Les voitures, grâce à la connectivité, sont devenues de véritables centres de collecte de données personnelles.
Julien Pillot : Commençons par rappeler que les voitures, grâce à la connectivité, sont devenues de véritables centres de collecte de données personnelles. C’est le résultat de la multiplication des capteurs et caméras embarquées, qui vont enregistrer tout un tas d’informations relatives à l’état du véhicule, mais aussi des informations plus sensibles concernant vos usages (style de conduite, trajets, etc.), voire des données relatives à vos conversations, à l’identité de vos covoitureurs ou à vos pratiques à l’intérieur de l’habitacle. Le rapport « Confidentialité non incluse » de la Fondation Mozilla est assez éclairant sur le sujet.
Certains constructeurs proposent à leurs clients la possibilité de collecter leurs données dans un double but. La première consiste à accéder régulièrement aux données du véhicule pour assurer une maintenance prédictive. Cela permet au propriétaire d’être alerté lorsque le véhicule nécessite une intervention pour changer une pièce d’usure ou pour remédier à un éventuel dysfonctionnement. La seconde consiste à transmettre des données relatives à la conduite (temps de conduite, accélération brusque, excès de vitesse, freinage d’urgence, etc.) afin d’établir un « profil de conducteur ». Les bons conducteurs sont ainsi récompensés par une réduction de leur police d’assurance, et vice versa. Nous comprenons que le modèle économique sous-jacent repose sur la vente de ces données personnelles à des compagnies d’assurance tierces qui, à leur tour, répercuteront sur les mauvais conducteurs ce coût d’acquisition, majoré des primes accordées aux bons conducteurs et d’un bonus de risque. Conducteurs.
C’est le sens, puisque vous le citez, du programme « On Star Smart Driver » de General Motors. L’idée est de s’appuyer sur la « gamification » pour inciter les clients-conducteurs, en leur permettant d’accéder en temps réel à leurs données de conduite, à améliorer leur comportement au volant afin de réduire leurs polices d’assurance. assurance. Il faut également que le client-chauffeur soit pleinement informé des grandes lignes du programme, des entreprises partenaires, des éventuelles conséquences positives ou négatives, et qu’il ait explicitement donné son accord pour participer au programme. Et à ce sujet, certains constructeurs ne semblent pas toujours irréprochables.
Quelles sont les implications éthiques et juridiques de la collecte et du partage de données de conduite sans le consentement explicite des conducteurs ?
Sur le plan éthique, il s’agit d’abord d’une question de confiance qui peut être définitivement rompue entre le constructeur et le client, si ce dernier se rend compte que le constructeur revend ses données à son insu. D’autant plus si ce comportement peu transparent finit par lui nuire s’il se traduit par une augmentation de la police d’assurance. Cette question de transparence est cruciale et ne se limite pas à la question classique des CGU que les clients, il est vrai, ne lisent quasiment jamais. C’est aussi une question de processus tout au long du processus de vente du véhicule. Les vendeurs et revendeurs sont tenus d’expliquer clairement les contours de ce type de programme, afin d’obtenir un consentement explicite et éclairé. Le font-ils ? On est en droit d’en douter, d’autant plus que les vendeurs des concessions sont intéressés à s’inscrire au programme. En d’autres termes, les constructeurs ne veulent pas seulement vendre des voitures, ils veulent vendre des voitures connectées et autant de services que possible tirant parti de cette connectivité.
Juridiquement, les conséquences peuvent varier d’une juridiction à l’autre. Par exemple, lorsque le RGPD s’applique, les sanctions financières peuvent s’élever à 4 % du chiffre d’affaires selon l’appréciation de la gravité de l’infraction, de son ampleur ou de sa durée. Cette sanction peut s’accompagner de mesures correctives, mais aussi de sanctions pénales et du paiement de dommages et intérêts ainsi que d’une publicité de la violation, pouvant entraîner une perte d’image.
