Les véhicules connectés et les applications liées à la mobilité doivent protéger les données personnelles y afférentes par défaut et dès la conception. C'est ce que rappelle le Comité européen de la protection des données (CEPD) dans un document ouvert à consultation jusqu'au 20 mars 2020.
Trois catégories de données sensibles
L'organe indépendant institué par le règlement général sur la protection des données (RGPD) identifie une série de risques dans le contexte de la mobilité connectée, comme une mauvaise information, un consentement non qualitatif, un traitement ultérieur sans consentement additionnel, une collecte excessive de données ou encore, un risque de piratage.
Il soumet donc à consultation une série de recommandations destinées à atténuer ces risques. Par exemple, il suggère d'accorder une attention particulière à trois catégories de données personnelles : les données de localisation, les données biométriques et les données qui pourraient révéler une infraction au Code de la route. Sur le premier point, le CEPD souligne que le service de géolocalisation ne devrait être activé que lorsque l'utilisateur lance une fonction qui nécessite que la localisation du véhicule soit connue et non par défaut, dès le début. Sur les données biométriques ensuite, il insiste sur le besoin de fournir des alternatives et de s'assurer que le stockage et la comparaison de modèles biométriques se déroulent de manière locale, sous format chiffré. Enfin, le CEPD estime que le traitement de données pouvant révéler un délit ne devrait être réalisé que sous le contrôle d'une autorité officielle ou lorsque le droit de l'UE ou d'un État membre l'encadre avec des garanties appropriées.
Droit en vigueur
D'une manière plus générale, le CEPD rappelle que le RGPD et la directive 'e-Privacy' s'appliquent à la mobilité connectée et aux applications y afférentes. Cela signifie que les données personnelles qui en émanent ne peuvent être traitées que si l'utilisateur a donné son consentement, à moins que ledit traitement ne soit nécessaire pour acheminer la communication ou pour effectuer un service spécifique.
Les lignes directrices du CEPD se concentrent sur le traitement des données personnelles en relation avec l'utilisation non professionnelle des véhicules connectés. Il couvre notamment les données traitées à l'intérieur du véhicule, échangées entre le véhicule et les appareils personnels qui y sont connectés (par exemple, le smartphone de l'utilisateur) ou encore les données collectées dans le véhicule et exportées vers des entités externes (par exemple, les constructeurs automobiles, les compagnies d'assurance, etc.) pour un traitement ultérieur.
Lien vers le document : http://bit.ly/2OJgWet (Sophie Petitjean)