Actualités

Prendre un RDV
Ces notes d’actualité ont été réalisées sur la base de la jurisprudence existante et des textes législatifs et règlementaires en vigueur au moment de leur mise en ligne. Elles ne constituent nullement un conseil personnalisé et n’ont pas pour vocation à se substituer à une consultation individualisée. A ce titre elles ne sauraient, en aucun cas, entrainer la responsabilité du cabinet.


Le pack conformité « Véhicules connectés et données personnelles » lancé et adopté par la CNIL

Jeudi 16 Août 2018

Le 17 octobre 2017 a été publié le pack conformité « Véhicules connectés et données personnelles » dans l'optique de poser des règles générales de traitement de données concernant notamment la nature des données pouvant être collectées, la durée de conservation, les destinataires, les informations des personnes concernées, les mesures de sécurité. Elle a ainsi constitué une sorte de référentiel pour aider les professionnels du secteur à se mettre en conformité avec le Règlement Général pour la Protection des Données Personnelles (RGPD) entré en vigueur le 25 mai 2018.

Trois situations sont à distinguer en fonction de l'accès ou non par le fournisseur aux données personnelles :

-         -  La situation « IN-IN » n'est pas concernée par la législation et la réglementation dans la mesure où les données collectées restent sous la maîtrise de l'usager et ne sont jamais transmises au fournisseur.

-         -  La situation « IN-OUT » dans laquelle les données sont transmises au fournisseur mais n'entraîne pas d'action automatique à distance dans le véhicule. La réglementation et le pack de conformité sont ici applicables.

-        -   La situation « IN-OUT-IN » dans laquelle les données sont transmises au fournisseur, cette transmission entrainant une action automatique à distance dans le véhicule.

En ce qui concerne la situation « IN-OUT », la CNIL distingue plusieurs finalités différentes et énonce certaines règles associées. Par exemple, dans le cas où le traitement de ces données a pour finalité l'optimisation des modèles et l'amélioration des produits, la pseudonymisation et l'interdiction d'utilisation de la géolocalisation sont requises, et les données seront conservées 3 ans au maximum. Pour les études d'accidentologie : le consentement exprès et éclairé de l'utilisateur est requis, les recherches faites doivent avoir impérativement un caractère scientifique, les données de localisation conservées sont celles des 45 secondes précédant l’événement, et des 15 secondes suivant l’événement.

On peut prévoir une exploitation commerciale des données du véhicule mais l'intéressé devra avoir contracté lui-même expressément et activé le service.

En ce qui concerne la lutte contre le vol des données de localisation, la CNIL demande aux responsables de traitement de se limiter aux strictes nécessités imposées par leur traitement (car ces données sont révélatrices de la vie privée et l'intimité des personnes).

Lorsque les données de localisation sont nécessaires au traitement, la CNIL rappelle que la collecte de ces données est subordonnée :

En ce qui concerne maintenant la situation « IN-OUT-IN », deux finalités sont distinguées à savoir la maintenance à distance et l'amélioration de l'expérience de conduite

Pour la première, la CNIL interdit la collecte de données de géolocalisation précisées et détaillées. En ce qui concerne la durée de conservation des données, celles-ci peuvent l'être pour la totalité de la durée de vie du véhicule. 

En ce qui concerne l'amélioration de l'expérience de conduite, les données seront conservées pour une durée limitée, sous forme détaillée, avant d'être agrégées pour le reste de la durée d'exécution du contrat.

En matière de sécurité, la CNIL impose, pour tous ces scénarios, différentes mesures de chiffrement, dont les coûts sont bien évidemment à la charge du responsable de traitement et incite fortement ceux-ci à réaliser des études d'impact.

La CNIL reconnaît donc, par l'adoption de ce pack de conformité, l'importance des données personnelles dans de nombreux domaines dont celui-ci.


Nous restons à votre disposition pour toute demande d'information concernant la conformité de votre activité avec la protection des données personnelles et la nouvelle réglementation.