Que ce soit pour proposer des systèmes d’aide à la conduite ou de nouvelles possibilités de divertissement, les voitures modernes traitent de plus en plus de données. La fondation Mozilla a donc souhaité s’intéresser aux précautions que prennent 25 constructeurs dans leur traitement dans le cadre de son projet de recherche Privacy Not Included, comme elle le fait pour d’autres produits. Et le bilan est pour le moins très mauvais. Mozilla en vient même à décrire les voitures comme “officiellement la pire catégorie de produits pour la protection de la vie privée”.
Dans le détail, tous les constructeurs étudiés collectent davantage de données personnelles qu’il ne leur est nécessaire pour assurer les fonctions de leurs véhicules. De plus, ils peuvent collecter des données à partir de sources très larges : “Ils peuvent collecter des informations personnelles à partir de la manière dont vous interagissez avec votre voiture, des services connectés que vous utilisez, de l’application de la voiture (qui fournit une passerelle vers les informations de votre téléphone), et peuvent collecter encore plus d’informations sur vous à partir de sources tierces telles que Sirius XM ou Google Maps”, s’alarme Mozilla.
Seuls Renault et Dacia permettent de demander la suppression complète de ses données personnelles, comme le requiert le droit à l’oubli du RGPD dans l’Union européenne. Les deux marques du groupe Renault se classent comme les moins mauvais élèves étudiés par Mozilla, mais elles sont loin d’avoir convaincu la fondation.
Les constructeurs ont une notion de consentement bien à eux
Le contrôle donné aux conducteurs sur leurs données personnelles est donc très faible. La notion de consentement existe certes chez les constructeurs automobiles, mais ils la voient chacun à leur manière. Pour Subaru, par exemple, le simple fait de prendre place à bord d’une de ses voitures équipées de services connectés en tant que conducteur ou passager, consent à la collecte et au traitement de données personnelles. Tesla, qui est selon le classement de Mozilla le constructeur dont la politique de traitement des données est la plus problématique, propose certes à ses clients de désactiver la collecte sur demande, mais précise que l’opération “peut entraîner une réduction des fonctionnalités de votre véhicule, des dommages graves ou une incapacité à fonctionner”. Rien que ça !
Cela peut faire d’autant plus peur que les conditions générales des 25 constructeurs analysés précisent pour 84 % d’entre eux que les données personnelles peuvent être partagées avec des tiers. 76 % s’autorisent même à les vendre et 56 % précisent les communiquer aux autorités sur simple demande.
Les surprises ne s’arrêtent pas là. Ainsi, en s’intéressant aux pratiques de sécurité mises en place pour protéger les données personnelles des utilisateurs, Mozilla est parvenu à déterminer qu’elles n’étaient chiffrées pour aucune des voitures étudiées. Et pourtant, les chercheurs de Mozilla ont passé au crible les conditions de confidentialité des 25 constructeurs sélectionnés pendant plus de 600 h, soit trois fois plus de temps par produit que d’habitude. Les voitures sont donc une catégorie de produits où les constructeurs font le moins d’effort de transparence.
Une pétition pour mettre un terme à ce “cauchemar sur roues”
Face à ce constat, la fondation Mozilla a lancé une pétition pour demander aux constructeurs automobiles d’arrêter de collecter, partager et vendre nos données personnelles.