Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Délibération

* Délibération 2010-096 du 8 avril 2010 portant recommandation relative à la mise en œuvre, par les compagnies d’assurance et les constructeurs automobiles, de dispositifs de géolocalisation embarqués dans les véhicules

08 Avril 2010 - Thème(s) : Déplacement

JORF n°0114 du 19 mai 2010

texte n° 76


NOR: CNIA1000006X

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/47/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;

Vu le code des postes et des communications électroniques et notamment en son article L.34-1 ;

Vu le code des assurances ; 

Vu le code de la consommation ;

Vu le code pénal ;

Vu le code de la route ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu la délibération n° 2006-066 du 16 mars 2006 portant adoption d'une recommandation relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d'organismes privés ou publics ;

Vu l’avis du groupe de travail dit de l’« article 29 » en date du 26 septembre 2006 sur la protection des données et le respect de la vie privée dans l’initiative e-call ;

Vu l’avis du Contrôleur européen de la protection des données en date du 22 juillet 2009 sur le déploiement des systèmes de transport intelligent en Europe ;

Après avoir entendu Monsieur Didier GASSE, commissaire, en son rapport, et

Mme Elisabeth ROLIN, commissaire du gouvernement, en ses observations.

Formule les observations suivantes :

À la suite du développement des traitements de géolocalisation permettant aux employeurs privés ou publics de prendre connaissance de la position géographique de leurs employés par la localisation des véhicules qui leur sont confiés, la Commission avait été conduite à encadrer leur mise en œuvre, compte tenu de dérives qu'il convenait de prévenir. Ce fut l'objet de sa délibération n° 2006-066 du 16 mars 2006 portant adoption d'une recommandation relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d'un organisme public ou privé.

Parallèlement, mais avec un certain décalage dans le temps, des dispositifs utilisant la géolocalisation des véhicules ont été proposés aux utilisateurs de véhicules automobiles par les assureurs et les constructeurs.

En premier lieu, les dispositifs dénommés sous le terme anglais générique de Pay As You Drive (PAYD) n’ont pas la géolocalisation pour but, mais utilisent cette technique pour vérifier le kilométrage, la durée de temps de conduite, les périodes de conduite, voire la vitesse des véhicules. Ils peuvent, en outre, être couplés avec des capteurs renseignant notamment sur la façon de conduire. Les offres actuellement disponibles sur le marché concernent majoritairement les particuliers mais une offre commerciale adaptée aux professionnels est également parfois proposée. La finalité poursuivie par le traitement est de contrôler les conditions d’utilisation du véhicule assuré en vue d’adapter le calcul de la prime d’assurance. Le calcul de la prime varie en fonction de certains risques identifiés, la prime diminuant si ces risques sont effectivement amoindris ou évités : pour ce faire, le traitement peut vérifier par exemple le kilométrage parcouru, la durée des périodes de conduite sans pause, les horaires de conduite, la vitesse. Les résultats ainsi obtenus sont comparés aux engagements figurant dans le contrat, selon lesquelles les conducteurs acceptent par exemple de limiter leur kilométrage, ou de respecter une pause toutes les deux heures, ou de s'abstenir de conduire la nuit lors des week-ends. L'équilibre économique attendu de tels contrats résulterait de la diminution des accidents de la route en particulier chez les jeunes conducteurs.

En second lieu, en complément ou indépendamment du PAYD, des services tels que la lutte contre le vol des véhicules, dénommé également « tracking », ou l’appel d’urgence, parfois dénommé eCall », sont fréquemment proposés par les assureurs et les constructeurs automobiles, couplés souvent avec d’autres services, tels que l’aide à la navigation. Le tracking et l’eCall ont tous les deux pour objet de géolocaliser le véhicule soit en vue de pouvoir le suivre ou le retrouver en cas de vol, soit en vue d’apporter une assistance ou un secours d’urgence en cas d’incident ou d’accident.

Dans la suite logique de la recommandation précitée de 2006, la présente recommandation vise à la fois les dispositifs dits de PAYD, d’appel d’urgence et de lutte contre le vol.

À titre préliminaire, la Commission rappelle que ce sont les dispositifs de PAYD qui appellent le plus de précautions ou de réserves en termes « informatique et libertés ». Ainsi, par une délibération n° 2005-278 du 17 novembre 2005, la Commission avait refusé d'autoriser la mise en œuvre d'un traitement basé sur la géolocalisation des véhicules dans la mesure où il supposait le traitement, par l'assureur, d'infractions relatives aux violations des limitations de vitesse, ce que ne permet pas l'article 9 de la loi de 1978, qui réserve ce type de traitement à des personnes morales gérant un service public. Par ailleurs, la Commission avait considéré que la collecte et la conservation systématiques de données relatives à la localisation des véhicules utilisés à titre privé à des fins de modulation de tarifs d'assurance automobile était de nature à porter atteinte à la liberté d'aller et venir anonymement dans des proportions injustifiées.

