La CNIL a lancé une consultation publique le 25 mars 2025 sur un projet de recommandation qui vise à faciliter la conformité des acteurs utilisant les données de localisation des véhicules connectés.
Ce projet a été élaboré à la suite des échanges au sein du « club conformité » de la CNIL sur les véhicules connectés et la mobilité.
Quels acteurs sont concernés par la recommandation de la CNIL ?
La recommandation s'adresse à l'ensemble des acteurs de l'écosystème du véhicule connecté, notamment les constructeurs automobiles, les gestionnaires de flotte (location courte ou longue durée), les fournisseurs d'outils télématiques (comme les boîtiers), et les agrégateurs/intégrateurs de données.
Elle se concentre sur l'utilisation des véhicules connectés par des particuliers, qu'ils soient propriétaires ou locataires.
Géolocalisation : des données sensibles au cSur de la mobilité connectée
Il s'agit de données permettant de déterminer la position d'un objet ou d'une personne, souvent via un système de géopositionnement (GPS, Galileo). Ces données sont considérées comme hautement personnelles et particulièrement intrusives pour la vie privée.
Dans ce cadre, le projet propose des recommandations concrètes pour des usages comme l'assistance aux personnes/dépannage, la gestion de flotte par les loueurs, la lutte contre le vol, et l'optimisation/amélioration des produits et services.
En outre, le projet met l'accent sur les boîtiers télématiques et les agrégateurs de données, mettant en exergue la nécessité de mesures de sécurité spécifiques pour ces technologies.
Véhicules connectés : quels textes encadrent les traitements de données ?
Le RGPD (Règlement Général sur la Protection des Données) s'applique aux traitements de ces données.
De plus, la directive ePrivacy (transposée en droit français par l'article 82 de la loi Informatique et Libertés) est applicable dès lors qu'il y a accès ou stockage d'informations dans l'équipement terminal (le véhicule ou un appareil connecté). Cet accès nécessite généralement le consentement de l'utilisateur, sauf exceptions.
Les principes clés du RGPD appliqués aux véhicules connectés
Les principes rappelés sont notamment les suivants :
|
PRINCIPE |
ADAPTATION |
|
Bases légales |
Chaque traitement doit reposer sur une des bases légales prévues par l'article 6 du RGPD (consentement, contrat, obligation légale, mission d'intérêt public, intérêt légitime). Le consentement est souvent requis tant par l'ePrivacy que par le RGPD. Le contrat peut être une base légale si le traitement est nécessaire à l'exécution du contrat principal, mais pas s'il s'agit d'une prestation accessoire détachable. L'intérêt légitime est une autre base possible, sous conditions strictes. L'obligation légale s'applique, par exemple, pour le système eCall (appel d'urgence). |
|
Minimisation des données |
Seules les données strictement nécessaires à la finalité poursuivie doivent être collectées et conservées. Il est recommandé de privilégier le traitement en local dans le véhicule et de ne remonter les données que si nécessaire. La généralisation ou l'anonymisation des données est encouragée lorsque la finalité le permet. |
|
Sécurité |
Des mesures techniques et organisationnelles appropriées doivent être mises en place pour protéger les données. Le chiffrement des données (en transit et au repos) est recommandé. La journalisation des accès et opérations est également recommandée. |
Données de localisation : la CNIL vous invite à contribuer
Ce projet de recommandation est un document technique et juridique important qui façonnera les pratiques futures en matière de données de localisation des véhicules connectés. La CNIL encourage tous les acteurs concernés à y contribuer. C'est une occasion clé d'éclairer les débats et d'influencer le cadre final qui sera adopté !
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
