Les pratiques des constructeurs automobiles en matière de confidentialité des données « sont inacceptables », déclare le sénateur américain

Le sénateur américain Edward Markey (Démocrate du Mass.) est l’un des législateurs élus les plus engagés sur le plan technologique. Et comme de nombreux lecteurs d’Ars Technica technologiquement engagés, il n’aime pas ce qu’il voit en termes d’approche des constructeurs automobiles en matière de confidentialité des données. Vendredi, le sénateur Markey a écrit à 14 constructeurs automobiles pour leur poser diverses questions sur les politiques de confidentialité des données, les exhortant à faire mieux.

Comme Ars l’a rapporté en septembre, la Fondation Mozilla a publié un rapport cinglant sur le thème de la confidentialité des données et des constructeurs automobiles. Les problèmes sont répandus : la plupart des constructeurs automobiles collectent trop de données personnelles et sont trop désireux de les vendre ou de les partager avec des tiers, a constaté la fondation.

Markey a souligné le rapport de la Fondation Mozilla dans ses lettres envoyées à BMW, Ford, General Motors, Honda, Hyundai, Kia, Mazda, Mercedes-Benz, Nissan, Stellantis, Subaru, Tesla, Toyota et Volkswagen. Le sénateur s’inquiète des grandes quantités de données que les voitures modernes peuvent collecter, y compris le potentiel inquiétant d’utiliser des données biométriques (comme la fréquence des clignements des yeux et de la respiration d’un conducteur, ainsi que son pouls) pour déduire son humeur ou sa santé mentale.

Le sénateur Markey s’inquiète également de l’utilisation du Bluetooth par les constructeurs automobiles, qui, selon lui, a étendu « leur surveillance pour inclure des informations qui n’ont rien à voir avec le fonctionnement d’un véhicule, telles que les données des smartphones connectés sans fil au véhicule ».

« Ces pratiques sont inacceptables », a écrit Markey. « Bien que certaines pratiques de collecte et de partage de données puissent présenter de réels avantages, les consommateurs ne devraient pas être soumis à un appareil de collecte de données massif, dont les divulgations seraient cachées dans des politiques de confidentialité de plusieurs pages remplies de jargon juridique. Les voitures ne devraient pas – et ne peuvent pas – devenir un autre lieu de rencontre. où la vie privée passe au second plan.

Les 14 constructeurs automobiles ont jusqu’au 21 décembre pour répondre aux questions suivantes :

