppose, par nature, au fait de faire payer à chacun son risque exact.
En effet, une telle individualisation conduirait à exclure du système les conducteurs les plus « à risque » – qui seraient dans l’impossibilité de trouver un assureur, ou ne le pourraient qu’à des prix exorbitants – alors même que ce sont ceux pour lesquels l’assurance est la plus importante.
Le système de mutualisation serait totalement remis en cause. C’est pourquoi, il n’est pas dit que ce type de formules, même s’il sera sûrement celui proposé, puisse être considéré comme acceptable…
Quelle utilisation « bénéfique » pourrait-on faire de ces données ?
La MAIF a émis le souhait de pouvoir exploiter ces données à des fins de prévention et de pédagogie.
Pour cela, elle s’en servirait d’outils de connaissance pour cibler les secteurs jugés les plus « accidentogènes », en proposant par exemple des diagnostics de conduite.
Concernant les limites de cette collecte, la mutuelle instaurerait un système de charte de déontologie à faire signer par les assureurs, précisant jusqu’à quel point, et pour quels usages, les données personnelles pourront être exploitées. Ce qui semble être une première solution à retenir.
Cependant, tant qu’un cadre législatif précis ne sera pas dessiné, cette thématique appellera également d’autres questions:
Qui stockera les données ? Qui pourra y avoir accès ?
Le consommateur pourrait-il avoir un droit de regard sur les informations transmises et opposer son veto en cas d’opposition ?
L’hébergeur des données pourrait-il revendre les données collectées ?
Ainsi, autant de questionnements auxquels il faudra apporter une réponse claire, et pour lesquels il faut rappeler les principes fondamentaux entourant la protection de la vie privée et les efforts législatifs déjà mis en place…
§2. Existe-t-il encore une vie privée à l’heure de l’hyper connexion ?
A) Le respect de la vie privée, une composante des droits de l’Homme.
Brièvement, il faut rappeler à quel point le respect de la vie privée est un droit fondamental.
Tout d’abord, l’article 12 de la Déclaration universelle des droits de l’homme du 10 décembre 1948 dispose que « nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation.
Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ».
Ensuite, l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, adoptée le 4 novembre 1950, en fait un droit fondamental, une réelle composante des droits de l’Homme.
Il dispose quant à lui que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y
avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui ».
De plus, sa primauté est également reconnue en droit national. La loi n° 70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens a inséré dans le Code civil un article 9 qui dispose que « chacun a droit au respect de sa vie privée ». La notion de respect recouvrant ici à la fois celle d’intimité et celle d’autonomie.
Enfin, par un arrêt E. Stauder c. Ville d’Ulm daté du 12 novembre 1969, la Cour de justice des communautés européennes a reconnu le droit au respect de la vie privée comme un principe général du droit communautaire.
Par exception, l’atteinte à la vie privée peut s’expliquer par la nécessité de preuve des droits de la défense à condition qu’il y ait une proportionnalité de l’atteinte: l’utilisation des données au sein d’un véhicule autonome pourrait donc en constituer une, à condition de pouvoir identifier les données recueillies et les destinataires de ces données.
B) L’instauration aboutie d’un cadre protecteur des données à caractère personnel: entre respect de la vie privée et nouvelles réalités du monde numérique.
Ce développement sera l’occasion d’évoquer le nécessaire équilibre81 à trouver entre d’une part des intérêts privés et l’assurance d’un respect des droits personnels, et d’autre part des intérêts publics qui se manifestent par l’exigence de preuve.
D’un point de vue technique, on pourrait imaginer différents dispositifs pour assurer la protection des données personnelles: le chiffrement, l’instauration de pare-feu, l’authentification des données.
81 Glancy D. Privacy in Autonomous Vehicles, 14 déc. 2012 – Santa Clara Law Review, Vol. 52, n°4: http://digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=2728&context=lawreview
82 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données): http://eur- lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
D’autre part, on pourrait imaginer empêcher les passagers d’accéder aux données des autres par les interfaces au sein de la voiture en intégrant la déconnexion régulière automatisée et en rendant l’accès physique aux moyens de traitement impossible, par exemple à l’aide de caméras.
Il s’agit de diverses propositions, somme toutes réalisables, cependant l’impression générale reste que les constructeurs automobiles lancés dans la course à la voiture autonomes ne se sont pas encore vraiment étendus sur le sujet…
Pour autant, pour assurer la sécurité des échanges, la Commission européenne a fait preuve d’une première initiative à travers un projet ambitieux qu’elle a présenté le 30 novembre 2016.
Elle y déclare qu’elle s’attachera à favoriser la mise en place d’une infrastructure paneuropéenne de clés publiques, permettant de crypter les données échangées depuis et vers les véhicules. Les données seraient donc anonymisées.