Dans le cas qui nous intéresse, ces sanctions pourraient être aggravées dans la mesure où, en 2014, l’Alliance for Automotive Innovation (alliance des plus grands constructeurs automobiles mondiaux, dont GM) s’est engagée auprès de la Federal Trade Commission à délivrer aux clients « des informations claires, significatives et visibles » concernant la collecte de données, ainsi que les finalités pour lesquelles elles sont collectées et les entités avec lesquelles les données peuvent être partagées. Bien évidemment, ces engagements – renouvelés en 2022 – n’ont pas été systématiquement respectés, ce qui peut constituer une circonstance aggravante.
Existe-t-il des réglementations ou des normes spécifiques en place pour régir la collecte et le partage des données de conduite par les constructeurs automobiles, et quelle est l’efficacité de ces réglementations ?
Encore une fois, cela dépend des juridictions et de la loi applicable.
Le RGPD, là où il s’applique, répond à cet objectif d’encadrer en toute transparence la collecte et le partage des données de conduite. Les constructeurs automobiles y sont soumis et doivent donc s’y conformer.
Quant à l’efficacité de la régulation, cela dépend de nombreux paramètres qui ne sont pas toujours observables. Ce que l’on peut objectivement observer, c’est le montant total des sanctions imposées pour violation du RGPD depuis son entrée en vigueur dans l’UE : 4,5 milliards d’euros. Sans surprise, ce sont les géants du numérique et les courtiers en données qui sont particulièrement visés. Ce qui n’est pas observable, c’est à quel point la mise en œuvre du RGPD a poussé les entreprises à faire preuve de transparence là où elles ne l’auraient pas été en son absence. De manière générale, au-delà des considérations éthiques, les entreprises se comporteront souvent de manière rationnelle à ce niveau : elles estimeront le gain lié à une violation de la règle (qui inclut également les économies de coûts liées à la conformité), et le réduiront des sanctions potentielles multipliées par la probabilité d’être sanctionné. Ce qui m’amène souvent à dire que l’efficacité d’une règle dépend étroitement de la capacité des autorités à détecter les infractions et à appliquer une sanction véritablement dissuasive.
Comment les récentes révélations concernant la collecte et le partage de données de conduite par General Motors pourraient-elles influencer les pratiques de l’industrie automobile dans son ensemble ?
Il est très difficile d’apporter une réponse à cette question, d’autant que l’on ne sait pas dans quelle mesure les pratiques de GM sont généralisées dans l’industrie, ni s’il s’agit d’un cas isolé.
Plusieurs scénarios sont possibles. Dans le cas où GM serait soumis à une sanction financière particulièrement élevée et verrait son image considérablement dégradée, alors ce précédent pourrait servir d’exemple pour discipliner l’ensemble de l’industrie. L’idée n’est pas tant d’interdire la revente des données de conduite aux assureurs, mais de le faire dans le respect des règles de bonne information du consommateur, en toute transparence, et en obtenant explicitement et au préalable son consentement éclairé. C’est exactement ce à quoi l’Alliance pour l’innovation automobile s’est engagée devant la FTC en 2014.
À quels défis techniques et juridiques les constructeurs automobiles sont-ils confrontés lorsqu’ils tentent de collecter et de partager des données de conduite tout en respectant la vie privée des consommateurs ?
Il est important que les constructeurs ne collectent que des données liées au bon fonctionnement du véhicule et à son utilisation. Les données relatives à la vie privée (nature et fréquence des déplacements, conversations privées, nombre et identité des personnes présentes dans l’habitacle, etc.) n’ont pas besoin d’être connues par eux.
Quant au pilotage des données, comme nous l’avons vu, c’est avant tout une question d’éthique qui nécessite de s’assurer, tout au long du parcours client, que le client soit parfaitement informé de la nature des données collectées, des entités auxquelles elles peuvent être revendues, et les conséquences – positives et négatives – pour lui. Cela nécessite de revoir l’ensemble du processus de vente, en commençant par la manière dont les vendeurs des concessions sont bien (in)formés à la vente de produits et services connectés, et en revoyant les mécanismes de rémunération incitative qui peuvent facilement se transformer en « pousseur de crime ».
