Début juin, la fondation Mozilla, qui milite pour un Internet ouvert et protecteur de la vie privée, a lancé un pavé dans la marre en affirmant, après travaux, que l’industrie automobile était la pire en terme de confidentialité de données. « Un cauchemar en matière d’intimité » affirme-t-elle. Trop de données personnelles collectées, trop de partages à des tiers, peu de contrôles possibles, vie privée faussement protégée, insécurité, fuite de données…les voitures ne respecteraient aucunement la confidentialité.
Décision Atelier : Quels sont les territoires couverts par vos recherches ?
Jen Caltrider : Nos recherches se portent sur la documentation publique que l’on pouvait trouver aux Etats-Unis et en Europe. Pour être précis, nous nous sommes penchés sur les constructeurs de cinq pays que sont les États-Unis, le Japon, l'Allemagne, la France et la Corée du Sud. La majorité des choses inquiétantes ont été trouvées dans les politiques de confidentialité américaines, pour la simple raison qu’elles sont bien plus détaillées que celles en Europe.
DA : Vos recherches sont donc très concentrées sur les Etats-Unis ?
JC : On a regardé les politiques de confidentialité aux Etats-Unis comme en Europe. Mais je suis basée aux Etats-Unis et anglophone. La majorité de ce qu’on a pu trouver vient des politiques de confidentialité américaines car elles ont vraiment tendance à être plus détaillées sur certains points. Au contraire des politiques de confidentialité d’Europe, qui s’attardent davantage sur les droits qui protègent les utilisateurs que sur les données qui sont utilisées.
DA : Il n’y a pas de loi protégeant les utilisateurs américains ?
JC : Au niveau fédéral, les Etats-Unis n’ont pas de loi sur la protection de la vie privée des utilisateurs. Ce sont des lois au niveau des Etats, dont certains n’ont d’ailleurs pas de règlementation précise à ce sujet. Alors que d’autres se veulent plus précis. La Californie a par exemple celle qui est sûrement la politique de protection la plus complète, avec le California Consumer Privacy Act (CCPA).
"Une vaste collecte de données avec les concessionnaires ou assureurs sans que l’on s’en rende vraiment compte"
DA : Vous dîtes que vous n’avez pas rencontré pire produit que la voiture en ce qui concerne la protection de la vie privée…
JC : Absolument. Les voitures sont intéressantes car elles sont de plus en plus connectées. Elles collectent des données de différentes manières, que ce soit avec les capteurs, microphones et autres caméras. Avec les applications et services connectés, c’est pire. Tout cela entraîne une vaste collecte de données avec les concessionnaires ou assureurs sans que l’on s’en rende vraiment compte. Contrairement à un téléphone, dont on connait par nature l’intrusion dans la vie privée et où il est possible de désactiver certaines fonctions, ou encore de le laisser derrière soi pour se déconnecter. J’ai le sentiment qu’on a davantage de contrôle avec un smartphone qu’avec une voiture puisqu’il est vraiment compliqué de savoir quand la collecte de données a lieu, ni quand et comment. Les gens savent que les compagnies de la Tech collectent les données avec les téléphones mais ils sont vraiment surpris de savoir que la même chose arrive avec les voitures. Elles peuvent voir vos expressions faciales, où vous allez souvent, ce que vous dîtes etc… C’est pour ça qu’elles sont vraiment une source d’inquiétude pour nous.
DA : Vous étiez trois chercheurs pour réaliser cette étude, qui vous a pris plus de 600 heures. Sur quoi vous vous appuyez spécifiquement pour étayer des propos aussi graves ?
JC : Il faut bien comprendre que nos recherches sont effectuées en se mettant dans la peau d’un client. S’il a beaucoup de temps, il est en capacité d’étudier la politique de respect de la vie privée de sa voiture. Donc nous avons regardé les documents que les constructeurs fournissent et nous avons prévenu par emails tous ceux que nous étudions en leur envoyant des questions spécifiques. Nous avons également fait des recherches sur internet pour trouver les documents qui avaient été piratés par des hackers et qui donnaient donc un libre accès à de nouvelles informations. Tout ça est à portée de main de n’importe quel consommateur qui a du temps à perdre et qui veut se renseigner avant d’acheter une voiture.
DA : Avez-vous reçu des réactions de la part des constructeurs après publication de l’étude ?
JC : Nous avons envoyé des emails à toutes les compagnies concernées, à facilement quatre reprises pour chaque marque. Nous n’avons obtenu que trois réponses. La première marque disait qu’elle ne voulait pas nous parler ; la deuxième nous a apposé qu’elle ne répondrait à aucune question et qu’on devait se référer à la politique de confidentialité ; enfin, la troisième a répondu à quelques-unes de nos questions mais de manière très floue. Finalement, nous n’avons reçu aucun retour officiel des marques. On sait qu’elles ont réagi en contactant des journalistes qui sont ensuite revenus vers nous. Mais c’est tout.
