Le 28 janvier dernier, le Comité Européen pour la Protection des Données (CEPD)[1] a soumis à la consultation du 
public une première version de ses lignes directrices sur « le traitement de données personnelles dans le contexte des véhicules connectés et des applications relatives à la mobilité » (ci-après «lignes directrices Véhicules connectés»)[2]. Le Comité, qui réunit l’ensemble des autorités de protection des données de l’Union européenne, entend ainsi poursuivre à travers 31 pages les réflexions commencées dans différentes instances. En particulier, les autorités de protection allemandes ont participé à la rédaction d’une déclaration commune en 2016[3], tandis qu’en France la CNIL a adopté en 2017 son pack de conformité Véhicules connectés[4]. En 2018, l’International Working Group on Data Protection in Telecommunications (IWGDPT ou Groupe de Berlin[5]), a publié à son tour un document de travail[6].
Les principaux points à retenir
Sur la forme, les lignes directrices Véhicules connectés suivent l’architecture du Règlement Général sur la Protection des Données (RGPD)[7]. Le CEPD opte ainsi pour une approche pragmatique centrée principalement sur les risques pour la vie privée et la protection des données personnelles en prenant en compte certains types de données personnelles (principalement les données de géolocalisation et biométriques). Ainsi cinq types de risques sont distingués : la collecte excessive des données personnelles ainsi que leur réutilisation secondaire, l’asymétrie d’informations entre le responsable de traitement et la personne concernée par les données, la difficulté de recueillir le consentement éclairé de cette dernière, et la sécurité des données personnelles[8].
Ce faisant, le CEPD contraint le législateur européen et l’industrie de la mobilité à garantir les modalités de la maîtrise des données personnelles par la personne concernée. Par ce jeu politique, le Comité se concentre principalement sur une approche contextuelle des droits des personnes et la sécurité de leurs données.
L’application de la directive ePrivacy et du RGPD
Les lignes directrices Véhicules connectés insistent sur l’application de la directive ePrivacy[9] dans le contexte du véhicule connecté[10], en particulier son article 5§3. Le Comité qualifie le véhicule connecté d’« équipement terminal » et estime qu’en règle générale (car il existe des exceptions) toute entité qui place ou lit des informations sur l’équipement terminal d’un utilisateur (son smartphone, sa tablette…)[11] doit recueillir son consentement préalable[12]. Cette position peut être perçue comme une prise de position politique dans la mesure où elle constitue l’un des points d’achoppement des discussions en cours en ce qui concerne la révision de la directive ePrivacy[13].
Le CEPD tranche ensuite l’épineuse question des données techniques, c’est-à-dire celles générées par le véhicule, en les qualifiant de données personnelles[14]. Les données techniques peuvent en effet être reliées à une personne physique identifiable si elles sont associées aux données d’immatriculation des véhicules, aux références figurant dans les contrats d’achat/location dudit véhicule ou au numéro d’identification du véhicule. Cette prise de position invite les responsables de traitement à utiliser le fondement du consentement pour justifier de leur traitement. Se pose alors la question des modalités de production de l’information préalable tels qu’exigée par le RGPD.
L’exercice pratique du consentement via une information effective et les contours de l’obligation de sécurité des données
Les lignes directrices soulignent la difficulté à informer conformément aux règles du RGPD la personne concernée, qui peut être alternativement ou cumulativement propriétaire, conductrice ou passagère du véhicule connecté. Or, les informations préalables délivrées par le responsable de traitement conditionnent la réalité du consentement libre, spécifique et éclairé. Le CEPD renvoie à sa doctrine antérieure[15] tout en essayant d’apporter des réponses pratiques[16]. Ainsi, le constructeur d’un véhicule est invité à fournir une interface informatique sur le tableau de bord du véhicule pour offrir à la personne concernée un contrôle effectif sur le partage de ses données avec les services accessoires du constructeur – par exemple les indications du trajet – ou les services tiers disponibles comme les plateformes de diffusion de contenus audiovisuels à destination du passager. Le responsable de traitement est également invité à fournir les informations au titre du RGPD sur un document distinct au contrat de vente ou de location du véhicule.
Au même titre que l’obligation d’information, celle de sécurité des données contribue à assurer la maîtrise des données personnelles, a fortiori les données sensibles comme les données biométriques hébergées à même le véhicule[17]. À ce titre, les constructeurs automobiles sont tenus :
- De séparer de façon systémique les fonctions vitales du véhicule des fonctions de télécommunication,
- D’assurer une sécurité continue pendant toute la durée de vie du véhicule,
- De mettre en place une gestion de système de chiffrement spécifique pour chaque véhicule et non une gestion de chiffrement par type de véhicule[18].
Les lacunes identifiées
Pour autant, de nombreuses critiques peuvent être formulées à l’encontre de cette première version des lignes directrices.
Le recours à l’exception domestique
À l’instar du pack de conformité de la CNIL sur les véhicules connectés, le texte renvoie de trop nombreuses fois à l’exception domestique, exception selon laquelle le RGPD ne s’applique pas lorsqu’un traitement de données personnelles est réalisé exclusivement par la personne concernée[19]. Autrement dit, sont exclus les traitements effectués par le smartphone d’un conducteur ou d’un passager connecté au véhicule ainsi que ceux effectués dans le contexte dit de l’infotainment embarqué[20].
