Après plus de dix huit mois d’attente, la consultation de plus d’une vingtaine d’acteurs et deux versions intermédiaires, la Commission Nationale de l’Informatique et des libertés (CNIL) a publié ce mardi 17 octobre la version définitive d’un pack de conformité sur les véhicules connectés (« Pack de Conformité »).
Le périmètre du Pack de Conformité
Le Pack de Conformité (disponible en intégralité ici) a vocation à aider les acteurs de ce secteur à se conformer aux à la législation sur la protection des données personnelles quelque soit les services fournis ainsi qu’informer les utilisateurs des services connectés des conditions attendues du traitement de leurs données.
Conformément à ce qui avait été annoncé par la CNIL le 3 octobre 2017 lors d’un point d’étape intermédiaire organisée par le CCFA (Comité des Constructeurs Français d’Automobiles) en marge du Salon de l’Automobile de Paris (voir notre alerte du 7 octobre 2016), le Pack de Conformité envisage trois scénarios d’application :
- #1 Scenario In-In : Les données du véhicule ne sont pas transmises au fournisseur de services. Ce scenario couvre les données qui restent confinées à l’intérieur du véhicule ou les données qui transitent entre le véhicule et un smartphone via le réseau d’un opérateur télécom à condition que seule la personne concernée n’ait accès à ces données.
- #2 Scenario In-Out : Les données du véhicule sont transmises au fournisseur de services, sans déclencher à distance d’action automatique dans le véhicule. Dans ce cas, seul le fournisseur de service traite l’information recueillie depuis le véhicule. Par exemple, il s’agit du cas d’un dispositif mis en place par un assureur afin d’appréhender le comportement d’un conducteur : nombre de pauses suffisants, vitesse moyenne, etc.
- #3 Scenario In-Out-In : Les données du véhicule sont transmises au fournisseur de services pour déclencher à distance une action automatique dans le véhicule. Il s’agit par exemple du cas d’une application de maintenance permettant de rappeler au conducteur qu’au vu de l’état d’usure de ses pneus, il devrait prendre rendez-vous chez un garagiste pour effectuer les opérations de maintenance nécessaires ou encore du dispositif de navigation dynamique permettant de renvoyer les informations en direct sur l’état d’encombrement des routes afin de modifier le circuit de navigation envisagé.
Déterminer l’application de l’un ou l’autre des scenarii repose donc sur deux critères : l’éventuel transit des données hors du véhicule physique et les modalités de traitement de l’information (uniquement pour les personnes concernées, les besoins du fournisseur de services ou pour influer sur le comportement de l’usager du véhicule).
Les acteurs concernés devront donc s’interroger pour définir par typologie de produit et service le scenario le plus adapté. En fonction de cette détermination, le Pack de Conformité leur permettra de connaître les modalités concrètes de mise en œuvre de la règlementation sur la protection des données ; notamment en ce qui concerne l’information des personnes concernées, le respect des droits des personnes ou encore droit à la portabilité.
Les principales nouveautés de la version finale du Pack de Conformité
Par comparaison avec sa première version, la CNIL a considérablement élargit le périmètre d’application du Pack de Conformité.
Si, la première version du Pack de Conformité n’avait vocation qu’à s’appliquer qu’aux données directement issues du véhicule, la version finale couvre également les applications d’un smartphone qui communiquent avec les données du véhicule.
De même, le Pack de Conformité distinguait initialement les constructeurs et les fournisseurs de services, ce qui aurait pu conduire à une ambiguïté sur le statut spécifique de constructeur. Cette distinction est désormais absente du pack et l’ensemble des acteurs sont traités de la même manière et désignés « fournisseurs de services ». Cela est conforme avec les seules notions pertinentes : responsable de traitement et sous-traitant.
Un consensus difficile
Pour la première fois dans l’histoire des packs de conformité (compteurs communicants, logement social et assurance), la CNIL s’est attachée à la rédaction d’un pack impliquant des acteurs provenant de différents secteurs d’une même industrie. La CNIL a donc entendu et parfois pris en compte les remarques d’acteurs aux positions parfois divergentes, depuis les constructeurs jusqu’aux opérateurs télécom en passant par les assureurs et les acteurs de l’après-vente.
Si l’hétérogénéité des participants ne pouvait nécessairement mener à la satisfaction de l’ensemble des acteurs, le consensus actuel a vocation à concrétiser l’adoption du Pack de Conformité, dont la sortie a déjà été retardée de plus de 6 mois, et le cas échéant d’en affiner le contenu grâce aux retours sur expérience à son utilisation.
L’adoption d’un pack s’inscrivant dans une stratégie globale
L’adoption de ce Pack de Conformité s’inscrit dans l’ombre de l’adoption du Règlement Général sur la Protection des Données (« RGPD ») qui tend à réformer et harmoniser le droit de la protection des données au sein de l’Union européenne et dont l’entrée en application est fixée au 25 mai 2018.
Le Pack de Conformité a donc été pensé pour d’ores et déjà se conformer aux obligations issues du RGPD. En effet, l’ambition de la CNIL est de porter le pack au niveau européen profitant de la présidence française du Groupe de l’article 29 jusqu’en février 2018 de la Présidente de la CNIL, Madame Isabelle Falque-Pierrotin.
Tous les regards devront donc être tournés vers les discussions européennes à intervenir au cours des mois à venir, lorsque l’ensemble des représentants des autorités de protection de l’Union européenne se mettront autour de la table pour débattre des aspects du pack et de l’éventuelle adoption de l’équivalent d’un pack européen avec les nombreux acteurs des écosystèmes automobiles et techniques européens.
En tout état de cause, la France se veut en pôle position dans le secteur des véhicules connectés et autonomes. Le gouvernement a en effet annoncé dans un communiqué de presse du 15 septembre 2017, le lancement d’une consultation des acteurs du véhicule autonome afin de définir la stratégie de la France avant fin 2017 en vue de la présentation, début 2018, d’une loi d’orientation sur les mobilités.
L’année 2018 qui s’annonce d’ores et déjà sur les chapeaux de roues est donc pleine de promesses pour les acteurs du secteur des véhicules connectés et autonomes, qu’ils aient eu l’occasion ou non de se faire entendre dans le cadre du Pack de Conformité.
Première Publication sur le site de K&L Gates