DA : Dans l'étude, vous dites que c'est un problème de sécurité parce que les données collectées ne sont pas cryptées…
JC : Nous n'avons pas pu confirmer que toutes les données personnelles stockées sur les voitures étaient cryptées. Mercedes est la seule entreprise à avoir répondu à nos questions à ce sujet. La marque nous a indiqué que certaines des données personnelles stockées sur les voitures étaient cryptées, mais n'a pas pu confirmer si elles l'étaient toutes. Aucun des autres constructeurs automobiles n'a répondu à ces questions, donc nous ne savons pas ce qui se passe dans ce domaine. À long terme, cela peut donc poser un problème pour la protection des données.
DA : Comment savez-vous que ces données personnelles sont revendues ? Est-ce que cela figure dans la politique de confidentialité ?
JC : Dans les politiques de confidentialité américaines, il y a souvent une section entière consacrée à la vente des données personnelles. C’est en tout cas obligatoire en Californie donc les constructeurs dévoilent davantage d’information, souvent sous forme d’un genre de supplément dédié à cet Etat et qui est bien plus détaillé qu’ailleurs par souci de respect de la loi en vigueur. Nous avons constaté qu’une majorité des marques reconnaît vendre des informations privées. On ne peut pas dire qu'elles vendent systématiquement des données, mais elles peuvent avoir le droit de le faire.
DA : Qu’est-ce la Fondation Mozilla attend d’une telle étude ? Vous avez dénoncé, mais maintenant que c’est fait, on fait quoi ?
JC : Notre objectif principal est de permettre aux clients de savoir ce qu'ils achètent, pour leur montrer quels produits respectent leur vie privée et lesquels ne le font pas. Nous voulons les aider à consommer d’une autre manière. L'objectif est le même avec les appareils connectés. C'est aussi un moyen de pousser les entreprises à améliorer leurs politiques en matière de protection de la vie privée, car le consommateur peut mettre la pression pour demander un changement. Au fur-et-à-mesure des années, nous avons bien remarqué que les entreprises n’aiment pas être épinglées pour non-respect de la vie privée de leur client.
"Les voitures sont désormais livrées avec des micros, caméras et autres outils qui ne permettent plus simplement de connaître les trajets du véhicule"
DA : Le problème des voitures est-il amplifié du fait que les smartphones sont désormais connectés à la voiture ?
JC : Je pense que c’est l’un des principaux problèmes. Les gens connectent leur téléphone à leur voiture et les données sont automatiquement échangées. Les voitures sont désormais livrées avec des micros, caméras et autres outils qui ne permettent plus simplement de connaître les trajets du véhicule. Je pense que la combinaison de toutes les données, que peuvent aujourd’hui collecter les voitures avec les services connectés, et de celles que récupèrent nos téléphones peut être un problème majeur.
DA : Quand on regarde la politique de confidentialité de Subaru, il est par exemple mentionner qu’un passager l’accepte automatiquement dès lors qu’il monte dans la voiture.
JC : C’était irréel de lire ça, car chaque occupant est alors considéré comme un utilisateur. Cela soulève beaucoup de questions sur le consentement. Est-ce qu’un passager qui connecte son téléphone au Bluetooth donne involontairement son autorisation quant à l’utilisation de ses données ? Il est en tout cas précisé que le propriétaire de la voiture a la responsabilité d’informer les autres occupants de la politique de confidentialité. Ce que personne ne fait, évidemment (rires). C’est ridicule et les constructeurs ne sont pas vraiment explicites sur ce point.
DA : D’une certaine manière, êtes-vous en train de dire que Google – présent dans les voitures connectées – est indirectement responsable ?
JC : Je ne dis certainement pas cela. Je dis juste que certains constructeurs considèrent que la simple présence dans leur voiture indique un consentement à leur politique relative à la vie privée. Je ne pense pas forcément que Google soit le méchant de l’histoire.
DA : Il n’y a donc pas de petite guerre avec Google, qui consisterait finalement à montrer que Mozilla est le bon élève dans la protection des données ?
JC : S’il y a une petite guerre entre eux, je n’en fais certainement pas partie. Je suis juste une chercheuse spécialisée dans le respect de la vie privée. Bien que je rappelle souvent Google à ce sujet, je pense que les méchants de cette histoire sont les constructeurs de voitures. À Mozilla, on essaye d’être les bons élèves dans ce domaine. Nous sommes une entreprise à but non-lucratif donc notre vision est différente de celle de Google. On essaye d’être exemplaire et de faire un internet plus respectueux pour les utilisateurs, notre but est de protéger leur vie privée.