L’absence de qualification juridique de la notion de « passager »
Bien que mentionné à quatorze reprises dans les lignes directrices, l’absence de qualification juridique de la notion de « passager » questionne pour sa part les modalités d’exercice effectif des droits des personnes (droit d’accès aux données, droit à la portabilité, à la limitation du traitement, etc.). En effet, la problématique des traitements des données des passagers non identifiés se pose déjà en pratique et une réponse du Comité européen de Protection des Données serait souhaitable.
La relative prise en compte des lignes directrices sur le Data Protection by design and by default
Enfin, la qualité du texte serait d’une bien meilleure facture par l’implémentation des lignes directrices 4/2019 sur le Data Protection by design and by default[21]. L’application des mesures techniques et opérationnelles qui y sont préconisées aux différents risques identifiés dans le contexte du véhicule connecté rendrait réellement pratiques à la fois les lignes directrices Véhicules connectés et celles relatives à Data Protection by design and by default en permettant aux acteurs de la mobilité connectée de bénéficier de méthodologies claires et limpides. Les lignes directrices Véhicules connectés devraient déterminer les indicateurs permettant de vérifier que les risques sont bien réduits de façon quantitative (niveau de risque, réduction des plaintes ou du temps de réponse lors de l’exercice des droits par la personne concernée) ou qualitative (évaluation des performances, utilisation d’échelles de notes, évaluation d’expert)[22]. Ces métriques permettraient de mieux calibrer les mesures nécessaires pour diminuer les risques d’atteintes aux droits et libertés des personnes concernées, constituant pour les parties prenantes un référentiel d’ajustement de leurs investissements économiques et humains.
Claire Levallois-Barth, Maître de conférences en droit à Télécom Paris, Coordinatrice de la Chaire VP-IP
Jonathan Keller, Ingénieur de recherche en droit à Télécom Paris, Membre de la Chaire VP-IP, en collaboration avec la Chaire Connected Car and Cybersecurity (C3S) de Télécom Paris
[2] Ces lignes directrices sont accessibles uniquement en anglais, Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications, adopted on 28 January 2020, disponibles sur le site du CEPD, https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en.
[3] Joint statement of the conference of the independent data protection authorities of the Federal and State Governments of Germany and the German Association of the Automotive Industry (VDA),
Data protection aspects of using connected and non-connected vehicles, Berlin/Schwerin, January 26,
2016, https://www.lda.bayern.de/media/dsk_joint_statement_vda.pdf.
[4] CNIL, Pack de conformité Véhicules connectés et données personnelles, oct. 2017, https://www.cnil.fr/fr/vehicules-connectes-un-pack-de-conformite-pour-une-utilisation-responsable-des-donnees.
[5] Car présidé par le Commissaire à la protection des données de Berlin. Le groupe comprend des représentants des autorités de protection des données et d'autres organismes des administrations publiques nationales, des organisations internationales et des scientifiques.
[6] International Working Group on Data Protection in Telecommunications, Working document on Connected Vehicles, 63rd meeting, 9-10 April 2018, Budapest, HUNGARY,
https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/working-paper/.
[7] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données), JOUE L 119 du 4.5.2016, p. 1.
[8] On constate donc l’abandon de la distinction basée sur les trois scénarios, assorti d’exemples pratiques, proposée par la CNIL : 1. Scénario In→In où les données du véhicule ne sont pas transmises au fournisseur de services ; 2. Scénario In→Out où les données du véhicule sont transmises au fournisseur de service ; 3. Scénario In→Out →In où les données du véhicule sont transmises au fournisseur de service pour déclencher à distance une action automatique dans le véhicule.
[9] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), JOCE L 201, 31.7.2002, p. 37–47 modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, JOUE L 337, 18.12.2009, p. 11–36.
[10] Voir §13 des lignes directrices Véhicules connectés.
[11] §13 des lignes directrices Véhicules connectés selon lequel : « As a result, the connected vehicule and every device connected to it shall be considered as a ‘’ terminal equipment ‘’ (just like a computer, a smartphone or a smart TV) and provisions of art. 5 (3) ePrivacy directive must apply where relevant ».
[12] §11 des lignes directrices Véhicules connectés selon lequel : « It does not only apply to electronic communication services but also to every entity that places on or reads information from a terminal equipment without regard to the nature of the data being stored or accessed».
[13] Voir dans ce sens la déclaration de l’European Automobile Manufacturers Association, Proposal for ePrivacy Regulation, du 06.04.2018, disponible sur https://www.acea.be/news/article/proposal-for-eprivacy-regulation ; dans le même sens IAAP, D. THOMAS, ePrivacy Regulation continues to stall, but there’s hope ?, du 12.06.2019, disponible sur https://iapp.org/news/a/eprivacy-regulation-continues-to-stall-but-theres-hope/.
[14] Voir dans ce sens le §28 des lignes directrices Véhicules connectés.
[15] Les lignes directrices sur la transparence au sens du règlement (UE) 2016/679, adoptées le 29 novembre 2017,
Version révisée et adoptée le 11.04.2018, WP 260, disponible sur https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf.
[16] Voir par exemple, le §84 où est abordée la fourniture d’information par strate.
[17] Par exemple, et de façon évidente, le déverrouillage du véhicule par l’utilisation d’une empreinte digitale.
[18] §91 des lignes directrices Véhicules connectés.
[19] Art. 2§ 2-c) du RGPD selon lequel : « Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué : (…) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique ».
[20] Les lignes directrices Véhicules connectés citent dans leur §2 à titre d’exemples la musique en ligne, l’information trafic, ou les conditions routières.
[21] Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, adoptées le 13.11.2019, disponible sur https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf.
[22] §16 des Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, précitées.