M. Aurélien Saintoul interroge Mme la secrétaire d'État auprès du ministre de l'enseignement supérieur et de la recherche, chargée de l'intelligence artificielle et du numérique sur le rapport produit par la fondation Mozilla concernant le respect de la vie privée par les voitures connectées. Mercredi 6 septembre 2023, la fondation Mozilla publiait une étude sur la collecte des données personnelles par les voitures connectées et l'utilisation qui en était faite par les constructeurs automobiles. Il en ressort que parmi les 25 marques les plus populaires du marché, toutes collectent davantage de données que nécessaire. Lorsque le véhicule est en marche, il est en capacité de récupérer les informations de conduite comme la vitesse, les trajets empruntés ou l'utilisation faite de la voiture, mais il peut également récupérer des informations à travers tous les capteurs embarqués comme les caméras, micros, capteurs de pression, ou encore les données médicales, les contacts, le calendrier et d'autres informations via les smartphones connectés. Certains constructeurs indiquent même collecter des informations sur l'orientation et l'activité sexuelle de leurs clients. Au-delà du risque de voir ces informations fuiter suite à des opérations malveillantes, elles pourront être vendues pour du ciblage publicitaire, voire à des gouvernements avec l'accord du constructeur. Il souhaite donc savoir si le Gouvernement compte mettre en place un plan de vérification du bon respect du « règlement général sur la protection des données » (RGPD) dans les contrats d'utilisation des véhicules connectés et limiter la collecte des données aux seules informations de conduite.

Sur le territoire français, la Commission nationale de l'informatique et des libertés (CNIL) est l'autorité compétente pour contrôler le respect de la règlementation applicable en matière de protection des données. Les modes de transport (voitures, scooters, vélos, etc) et leurs utilisateurs génèrent une quantité croissante de données. Elles peuvent être produites directement par les équipements et systèmes du véhicule, mais également par les équipements, boîtiers ou appareils connectés embarqués par le conducteur et les passagers (smartphone, tablette, etc.). La possibilité d'une collecte à distance des données conduit à concevoir de nouveaux services, par exemple pour renforcer la sécurité des usagers, améliorer l'expérience du déplacement (info-divertissement, confort, maintenance, etc.) et optimiser l'organisation du déplacement. Dans le même temps, la connectivité de ces véhicules implique le recueil de données susceptibles de toucher à la vie privée de l'individu (déplacements, comportement au volant, etc.). Leur utilisation pose donc des questions structurantes en matière de protection des données personnelles et de respect des droits et libertés fondamentaux. La collecte et, le cas échéant, le partage des données personnelles générées par l'usage d'un véhicule ne peuvent se faire que dans le respect de la règlementation applicable en matière de protection des données à caractère personnel (le RGPD et la loi « informatique et libertés »). Le RGPD est applicable à des acteurs étrangers du fait de sa portée extraterritoriale : soit les traitements de données sont mis en œuvre dans le cadre des activités d'un établissement au sein de l'Union (i), soit l'entreprise propose des biens et services sur le territoire ou suit le comportement des personnes situées sur le territoire de l'Union (ii). Les grands principes posés par cette règlementation doivent permettre de renforcer le contrôle par les citoyens de l'utilisation qui peut être faite de leurs données. Le traitement de ces données doit être transparent vis-à-vis des personnes concernées : Elles doivent notamment être informées des divers objectifs pour lesquels leurs données sont collectées, des destinataires ou des catégories de destinataires auxquels les données sont transmises, de la durée pendant laquelle ces données seront possiblement conservées ou encore des droits qui leur sont octroyés par la règlementation (droit d'accéder aux données collectées et droit de s'opposer, dans certains cas, au traitement de leurs données, etc.). Le traitement doit reposer sur une base juridique/fondement juridique valide ; ainsi, dans certains cas, le consentement des personnes doit être collecté. Certaines données dites « sensibles » (les données relatives à la vie sexuelle, les données de santé, etc.) font l'objet d'un régime juridique plus protecteur. La CNIL a récemment lancé un plan d'action ayant pour objectif de faire évoluer les pratiques de l'ensemble du secteur et de favoriser une innovation respectueuse des droits et libertés fondamentaux : Dans un premier temps, la CNIL a lancé en 2023 la création d'un « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité qui réunit notamment les constructeurs, les équipementiers, les loueurs de véhicules ou encore certains opérateurs de services de mobilité. Ce lieu de concertation doit permettre à la CNIL de mettre à disposition des acteurs des outils pratiques et opérationnels pour que chacun ait une bonne compréhension de ses obligations (et ainsi faciliter leur mise en conformité).  La publication de ces outils sera suivie, dans un second temps, de la mise en œuvre d'une « réponse répressive » d'ampleur, proportionnée et dissuasive. À l'issue de contrôles, en fonction de la nature et de l'ampleur des manquements éventuellement constatés, la CNIL sera susceptible de prendre des mesures correctrices, notamment des sanctions pécuniaires. En tout état de cause, la CNIL dispose de pouvoirs de contrôle et de sanction, notamment dans le cadre de l'instruction de plaintes, étant rappelé que lorsqu'un constructeur a son siège européen dans un autre État de l'Union européenne, c'est la CNIL de cet État qui est compétente pour agir vis-à-vis de ce constructeur (principe de l'autorité cheffe de file instituée par le RGPD).