Par la suite, le règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données82 a été adopté le 27 avril 2016 dans le but de doter les États membres d’une législation uniforme et actualisée en matière de protection des données à caractère personnel.
Il est entré en vigueur le 24 mai 2016 et sera applicable à partir du 25 mai 2018. Il est destiné à remplacer l’actuelle loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
L’application de ce règlement général européen sur la protection des données poursuit trois objectifs.
Tout d’abord, renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données et de dispositions propres aux personnes mineures.
Ensuite, augmenter la transparence et la responsabilisation des acteurs traitant des données.
Enfin, instaurer une coopération renforcée entre les autorités de protection de données, qui pourront adopter des décisions communes et des sanctions renforcées dans les cas de traitements de données transnationaux.
Aussi, ce règlement introduit la définition de « l’expression du consentement renforcé », indiquant que les utilisateurs doivent être informés de l’usage de leurs données et doivent donner leur accord, ou s’opposer, au traitement de leurs données personnelles.
De même, le droit à la portabilité des données est affirmé. En ce sens, le règlement prévoit que les responsables de traitements des données à caractère personnel devront assurer des opérations respectant la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut.
L’article 25, paragraphe 2, du Règlement sur la protection des données personnelles dispose que « le responsable du traitement [doit mettre en œuvre] les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. (…)
En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée ».
On retrouve le concept de « privacy by design »83 parmi les principes relatifs au traitement des données à caractère personnel: licéité des informations collectées; finalités déterminées, explicites et légitimes des collectes; caractère exact et à jour des données traitées; conservation de ces données pour une durée n’excédant pas celle nécessaire au regard des finalités déclarées, traitement des données de façon à garantir leur sécurité.
83 Brause S.R., Comment concevoir la vie privée des passagers à l’ère de la voiture autonome ?, 28 juil. 2016: https://linc.cnil.fr/fr/comment-concevoir-la-vie-privee-des-passagers-lere-de-la-voiture-autonome
D’autre part, en parallèle a été adoptée la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
Cette directive, entrée en vigueur le 5 mai 2016 (que les États membres sont tenus de transposer dans leur ordre juridique interne au plus tard le 6 mai 2018), s’applique aux opérations de données effectuées à la fois au niveau transfrontalier et au niveau national par les autorités compétentes des États membres à des fins répressives.
Enfin, afin de préparer l’entrée en vigueur de ce règlement, et de permettre aux constructeurs et équipementiers des futurs véhicules connectés et autonomes de s’y soumettre, la Commission Nationale de l’Informatique et des Libertés (CNIL) a lancé depuis mars 2016 un « pack de conformité »84 permettant d’obtenir des éclaircissements sur les responsabilités qui incombent à chacun.
84 Rohfritsch S. et Batho D. Rapport d’information par la mission d’information sur l’offre automobile française dans une approche industrielle, énergétique et fiscale: http://www.assemblee-nationale.fr/14/rap- info/i4109.asp#P3691_929516
L’occasion de faire collaborer les autorités publiques, des entreprises innovantes du secteur des assurances et de l’automobile comme Renault et PSA.
Ce pack, actualisé tous les six mois, aboutit à des prescriptions techniques précises: il indiquera aux concepteurs des véhicules ou logiciels qu’ils devront prévoir, pour chaque dispositif collectant des données, un système de désactivation de cette collecte à la demande du conducteur, de façon ponctuelle ou générale (ex: refus de la géolocalisation).
Sans avoir de portée normative, il leur donne toutefois l’assurance de respecter la réglementation européenne.
Le manquement au pack de conformité n’entrainera pas de sanction, faute de pouvoir normatif.
En revanche, le manquement au règlement européen relatif à la protection des données pourra, dès son entrée en vigueur, être sanctionné.
Tout acteur se conformant au pack de conformité sera réputé conforme au règlement européen; à l’inverse il faudra prouver le respect du règlement européen par d’autres moyens.
Afin de garantir une protection maximale, on pourrait songer à ce que le respect, par les constructeurs et équipementiers, de ce pack de conformité, fasse l’objet d’une certification obligatoire, attestant de la conformité à la réglementation européenne relative à la protection des données.
Section 2. L’introduction d’une boîte noire au sein des voitures autonomes, un procédé intrusif servant de moyen de preuve.
Comment faciliter l’identification du responsable à l’ère d’une telle technologie ?
Deux pistes peuvent sont envisageables: établir une sorte de standard normé de l’ensemble des technologies (une sorte d’homologation des systèmes embarqués, mais cela semble être encore trop précoce); ou envisager l’implantation de boîtes noires au sein des véhicules.