À la suite de ce refus et dans le souci de déterminer les conditions dans lesquelles des traitements de PAYD pouvaient être proposés aux assurés tout en garantissant le respect de leur vie privée, une large concertation a été menée avec les assureurs. La présente recommandation, qui en est le fruit, rappelle les principes qu'il conviendrait de respecter pour permettre ce type de traitement dans le respect des principes de la loi de 1978, c'est-à-dire en évitant notamment un traçage des déplacements des conducteurs. Toutefois, la Commission appelle à la vigilance pour que le système du PAYD n'évolue pas vers un traitement d'exclusion du fait du profilage des conducteurs. Enfin, elle souhaite que le développement du PAYD ne se résume pas à un recul de la mutualisation des risques.

Recommande :

Sur les finalités des traitements :

La loi « informatique et libertés » subordonne la mise en œuvre d’un traitement automatisé de données à caractère personnel à l’existence d’une finalité légitime. Compte tenu du caractère intrusif des dispositifs traitant les données de localisation des véhicules et des informations qui peuvent y être associées, la Commission estime que, selon les traitements envisagés, les finalités devraient être définies ainsi qu’il suit.

La modulation des tarifs d’assurance automobile (PAYD)

Le but poursuivi par les dispositifs de PAYD est d'ajuster le calcul des primes d'assurance au vu d'éléments objectifs constatés et, partant, d’inciter les conducteurs à minorer les risques notamment en s'abstenant de conduire lors de période dangereuses, en limitant le kilométrage parcouru, en modérant leur vitesse, etc. La finalité poursuivie par le traitement est donc de vérifier le respect de leurs engagements par les assurés, en matière de période de conduite, kilométrage parcouru, voire de façon de conduire, en vue de moduler le montant de l'assurance automobile.

La lutte contre le vol (Tracking)

Le but poursuivi par les dispositifs de Tracking est de géolocaliser un véhicule, dont le vol a été déclaré, à fin de pouvoir le retrouver. La finalité poursuivie par le traitement est donc seulement de permettre de retrouver le véhicule grâce à la géolocalisation.

L'appel d'urgence ou eCall

Les dispositifs d'appel d'urgence permettent, à la suite d’incident ou d’un accident subi par un véhicule, d’être mis en communication de façon manuelle ou automatique avec le centre de secours le plus proche et de lui transférer les informations essentielles sur le véhicule et en particulier sa géolocalisation. Ils contribuent ainsi à la sauvegarde des vies humaines et la sécurisation des voies de circulation. La finalité du traitement est donc de mettre en communication un véhicule avec un centre d'assistance ou de secours et de lui transférer la géolocalisation du véhicule et les éléments techniques disponibles. Les informations ainsi transmises ne doivent être utilisées qu’aux fins de faire venir les secours sur le lieu de l’accident le plus rapidement possible. 

Sur les données collectées :

Les données collectées dans le cadre de la mise en œuvre d’un dispositif de géolocalisation des véhicules par les compagnies d’assurance et les constructeurs automobiles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles le traitement est mis en œuvre.

Concernant la géolocalisation

Les trois catégories de dispositifs collectent des données de géolocalisation, mais ce n'est que dans le cas du PAYD qu'il y a une véritable sensibilité en matière de vie privée.

En effet, dans le cas du Tracking et de l'eCall, la géolocalisation, en vue de retrouver ou porter assistance à un véhicule, est effectuée de façon exceptionnelle et ponctuelle à la demande de la personne concernée.

En revanche, pour le PAYD, la géolocalisation, qui n'est que l'accessoire d'un traitement plus complexe, est effectuée de façon permanente pendant tout le temps de la conduite du véhicule. En l’occurrence, elle n'est pas activée par la personne concernée.

Concernant les autres données collectées dans le cadre du PAYD

Concernant la vitesse, le traitement est susceptible de permettre la constatation d'éventuels dépassements de limitations de vitesse, qui constituent des infractions au code de la route. Or, l'article 9 de la loi du 6 janvier 1978 modifiée en août 2004 énumère limitativement les catégories de personnes autorisées à mettre en œuvre des traitements visant à faire apparaître directement des données relatives aux infractions, au nombre desquels ne figurent pas les compagnies d’assurance et les constructeurs automobiles.