DA : Dans votre étude, on apprend que Kia et Nissan peuvent notamment analyser l’activité sexuelle dans ses véhicules. C’est-à-dire ?
JC : On a trouvé dans leur politique américaine de protection de la vie privée, ainsi que dans la version britannique faite par Kia, qu’ils peuvent collecter des informations liées à la vie et l’activité sexuelle. Ils ne disent rien de plus et n’expliquent pas comment ils le font ni pourquoi. Nissan dit que de manière générale, l’utilisation de ces données est faite dans un but publicitaire. La nuance apportée dans leur politique de confidentialité est qu’ils reconnaissent pouvoir collecter ces données, mais pas qu’ils le font systématiquement. Autrement dit, si Kia assure aujourd’hui ne pas le faire, tant mieux pour eux, on n’a plus qu’à les croire sur parole. Mais ils se réservent le droit de le faire et ne le cachent pas. J’ai lu énormément de documents relatifs à la vie privée de clients et rares sont ceux à mentionner la collecte d’informations liées à l’activité sexuelle. Et je pense que c’est quelque chose que le public est en droit de savoir.
DA : En Europe, nous avons le RGPD, pensez-vous que nous sommes mieux protégés qu’aux Etats-Unis ?
JC : Absolument. Le RGPD est une bonne protection, qui n’est pas parfaite, mais qui est meilleure que les protections de la vie privée aux États-Unis par exemple, où il n'existe pas de loi fédérale sur la question. À titre personnel, je vis dans un Etat où il n’y a pas de telle protection fédérale. J’ai demandé au constructeur de ma voiture de me fournir mes données personnelles. Ils m’ont ri au nez et m’ont rappelé qu’il n’y a pas de loi protégeant la vie privée chez moi.
DA : La RGPD protège tous les objets connectés au sens large et sans distinction. La filière des services de l’automobile aimerait qu'il y en ait un consacré aux voitures pour éviter que les constructeurs ne fassent n’importe quoi. Pensez-vous que ce serait utile ?
JC : C’est une question intéressante et à laquelle je n’avais pas pensé avant. Mais il me paraît clair que plus il y aura de détails sur la protection de la vie privée, mieux ce sera pour les utilisateurs. D’autant que le secteur automobile évolue très rapidement. Les voitures deviennent des ordinateurs sur roues, avec des services connectés et un accès à internet.
DA : Pour l'instant en Europe, seul le constructeur automobile a accès aux données. Mais les assurances, les acteurs de la réparation automobile, etc... aimeraient y avoir accès. Ce qui représenterait un plus gros risque pour l’évasion de ces données…
JC : C’est peut-être déjà le cas car à chaque fois qu’un réparateur automobile travaille sur une voiture, il a besoin de la connecter. Et qui sait s’il ne récupère pas directement des données en plus de celles dont il avait besoin pour faire son opération mécanique. Si je parle exclusivement pour les Etats-Unis, les assureurs gèrent un énorme business avec les données personnelles. Par exemple, Toyota a son propre service d’assurance et il est précisé dans leur politique qu’ils peuvent partager ces données avec les entités présentes dans leur groupe. Ce qu’ils ne pourraient théoriquement pas faire aussi facilement avec des entreprises externes. Les données s’échangent avec facilité et grossissent sans que l’on sache vraiment ce qu’il en est fait.
Propos recueillis par Jérémy Lequatre-Garat et Fabio Crocco
Le Club conformité de la CNIL
Sollicitée par Décision Atelier suite à la parution de l’étude de la fondation Mozilla, la CNIL indique que les modes de transport et leurs utilisateurs génèrent une quantité toujours croissante de données susceptibles de toucher à la vie privée de l’individu. Leur utilisation pose donc des questions structurantes en matière de protection des données personnelles et de respect des droits et libertés fondamentaux. A cet égard, la Commission Nationale rappelle que la collecte et, le cas échéant, le partage des données personnelles générées par l’usage d’un véhicule ne peuvent se faire que dans le respect de la règlementation applicable en matière de protection des données à caractère personnel (le RGPD et la loi « informatique et libertés »).
La CNIL rappelle qu’elle a récemment lancé la création d’un « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité (constructeurs, équipementiers, loueurs de véhicules, opérateurs de services de mobilité, etc.). Ce lieu d’échange et de concertation doit permettre l’émergence de réponses concrètes et adaptées aux enjeux juridiques, techniques, sociétaux et économiques que posent les véhicules connectés et favoriser une innovation respectueuse des droits et libertés fondamentaux des personnes.