La seconde solution semble avoir réuni plus de faveurs malgré les craintes qu’elle engendre.
§1. La boite noire, un moyen de preuve efficace en cas de réalisation du risque.
Il est question d’enregistreurs des paramètres de conduite dénommés « Events Data Recorder » (EDR) dans lesquels toutes les données seraient enregistrées: position du véhicule, accélération ou décélération, commandes actionnées, données mécaniques, etc.
Ils ne garderaient en mémoire que la vingtaine de secondes qui entourent l’accident.
Selon le célèbre adage de l’article 1348 du code civil, le fait peut être prouvé par tous moyens et cette boîte noire serait une preuve irréfutable du comportement de l’automobiliste et de l’état du véhicule.
En effet, le régime de la preuve va constituer l’enjeu technologique majeur d’une part pour les constructeurs et les utilisateurs des véhicules autonomes qui seront éventuellement recherchés en responsabilité et d’autre part pour les assureurs qui seront en charge d’indemniser.
D’autant plus que la recherche des causalités peut s’avérer difficile lorsque les défaillances trouvent potentiellement leur source dans un système impliquant de nombreux acteurs dans la conception.
C’est pourquoi cette boîte noire pourrait être un avantage décisif car la confrontation des enregistrements devrait permettre de déterminer rapidement et de manière irréfutable les responsabilités de chacun.
Elle permettrait également d’établir les vraies causes des accidents de la route à l’échelle locale, nationale, voire mondiale et d’aider les pouvoirs publics à faire progresser les infrastructures pour diminuer les risques.
A condition que des limites85 et un cadre précis soit proposés car, face à tous ses bienfaits, reste le problème de la diffusion de l’information recueillie et en particulier la cohérence avec le principe fondamental du respect de la vie privée qui sera en France surveillé de près par la Cnil86.
Où commence « l’intrusion », « l’inquisition » ?
L’installation d’une boîte noire à titre de preuve entre-t-elle en contradiction avec les droits des usagers ?
85 Vingiano I. Les limites à l’introduction d’une boîte noire dans les véhicules connectés, 26 janv. 2016. 86 Guittat Y. Voitures connectées, la CNIL veille au grain, 12 oct. 2016: http://www.automobile-entreprise.com/Voitures-connectees-la-CNIL-veille,5390
Par principe, la géolocalisation est conçue comme un procédé attentatoire à la vie privée, mais qui peut être autorisé ponctuellement par un juge. Ce n’est donc pas son acceptation qui serait contestée, mais plutôt son usage redouté.
En effet, l’utilisation des données qui seraient collectées devraient être identifiées au préalable, et strictement encadrées dans leur utilisation.
En France, rien n’est encore acté, le Conseil national de la sécurité routière (CNSR) s’était prononcé le 29 novembre dernier, lors de son assemblée plénière, en faveur d’une recommandation sur les boîtes noires (ou enregistreurs de données routières), proposant à la Commission européenne de « normaliser les données » qui pourraient être enregistrées par ces appareils, afin de retenir « les plus pertinentes ».
Les données enregistrées ne seraient conservées « qu’en cas de choc à raison de 30 secondes avant le choc et jusqu’à 15 secondes après ».
§2. Une protection des droits de l’individu assurée par le consentement de l’utilisateur.
Les données de géo localisation recueillies et traitées au sein d’une voiture autonome semblent répondre à la définition de « données à caractère personnel » de l’article 2 al 2 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Selon elle, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou d’identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable de traitement ou toute autre personne ».
Ce cadre juridique est protecteur car il nécessite un consentement libre et éclairé pour toute collecte et tout traitement.
Ainsi, dans notre cas, la solution pourrait être qu’au sein du contrat d’achat du véhicule autonome soit rédigée une clause écrite selon laquelle l’usager reconnaît avoir bien pris connaissance et consentir à l’installation d’une boîte noire.
Pour conclure, il faut retenir que, notamment lors de la phase de reprise en main du véhicule, ce mécanisme peut s’avérer très utile et nécessiterait certainement la mise en place d’un règlement européen l’imposant.
Une législation harmonisée au niveau européen permettrait d’instaurer un cadre précis sur le type de données qu’il est possible de collecter ou non, de conserver, de transmettre, afin d’assurer une protection uniforme du consommateur.
Si ce procédé peut paraître trop intrusif car attentatoire à la vie privée, il peut également s’avérer être d’une bonne aide dans des scénarios où il faudrait prouver qu’un dysfonctionnement du système est responsable de l’accident.
Qui plus est, il ne saurait être interdit si l’atteinte est nécessaire, proportionnée au but poursuivi et si la preuve est transmise au cours d’un débat contradictoire. Il semblerait que des travaux soient en cours, affaire à suivre…