Dès lors, sans faire obstacle aux règles spécifiques actuelles ou à venir, propres aux transports routiers, la Commission rappelle que les infractions éventuelles ne doivent pas être identifiées et que seul le traitement de la vitesse moyenne peut être, le cas échéant, réalisé.

Concernant les autres items collectés, la Commission recommande de ne pas les multiplier et de s'en tenir à des dispositifs simples : la multiplication des données contrôlées serait en effet de nature à engendrer pour les conducteurs un sentiment de pression et de surveillance constante aboutissant à l'inverse du but poursuivi. Elle relève notamment que si la collecte des données relatives à la façon de conduire (par exemple, le recueil des accélérations ou décélérations du véhicule, généralement utilisé pour d’autres finalités comme l’éco-conduite) est possible techniquement, leur traitement afin de les traduire en termes de conduite à risque soulève de difficiles problèmes d'interprétation et de proportionnalité.

Sur la durée de conservation des données de géolocalisation

Les données relatives à la localisation d’un véhicule ne peuvent être conservées que pour une durée pertinente au regard de la finalité du traitement qui a justifié cette géolocalisation.

La modulation des tarifs d’assurance automobile (PAYD)

Dans la mesure où la collecte systématique associée à la conservation des données relatives à la localisation des véhicules n’apparaît pas proportionnée par rapport au but poursuivi, les données de géolocalisation ne devront être conservées que pendant le temps nécessaire pour caractériser chaque item utile au calcul de la prime d’assurance. En effet, si de telles données devaient être conservées, celles-ci porteraient atteinte à la vie privée des personnes concernées et contreviendraient à la liberté d’aller et venir anonymement.

La lutte contre le vol (Tracking)

La Commission préconise que les données de localisation du véhicule ne remontent qu’à partir de la déclaration de vol et que la conservation de ces données soit ensuite limitée aux strictes nécessités de l’enquête et de l’instruction du dossier par les autorités judiciaires compétentes. Les données à caractère personnel seront en tout état de cause supprimées à la demande de l’assuré ou à la demande de toute personne autorisée par ce dernier, à l’issue d’une procédure de levée de doute n’aboutissant pas à la confirmation du vol du véhicule ou, à défaut, à l’issue de la relation contractuelle.

L'appel d'urgence (eCall)

Les données de localisation du véhicule ne remontent qu’une fois l’appel déclenché. Ces données doivent ensuite être effacées du traitement à l’issue de leur utilisation à des fins d’assistance ou de secours sous réserve des nécessités résultant de l’application des réglementations et normes en vigueur.

Sur les personnes pouvant avoir accès aux informations :

Sont destinataires des informations, les personnes qui, dans le cadre de leur fonction, peuvent légitimement en avoir connaissance au regard des finalités. Il en est ainsi :

  • pour la finalité modulation des tarifs d’assurance automobile (PAYD), des personnes habilitées des compagnies d’assurance et/ou de leur prestataire ;
  • pour la finalité de lutte contre le vol, des agents habilités de la plate-forme de télésurveillance et les autorités judiciaires compétentes ; la Commission estime que les abonnés à ce service – personnes physiques ou morales – ne doivent pas avoir accès aux informations relatives à la localisation de leur véhicule ;
  • pour la finalité de secours aux personnes (appel d’urgence), du centre d’appel d’urgence, les équipes de secours, les personnes habilitées des compagnies d’assurance et/ou des constructeurs automobiles et les laboratoires d’étude en accidentologie ;

Sur les mesures de sécurité :

Le responsable de traitement doit en tout état de cause prendre toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées et pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisées puissent en prendre connaissance.

A cette fin, la Commission invite les compagnies d’assurance et les constructeurs automobiles à faire appel à des prestataires de services dans le cadre de l’utilisation de ces dispositifs de géolocalisation. Ces relations devront, conformément à l’article 35 de la loi 6 janvier 1978 modifiée en août 2004, être encadrées par un contrat comportant des clauses de confidentialité et de sécurité.

En particulier, le responsable de traitement s’assure d’une gestion rigoureuse des contrôles d’accès. Ainsi, la CNIL recommande que les accès aux traitements de données s’effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’identification garantissant, a minima, un même niveau de sécurité.

Le responsable de traitement établit un état journalier des accès afin de pouvoir en assurer le contrôle. Il doit également disposer de moyens humains suffisants et formés. La Commission préconise d’interdire l’extraction locale des données de localisation provenant du boîtier embarqué.

Pour le PAYD et la lutte contre le vol, la Commission recommande que la consultation à distance ou que la transmission des données via un réseau de communications électroniques soit assurée par des protocoles sécurisés (chiffrement des communications) permettant notamment au responsable de traitement de se prémunir contre les risques d’intrusion et contre le détournement de finalité.

