Voiture connectée et privacy sont-elles antinomiques ?

Clément Bohic,
Linkedin
Mozilla vie privée voiture connectée constructeurs

En matière de confidentialité et de sécurité des données, le constat de Mozilla au sujet des constructeurs automobiles est particulièrement sevère.

Existe-t-il des constructeurs automobiles qui appliquent les principes du RGPD au-delà de leur clientèle européenne ? Mozilla n’en a pas trouvé parmi les vingt-cinq qu’elle a passés au crible.

La fondation est formelle : en matière de protection de la vie privée, la voiture connectée est « la pire catégorie de produits » qu’elle ait examinée dans le cadre de son initiative « Confidentialité non incluse ».

Cette initiative a déjà couvert, entre autres, les wearables, les jouets et les applis de santé mentale. Elle se fonde sur l’évaluation de quatre aspects :

– Comment l’entreprise qui fournit le produit exploite les données personnelles des utilisateurs
– Le contrôle donné à ces derniers
– L’historique de l’entreprise en matière de protection de ce type de données
– Des critères élémentaires de sécurité

Dès lors qu’elle satisfait sur moins de trois de ces éléments, une entreprise reçoit un avertissement « Confidentialité non incluse ». C’est le cas de tous les constructeurs examinés.

Renault et Dacia, les « moins mauvais élèves », auraient pu éviter cet avertissement si Mozilla était parvenu à déterminer dans quelle mesure les données sont chiffrées à l’intérieur de leurs véhicules. Cela n’a pas été possible, malgré de multiples sollicitations par e-mail, nous explique-t-on.

L’absence d’informations sur le chiffrement est un problème généralisé, déplore Mozilla. Seuls Mercedes-Benz, Honda et Ford ont répondu, mais de manière incomplète.

Hors Europe, de moindres protections

Dacia et Renault collectent une quantité importante de données personnelles… mais restent dans le « standard » de ce qui se fait chez les constructeurs. Ils ne sont pas les plus précis lorsqu’il s’agit de décrire les données collectées. En tout cas sur la foi de leur politique de confidentialité en vigueur au Royaume-Uni. Celle-ci contient notamment beaucoup de mentions « etc. ».

L’un et l’autre ont droit à un avertissement sur l’aspect « exploitation des données ». La raison : leur maison mère se réserve le droit de collecter des informations supplémentaires en provenance d’autres sociétés.

Renault et Dacia se distinguent pour leur engagement à ne pas vendre les données personnelles des utilisateurs. En tout cas sans anonymisation et/ou agrégation préalable. Ils sont par ailleurs les seuls à garantir aux personnes concernées un droit d’accès et de suppression. Merci le RGPD, claironne Mozilla, en rappelant que les deux constructeurs ne sont pas présents sur le marché américain.

Dans l’absolu, l’effet de contraste est effectivement net lorsqu’on s’intéresse aux politiques de confidentialité valables dans des juridictions hors Europe.  Subaru va jusqu’à expliquer que tout passager consent à l’exploitation de ses données personnelles simplement en prenant place dans le véhicule. Nissan « suppose » quant à lui ce consentement et invite le conducteur à « informer » les autres occupants.

Les constructeurs également épinglés sur la sécurité

Le constructeur japonais fait partie de ceux qui déclarent collecter des « données génétiques ». En la matière, chacun sa formulation : Chevrolet parle, par exemple, de « caractéristiques génétiques, physiologiques, comportementales et biologiques ».

La majorité des marques (22 sur 25) mentionnent des croisements de données et 9 d’entre elles se réservent le droit d’en commercialiser le produit. Avec qui ? Bien souvent, c’est peu précis. L’expression « fournisseurs de services » revient régulièrement.

Sur l’aspect « historique de protection des données », ils sont nombreux (68 %) à recevoir un avertissement. Toyota en fait partie, lui qui a, pendant dix ans, laissé les données de millions de clients exposées à cause d’un cloud mal configuré. Hyundai a, pour sa part, sécurisé le système d’infodivertissement d’un de ses véhicules avec une clé de chiffrement copiée depuis un tuto public.

Tesla n’obtient que des mauvais points, et Mozilla lui en donne même un supplémentaire. Motif : une IA « non digne de confiance ». D’après les dernières stats de l’autorité américaine chargée de la sécurité routière, le pilote automatique de ses véhicules serait impliqué, sur place, dans plus de 700 accidents, pour une vingtaine de morts.

Photo d’illustration © Cristiano Venti – Adobe Stock