La CNIL publie un pack de conformité relatif aux véhicules connectés et aux données personnelles

La CNIL publie un pack de conformité relatif aux véhicules connectés et aux données personnelles

[:fr]

Faisant suite aux « packs de conformité » publiés dans les domaines des compteurs communicants, le logement social ou encore l’assurance, la CNIL a publié le 17 octobre 2017 le pack de conformité sectoriel relatif aux « véhicules connectés et données personnelles ».

Fruit de plusieurs mois de réflexion et de concertation avec les acteurs de la filière automobile, des acteurs de l’assurance, des télécoms et les autorités publiques, ce référentiel sectoriel permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données, applicable à partir du 25 mai 2018.

Le pack s’applique aux véhicules connectés, c’est-à-dire aux véhicules qui communiquent avec l’extérieur (applications mobiles, autres véhicules, infrastructure, etc.) et ne couvre que les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur.

Parmi les données personnelles collectées, certaines sont directement identifiantes, comme le nom du conducteur. D’autres sont indirectement identifiantes telles que : le détail des trajets effectués, les données d’usage du véhicule (par exemple, les données relatives au style de conduite ou au nombre de kilomètres parcourus) ou les données techniques du véhicule (par exemple, les données relatives à l’état d’usure des pièces).

Les données sont collectées via les capteurs des véhicules, les boîtiers télématiques ou les applications mobiles et peuvent être traitées à bord des véhicules ou exportées vers un serveur centralisé.

Le pack de conformité distingue trois hypothèses selon que (i) les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services (Scénario « IN => IN »), (ii) les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée (par exemple dans le cadre d’un contrat d’assurance « pay as you drive », fourniture du service e-call, ou géolocalisation du véhicule en cas de vol) (Scénario « IN => OUT »), (iii): les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule (exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route) (Scénario n° 3 « IN => OUT => IN »).

Pour chaque scénario, la CNIL émet des lignes directrices afin de se conformer à la réglementation en matière de données à caractère personnel et recommande, notamment, les mesures de sécurité à mettre en place.

Le pack de conformité « véhicule connecté et données personnelles » est disponible ici : https://www.cnil.fr/sites/default/files/atoms/files/pack_de_conformite_vehicule_connecte.pdf

[:en]

Faisant suite aux « packs de conformité » publiés dans les domaines des compteurs communicants, le logement social ou encore l’assurance, la CNIL a publié le 17 octobre 2017 le pack de conformité sectoriel relatif aux « véhicules connectés et données personnelles ».

Fruit de plusieurs mois de réflexion et de concertation avec les acteurs de la filière automobile, des acteurs de l’assurance, des télécoms et les autorités publiques, ce référentiel sectoriel permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données, applicable à partir du 25 mai 2018.

Le pack s’applique aux véhicules connectés, c’est-à-dire aux véhicules qui communiquent avec l’extérieur (applications mobiles, autres véhicules, infrastructure, etc.) et ne couvre que les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur.

Parmi les données personnelles collectées, certaines sont directement identifiantes, comme le nom du conducteur. D’autres sont indirectement identifiantes telles que : le détail des trajets effectués, les données d’usage du véhicule (par exemple, les données relatives au style de conduite ou au nombre de kilomètres parcourus) ou les données techniques du véhicule (par exemple, les données relatives à l’état d’usure des pièces).

Les données sont collectées via les capteurs des véhicules, les boîtiers télématiques ou les applications mobiles et peuvent être traitées à bord des véhicules ou exportées vers un serveur centralisé.

Le pack de conformité distingue trois hypothèses selon que (i) les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services (Scénario « IN => IN »), (ii) les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée (par exemple dans le cadre d’un contrat d’assurance « pay as you drive », fourniture du service e-call, ou géolocalisation du véhicule en cas de vol) (Scénario « IN => OUT »), (iii): les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule (exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route) (Scénario n° 3 « IN => OUT => IN »).

Pour chaque scénario, la CNIL émet des lignes directrices afin de se conformer à la réglementation en matière de données à caractère personnel et recommande, notamment, les mesures de sécurité à mettre en place.

Le pack de conformité « véhicule connecté et données personnelles » est disponible ici : https://www.cnil.fr/sites/default/files/atoms/files/pack_de_conformite_vehicule_connecte.pdf

[:]