La Commission recommande également de prévoir une certification des procédures et des boîtiers par des experts indépendants.

Plus spécifiquement pour le PAYD, la CNIL préconise que les données soient agrégées si possible directement dans le boitier afin qu’aucune information détaillée ne remonte ni au prestataire ni à l’assureur. A défaut, la CNIL préconise que les données soient agrégées par le prestataire, à charge pour ce dernier d’adresser à l’assureur les données déjà agrégées.

Sur le consentement et l’information des personnes concernées :

L’article L.34-I-IV du code des postes et des communications électroniques (CPCE) pose le principe du consentement préalable de la personne concernée à l’utilisation de tout service de géolocalisation. Dès lors, les personnes concernées par les dispositifs de géolocalisation doivent manifester individuellement et par écrit leur consentement exprès préalablement à la mise en œuvre du traitement.

A ce titre, la CNIL recommande qu’un document spécifique annexé au contrat ou qu’une clause contractuelle type, insérée audit contrat, indique que la signature du client vaut consentement à la mise en œuvre d’un traitement de géolocalisation.

Cette préconisation s’applique à toutes les finalités y compris aux dispositifs d’appel d’urgence quand bien même tout appel destiné à un service d’urgence vaut consentement de l’utilisateur jusqu'à l’aboutissement de l’opération de secours qu’il déclenche et seulement pour en permettre la réalisation.

Outre le consentement des automobilistes, une information préalable de ces derniers est obligatoire, conformément à l’article 32 de la loi du 6 janvier 1978 modifiée et à l’article L34-1-IV du CPCE. Les automobilistes doivent être informés individuellement, préalablement la mise en œuvre du traitement :

  1. de la finalité ou des finalités poursuivies par le traitement ;
  2. des catégories de données collectées ;
  3. de la durée de conservation des données de géolocalisation les concernant ;
  4. des destinataires ou catégories de destinataires des données ;
  5. de l’existence d’un droit d’accès, de rectification et d’opposition et de leurs modalités d’exercice ;
  6. le cas échant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne.

A ce titre, la CNIL recommande que l’information des personnes concernées par un dispositif de géolocalisation puisse se faire notamment lors de la conclusion du contrat, via l’ordinateur de bord des véhicules dotés d’un dispositif de géolocalisation, par un signal sonore distinctif, par un voyant sur le tableau de bord du véhicule ou par une mention de rappel apposée sur les factures émises par le responsable de traitement.

La Commission rappelle que chaque automobiliste doit pouvoir avoir accès aux données le concernant en s’adressant au service ou à la personne qui lui aura été préalablement indiquée.

Sur la présence d'un système de désactivation automatique du dispositif de géolocalisation

L’article L. 34-I-IV précité du CPCE dispose que doit être prévue la possibilité pour la personne concernée de retirer ou suspendre à tout moment et gratuitement son consentement à être géolocalisée. En matière de géolocalisation, le retrait du consentement s’effectue généralement par la désactivation du système.

Cette possibilité doit pouvoir s’exercer, pour les systèmes de lutte contre le vol, via un bouton de désactivation sur le dispositif qui peut être couplé à une demande, auprès de la compagnie d’assurance ou du constructeur automobile, de retrait du dispositif embarqué.

En revanche, pour le PAYD, la possibilité d'une désactivation est en quelque sorte contradictoire avec le contrat lui-même, puisqu'elle ne permettrait plus de vérifier les engagements du conducteur.

Concernant l’appel d’urgence, la Commission relève que l'installation d'un dispositif de désactivation instantanée a été recommandée dans le cadre du groupe de travail de l'article 29 de la directive du 24 octobre 1995. Cependant, après plusieurs années de mise en œuvre de dispositifs d’appel d’urgence en France, elle a constaté que les risques d’atteinte à la vie privée apparaissent restreints, puisque les données de géolocalisation ne sont collectées et transmises que dans le cas d’une connexion volontaire ou dans celui d’un accident impliquant le déclenchement d’un airbag. De plus, la possibilité d’une désactivation manuelle serait susceptible de créer une insécurité juridique, compte tenu des problèmes de preuves qui se poseraient en cas de dommages subis suite à un accident non suivi d'un appel. C'est pourquoi, la Commission considère que l'implantation d'une désactivation instantanée dans les véhicules équipés d'un système d'appel d'urgence ne peut être imposée, dès l'instant que ce système aura été acquis librement et en toute connaissance de cause par le propriétaire du véhicule, et que celui-ci se sera engagé à  informer les utilisateurs du véhicule ainsi équipé.

La présente délibération sera publiée au Journal officiel de la République française

 

Le Président, Alex Türk

 

Chargement en cours...