25 constructeurs automobiles violeraient les principes de protection de la vie privée des consommateurs
Selon un rapport de Mozilla rapidement contesté par les constructeurs automobiles, 25 marques ne respectent pas la vie privée des consommateurs en collectant des données personnelles au moyen de microphones ou encore de caméras.
Selon un rapport de Mozilla rapidement contesté par les constructeurs automobiles, 25 marques automobiles ne respectent pas la vie privée des consommateurs en collectant des données personnelles au moyen de microphones, de caméras et d’appareils connectés aux voitures par les utilisateurs.
Le rapport de Mozilla, publié mercredi (6 septembre) dans son guide d’achat *Privacy Not Included (*PNI), révèle que 25 des marques les plus connues collectent des données telles que le statut d’immigrant, les expressions faciales, la santé, les informations génétiques et la prochaine destination au moyen d’appareils connectés, de microphones et de caméras.
*Privacy Not Included est un guide qui fait la lumière sur les questions de vie privée et passe en revue les produits et les applications depuis 2017.
« Toutes les nouvelles voitures d’aujourd’hui sont des cauchemars sur roues en matière de vie privée qui collectent d’énormes quantités d’informations personnelles », a déclaré Jen Caltrider, directrice du programme *PNI.
La voiture, plus un lieu privé ?
« Beaucoup de personnes considèrent leur voiture comme un espace privé, où elles peuvent appeler leur médecin, avoir une conversation personnelle avec leur enfant sur le chemin de l’école, pleurer à chaudes larmes après une rupture ou se rendre dans des endroits qu’elles ne veulent pas partager avec le monde entier. Mais cette perception ne correspond plus à la réalité », a ajouté Mme Caltrider.
L’étude s’est concentrée sur cinq pays : Allemagne, France, États-Unis, Japon et Corée du Sud.
Les marques automobiles pointées du doigt pour leur mauvais résultats en matière de protection de la vie privée des consommateurs sont BMW, Ford, Toyota, Tesla, Subaru, Volkswagen, Mercedes-Benz et 18 autres.
Renault a été considérée comme la marque « la moins problématique » en termes de protection de la vie privée, puisqu’elle a donné la possibilité à tous les conducteurs de ses véhicules ainsi qu’à ceux de Dacia, la marque roumaine à bas prix de Renault, de faire effacer leurs données personnelles.
Selon le rapport, 21 marques automobiles conservent le droit de partager les données personnelles, tandis que 19 peuvent même les vendre.
Les constructeurs automobiles cités dans la publication ont nié tout acte répréhensible.
Un porte-parole de Ford a déclaré à EURACTIV que la marque « s’engage à être un gestionnaire de confiance des informations personnelles que les clients choisissent de partager avec nous. Nous utilisons les données des véhicules connectés pour améliorer la qualité, minimiser l’impact environnemental et rendre nos véhicules plus sûrs et plus agréables à conduire et à posséder. »
Volkswagen et Audi ont tous deux commenté qu’ils « protègent les données personnelles des employés, anciens employés, clients, fournisseurs et autres personnes concernées. » Ils ont déclaré à EURACTIV qu’ils « collectent, rassemblent, traitent, utilisent et stockent les données personnelles uniquement en conformité avec les exigences légales ».
Audi a également remis en question la crédibilité de l’étude.
« Le style de cette soi-disant étude me semble à tout le moins très inhabituel et à peine étayé par des faits. La seule référence concerne le marché américain », a déclaré un porte-parole de la marque, soulignant que « l’auteur lui-même écrit que le mode de confidentialité peut être activé à tout moment (dans « Mode de confidentialité » sur l’application myAudi) ».
De même, Toyota a déploré la confusion du rapport. « L’application Toyota décrite [dans le rapport] n’est disponible qu’aux États-Unis », a par exemple signalé un porte-parole de Toyota à EURACTIV.
L’équipe de Mozilla a rétorqué que les entreprises rendent impossible la vérification de ce qui s’applique exactement au marché américain et de ce qui s’applique au marché européen, ajoutant que la plupart des données sont collectées par un véhicule — et non par des applications.
« Nous ne faisons pas non plus entièrement confiance à leurs déclarations écrites qui ne sont pas reflétées dans les politiques. C’est pourquoi nous plaidons pour plus de transparence en ce qui concerne la collecte de données », a expliqué Mozilla à EURACTIV.
BMW, Volkswagen, Jeep, Subaru et Tesla n’ont pas répondu à la demande de commentaires d’EURACTIV au moment de la publication de cet article.
Application du RGPD
Le règlement général sur la protection des données (RGPD) de l’UE est entré en vigueur en 2018 et interdit le traitement des données personnelles sensibles, y compris les opinions politiques, l’orientation sexuelle et les croyances religieuses. Le régime de protection des données de l’UE vise à donner aux individus le droit de savoir lesquelles de leurs données sont utilisées et à quelles fins.
Cependant, Misha Rykov, chercheur au *PNI, a déclaré à EURACTIV que « le RGPD est bien sur le papier mais manque d’outils pour l’application ». Il a expliqué que ces marques automobiles pratiquaient ce que l’on appelle le « lavage de la vie privée ». Elles ont signé Consumer Privacy Protection Principles les principes non contraignants de protection de la vie privée des consommateurs, mais ne les suivent pas.
Raffaele Zallone, un expert en droit de la confidentialité des données, a déclaré à EURACTIV que « l’utilisation croissante de la technologie ITC par les constructeurs automobiles, le partage potentiel des données personnelles avec les grandes entreprises technologiques et les opérateurs de télécommunications nécessitent un examen approfondi de la part des autorités européennes de protection des données et de la Commission ».
Selon M. Zallone, le comité européen de la protection des données devrait demander à la Commission de faire pression sur l’industrie automobile pour qu’elle établisse un code de conduite, puis d’examiner les pratiques mises en place par l’industrie pour s’assurer qu’elles sont respectées.
« Puisque les industries concernées sont des puissances économiques très importantes, je considère que c’est plutôt au Comité européen de la protection des données et à la Commission d’aller de l’avant dans ce domaine », a expliqué M. Zallone à EURACTIV.
Le cas Tesla
Il existe déjà un cas concret de violation du RGPD par une grande entreprise automobile : le fabricant américain de voitures électriques Tesla.
En juillet 2022, le plus grand groupe de protection des consommateurs d’Allemagne, la vzbv (Verbraucherzentrale Bundesverband) a intenté une action en justice contre Tesla pour ne pas avoir mentionné dans sa publicité que le conducteur pourrait violer le RGPD lorsqu’il utilise le « mode sentinelle » de Tesla, une fonction qui enregistre l’environnement d’une voiture dans les lieux publics.
Selon une déclaration de la vzbv, Tesla a publié une déclaration de cessation et de désistement après l’audience, affirmant qu’elle changerait sa façon de faire de la publicité.
« Tesla a déjà été contraint par les tribunaux allemands de cesser d’utiliser ses fonctions de sentinelle, ce qui montre que nous sommes confrontés à un véritable problème qui doit être traité de manière opportune et adéquate », a signalé M. Zallone à EURACTIV.
« Pour rendre les choses plus sensibles, il y a également de potentiels problèmes d’antitrust. Une action est nécessaire, et ce rapidement », a-t-il ajouté.
[Édité par Anne-Sophie Gayet]