• Votre entreprise collecte-t-elle des données utilisateur sur ses véhicules, y compris, mais sans s’y limiter, les actions, comportements ou informations personnelles de tout propriétaire ou utilisateur ?
  • Si tel est le cas, veuillez décrire comment votre entreprise utilise les données sur les propriétaires et les utilisateurs collectées sur ses véhicules. Veuillez faire la distinction entre les données collectées auprès des utilisateurs de vos véhicules et les données collectées auprès de ceux qui s’inscrivent à des services supplémentaires.
  • Veuillez identifier chaque source de collecte de données dans vos nouveaux modèles de véhicules, y compris chaque type de capteur, interface ou point de collecte auprès de l’individu et le but de cette collecte de données.
  • Votre entreprise collecte-t-elle plus d’informations que ce qui est nécessaire pour faire fonctionner le véhicule et les services auxquels l’individu consent ?
  • Votre entreprise collecte-t-elle des informations auprès des passagers ou des personnes extérieures au véhicule ? Si oui, quelles informations et à quelles fins ?
  • Votre entreprise vend-elle, transfère-t-elle, partage-t-elle ou tire-t-elle d’une autre manière un avantage commercial des données collectées sur ses véhicules à des tiers ? Si oui, combien les tiers ont-ils payé votre entreprise en 2022 pour ces données ?
  • Une fois que votre entreprise collecte ces données utilisateur, effectue-t-elle des procédures de catégorisation ou de normalisation pour regrouper les données et les rendre facilement accessibles pour une utilisation par des tiers ?
  • Votre entreprise utilise-t-elle ces données utilisateur, ou des données sur l’utilisateur acquises à partir d’autres sources, pour créer des profils utilisateur de toute sorte ?
  • Comment votre entreprise stocke-t-elle et transmet-elle différents types de données collectées sur le véhicule ? Les véhicules de votre entreprise incluent-ils une connexion cellulaire ou des capacités Wi-Fi pour transmettre des données depuis le véhicule ?
• Votre entreprise informe-t-elle les propriétaires ou les utilisateurs de véhicules de ses pratiques en matière de données ?
• Votre entreprise offre-t-elle aux propriétaires ou aux utilisateurs la possibilité d’exercer leur consentement concernant la collecte de données dans ses véhicules ?
  • Si tel est le cas, veuillez décrire le processus par lequel un utilisateur peut exercer son consentement concernant une telle collecte de données. Si non, pourquoi pas ?
  • Si les utilisateurs ont la possibilité d’exercer leur consentement aux services de votre entreprise, quel pourcentage d’utilisateurs le font ?
  • Les utilisateurs perdent-ils une fonctionnalité du véhicule en se désinscrivant ou en refusant de participer à la collecte de données ? Si tel est le cas, l’utilisateur perd-il l’accès uniquement aux fonctionnalités qui nécessitent strictement une telle collecte de données, ou votre entreprise désactive-t-elle les fonctionnalités qui pourraient autrement fonctionner sans cette collecte de données ?
• Tous les utilisateurs, quel que soit leur lieu de résidence, peuvent-ils demander la suppression de leurs données ? Si tel est le cas, veuillez décrire le processus par lequel un utilisateur peut supprimer ses données. Si non, pourquoi pas ?
• Votre entreprise prend-elle des mesures pour anonymiser les données des utilisateurs lorsqu’elles sont utilisées à ses propres fins, partagées avec des prestataires de services ou partagées avec des tiers non prestataires de services ? Si tel est le cas, veuillez décrire le processus de votre entreprise pour anonymiser les données des utilisateurs, y compris toute restriction contractuelle en matière de réidentification imposée par votre entreprise.
• Votre entreprise a-t-elle des normes de confidentialité ou des restrictions contractuelles pour les logiciels tiers qu’elle intègre dans ses véhicules, tels que les applications d’infodivertissement ou les systèmes d’exploitation ? Si oui, veuillez les fournir. Si non, pourquoi pas ?
• Veuillez décrire les pratiques de sécurité de votre entreprise, les procédures de minimisation des données et les normes en matière de stockage des données utilisateur.
  • Votre entreprise a-t-elle subi une fuite, une violation ou un piratage au cours des dix dernières années au cours duquel les données des utilisateurs ont été compromises ?
  • Si tel est le cas, veuillez détailler le ou les événements, y compris la nature du système de votre entreprise qui a été exploité, le type et le volume de données affectées, et si et comment votre entreprise a informé ses utilisateurs concernés.
  • Toutes les données personnelles stockées sur les véhicules de votre entreprise sont-elles cryptées ? Dans la négative, quelles données personnelles restent ouvertes et non protégées ? Quelles mesures les consommateurs peuvent-ils prendre pour limiter ce stockage ouvert de leurs informations personnelles sur leurs voitures ?
• Votre entreprise a-t-elle déjà fourni aux forces de l’ordre des informations personnelles collectées par un véhicule ?
  • Si tel est le cas, veuillez identifier le nombre et les types de demandes soumises par les organismes chargés de l’application de la loi, ainsi que le nombre de fois où votre entreprise s’est conformée à ces demandes.
  • Votre entreprise fournit-elle ces informations uniquement en réponse à une assignation à comparaître, un mandat ou une ordonnance du tribunal ? Si non, pourquoi pas ?
• Votre entreprise informe-t-elle le propriétaire du véhicule lorsqu’elle se conforme à une demande ?