Peu de lecteurs d’Ars auront été surpris par l’actualité de la semaine dernière concernant les voitures connectées de General Motors. Comme le rapporte le New York Times, certains propriétaires de véhicules fabriqués par General Motors ont du mal à obtenir une assurance automobile. La raison? Ils ont involontairement accepté de partager leurs données de conduite avec un tiers. Aujourd’hui, au moins un conducteur porte plainte. Si davantage de personnes emboîtent le pas, cela pourrait être l’impulsion dont l’industrie a besoin pour faire mieux.
Le cœur du problème réside dans l’un des services de voiture connectée OnStar de GM, appelé Smart Driver. Nous l’avons testé dans le passé : il surveille des éléments tels que la vitesse à laquelle vous conduisez, la force avec laquelle vous accélérez et freinez, la fréquence à laquelle vous conduisez la nuit et votre économie de carburant, puis utilise ces données pour générer un score numérique de 0 à 100, avec un chiffre plus élevé indiquant que vous êtes un conducteur plus prudent.
Ce type de services peut être utile : la plupart des gens pensent qu’ils sont d’excellents conducteurs jusqu’à ce qu’ils commencent à recevoir des commentaires indépendants. Et les données collectées par Smart Driver peuvent réellement vous aider à conduire de manière plus économique et avec moins de risques. Mais comme je l’ai noté à l’époque, j’étais heureux que mes tarifs d’assurance ne soient pas menacés par le partage de données avec un assureur.
Cependant, enfouie dans l’avis de confidentialité d’OnStar se trouve la révélation selon laquelle GM peut et partagera les informations des utilisateurs avec des tiers, y compris des « fournisseurs d’assurance basés sur l’utilisation ».
Je suis désolé, j’ai accepté quoi ?
En fait, cela ne semble pas vraiment être le cas ici. GM partage ces données de conducteur avec LexisNexis Risk Solutions, une société d’analyse de données, qui, à son tour, partage les données avec les assureurs.
Il est facile de sympathiser avec quelqu’un qui a découvert tout ce qui s’est passé à son insu. C’est exactement ce que prétend Romeo Chicco, qui poursuit actuellement GM et LexisNexis. « Ce que personne ne peut me dire, c’est comment je me suis inscrit. Vous pouvez me dire combien de fois j’ai accéléré fort le 30 janvier entre 6 heures et 8 heures du matin, mais vous ne pouvez pas me dire comment je me suis inscrit à cela », a-t-il déclaré. a déclaré au New York Times.
« Le défi fondamental en matière de consentement éclairé est que les relations commerciales finissent par être beaucoup plus fluides qu’un accord au clic pourrait l’être », a expliqué Tim Mackey, responsable de la stratégie de risque de la chaîne d’approvisionnement logicielle chez Synopsys Software Integrity Group.
« Mais lorsqu’il s’agit de permettre à un humain normal de déterminer s’il a accepté ou non la collecte ou le partage de données, comme le souligne l’article du New York Times, à propos de ce que Mozilla a souligné, fondamentalement, il est très difficile de savoir si une divulgation ne dépasse pas 2 000 mots… d’un texte lourd et dense », m’a dit Mackey.
L’Europe a mis en œuvre son règlement général sur la protection des données (RGPD) en 2018, promulguant des protections strictes pour les données personnelles et des restrictions sur la manière dont elles peuvent être partagées avec des tiers.
La Californie et le Massachusetts ont également adopté des lois sur la confidentialité des données. En 2023, la California Privacy Protection Agency a annoncé qu’elle étudiait les pratiques de confidentialité des données des constructeurs de véhicules connectés. Et pour cause : moins d’un mois après cette annonce, la Fondation Mozilla a publié un rapport cinglant affirmant que « les voitures sont la pire catégorie de produits que nous ayons jamais examinée en termes de confidentialité ».
« Mais il s’agit fondamentalement d’un certain niveau de consentement, pas nécessairement d’une sensibilisation continue », a déclaré Mackey. En effet, pratiquement tous les services de voiture connectée utilisent une approbation unique, généralement un contrat de licence d’utilisateur final présenté d’une manière difficile à lire et à comprendre, généralement au moment de l’achat.
Et cela suppose que la personne qui donne son consentement a réellement le droit légal de le faire. « Dans cet article du New York Times, certaines personnes pensaient que le vendeur de leur nouveau véhicule avait peut-être passé par l’accord de clic, peut-être pendant tout le processus de démonstration de toutes les caractéristiques de la nouvelle voiture », » fit remarquer Mackey. « La capacité de revenir en arrière et de voir ce qui a été convenu est relativement difficile dans les véhicules », a-t-il poursuivi.
« Il n’y a aucun endroit évident où vous pouvez aller et dire : « J’ai accepté X, et X implique le partage de ce type d’informations avec ces parties à cette fin. » Et même si je crois qu’un scénario de type RGPD serait bénéfique Honnêtement, je ne sais pas dans quelle mesure ce comportement se produit également en Europe », a déclaré Mackey.