Ce lundi 3 octobre 2016, lors d’une conférence organisée par le CCFA (Comité des Constructeurs Français d’Automobiles) en marge du Salon de l’Automobile de Paris, la Directrice de la conformité de la Commission Nationale de l’Informatique et des Libertés (la « CNIL »), Mme Sophie Nerbonne, a révélé un point d’étape sur l’avancement des travaux du « pack de conformité sur les véhicules connectés » au regard de la loi « informatique et libertés ».

Une réflexion globale pour un écosystème responsabilisé

Les travaux sur ce pack de conformité, le sixième sur lequel travaille la CNIL, ont été initié le 23 mars dernier, avec pour objectif de fournir un environnement stable et homogène aux différents acteurs de l’écosystème des véhicules connectés.

Cette réflexion menée par la CNIL a vocation à réunir de nombreux acteurs du secteur automobile dont des acteurs de la construction automobile, des équipementiers, des assureurs, des autorités publiques, des opérateurs télécoms ainsi que des start-up.

La CNIL souhaite que ces différents acteurs puissent régler les questions de protection des données personnelles dès le stade de la conception des biens ou services qu’ils créent (« Privacy by Design »).

D’ici à mars 2017, ce pack se prononcera donc sur les modalités d’application du droit des données personnelles et fournira des orientations concernant par exemple, la durée de conservation des données, l’identification des destinataires ainsi que la mise en œuvre des droits des personnes tels que le droit à l’information, le droit d’opposition et le cas échéant, le consentement.

Les catégories de réflexions

Les recommandations de la CNIL en matière de protection des données personnelles seront envisagées dans ce pack de conformité au travers de trois scenarios :

• Scenario 1 : les données personnelles demeurent à l’intérieur du véhicule et ne sont pas transmises à un tiers (« in => in »). Il s’agit notamment du cas d’un dispositif d’aide à la conduite permettant de comptabiliser le comportement du conducteur, à sa seule attention.
• Scenario 2 : les données personnelles sont communiquées à l’extérieur du véhicule (« in => out »). Il s’agit par exemple du cas d’un dispositif mis en place par un assureur afin d’appréhender le comportement d’un conducteur : connaître s’il fait suffisamment de pauses, sa vitesse moyenne, etc.
• Scenario 3 : les données sont transmises à l’extérieur du véhicule avant d’y revenir, afin d’y injecter une nouvelle information (« in => out => in »). Il s’agit par exemple d’un dispositif de navigation dynamique permettant de renvoyer les informations en direct sur l’état d’encombrement des routes afin de modifier le circuit de navigation envisagé.

Alors qu’une étude d’octobre 2015 a révélé que 85% des français s’inquiétaient de la divulgation ou d’un usage commercial non consenti de leurs données, la CNIL a rappelé pendant ce point d’étape que le Scénario 1 – In => In serait à privilégier par les acteurs.

L’influence du nouveau Règlement Européen sur les Données Personnelles

La CNIL rappelle que l’approche européenne des « données personnelles » ne considère pas ces données comme des marchandises qui peuvent être cédées entre les acteurs d’un écosystème mais comme l’objet d’un droit fondamental des personnes pyshiques. Le pack de conformité ne traite donc pas de la question des données sous cet angle patrimonial.

En outre, ce pack de conformité intervient dans le contexte du règlement général sur la protection des données n°2016/679 (« RGPD »), qui entrera en application le 25 mai 2018, dont l’objectif est d’uniformiser les règles applicables et leur interprétation au niveau européen.

La CNIL rappelle que le RGPD instaure notamment le principe du guichet unique, qui permettra aux acteurs de s’adresser uniquement à l’autorité de protection des données du lieu de leur siège social, et ainsi simplifier la mise en conformité pour les sociétés présentes dans plusieurs États membres de l’Union Européenne.

De plus, la CNIL rappelle qu’à la suite de la décision n°C-131/12 de la Cour de Justice de l’Union Européenne dite « Google Spain », du 13 mai 2014, et au vu du RGPD, le droit européen a vocation à s’appliquer non seulement aux responsables de traitement et sous-traitants situés sur le territoire de l’Union (que le traitement ait lieu ou non dans l’Union), mais également, et surtout, à toute personne qui se trouve sur le territoire de l’Union, quel que soit le lieu dans lequel le responsable de traitement ou le sous-traitant est situé, lorsque le traitement est lié à l’offre de biens ou de services à ces personnes ou au suivi de leur comportement.

Cette extension mondaile du champ d’application du droit européen signifie que de nombreux acteurs du secteur des véhicules connectés, notamment présent dans la Silicon Valley, sont concernés par les travaux menés par la CNIL, notamment s’ils commercialisent un véhicule ou des services en Europe.

La CNIL souhaite étendre ce pack de conformité au niveau européen afin de construire un socle commun sur la base des réflexions qu’elle a menées auprès du Groupe de l’Article 29, le groupe de travail réunissant l’ensemble des autorités de protection européennes.

Des absences remarquées

Certains acteurs majeurs des services innovants et la data tels que Microsoft, Google et Apple, n’ont pour l’instant pas participé aux discussions liées à ce pack. Lors de la présentation de son point d’étape, la CNIL a indiqué que ces derniers n’avaient pas fait de démarche positive pour intégrer le groupe de réflexion, et a rappelé que ce dernier demeure ouvert à tout intéressé.

Les éditeurs de logiciels sont également absents des discussions à ce stade. Cependant, si la CNIL considère qu’il est nécessaire dans un premier temps de comprendre l’environnement des voitures connectées, le renforcement des relations avec ces acteurs viendrait dans un second temps.

Les prochaines étapes : finaliser d’ici mars 2017

Un prochain rendez-vous est prévu pour mars 2017, date que la CNIL s’est fixée pour finaliser les travaux et l’élaboration du pack de conformité pour les véhicules connectés.

Les acteurs qui sauront se saisir dès à présent de ce futur cadre réglementaire pourront tirer leur épingle du jeu. Les constructeurs automobiles ou les équipementiers, premiers acteurs de l’interface homme-machine, auraient beaucoup à perdre si la CNIL les rendait responsables de tout. S’ils sont unis et anticipent le risque d’être soumis à des obligations liées à des services dont ils n’ont pas nécessairement le contrôle, ce pack peut être à leur avantage dans l’ultra concurrence qui se joue dans l’habitacle d’une voiture.

Les six prochains mois représentent une fenêtre d’action limitée et la mobilisation des acteurs devra se focaliser sur un effort concerté. Une fois adopté, ce cadre règlementaire fixera les conditions avec lesquelles l’écosystème français, voire européen, devra composer pour pourvoir progresser.

Les équipes parisiennes de K&L Gates disposent de l’expérience des discussions interprofessionnelles avec la CNIL, depuis 20 ans, lui permettant d’anticiper les risques et les opportunités de ces dialogues, par nature déséquilibrés, où le pouvoir réglementaire a le dernier mot.

Nous pouvons ainsi pointer les écueils à éviter, les sujets qui focaliseront l’attention du régulateur, les argumentaires qui sauront convaincre et les thèmes qu’il vaudra mieux laisser de côté.

Première publication sur le site de K&L Gates Paris en collaboration avec Clémence Marolla