+33 1 75 44 68 90 contact@spinpart.fr

Par Lucile Honoré et Laëtitia Pouzeratte

Le respect du règlement européen sur la protection des données personnelles (RGPD) (1) solidifie la confiance digitale des clients et renforce la réputation du constructeur automobile

Le positionnement customercentric (2) des constructeurs automobiles a permis d’obtenir un large panel de données clients allant de l’identité aux données issues des véhicules connectés. L’exploitation de ces informations permet à la filière automobile de proposer des offres personnalisées aux clients (assurances, produits dérivés, etc.). Or l’enjeu du RGPD est de réguler l’usage commercial des données personnelles.

L’entrée en vigueur du RGPD impose de nouvelles règles de sécurisation et d’utilisation des données, à compter du 25 mai 2018 :

 

La protection des données de clients nouvellement sensibles aux cyber-risques

64% (3) des clients apprenant que la sécurité de leurs données a été compromise n’accordent plus leur confiance à l’entreprise à qui ils les ont confiées. Le RGPD porte au plus haut niveau la sécurisation des données collectées, avec des mesures réduisant l’exposition du réseau aux cyber-menaces et limitant les risques de violation de la confidentialité.

Bon élève en matière de transparence sur les failles de sécurité numérique (4), Renault Group a annoncé en premier (5) la violation de ses systèmes informatiques en 2017, par une vague de cyberattaques d’ampleur mondiale. Le groupe a rapidement contré cette attaque grâce à des protocoles de sécurité définis et établis en amont. Le RGPD vise à étendre cette démarche pour assurer la réactivité des entreprises en cas de brèche de sécurité.

 

La complexité des données dites personnelles dans le secteur automobile

De nombreuses informations, bien qu’apparemment propres au véhicule, sont en fait considérées comme des données personnelles (6). Cela concerne notamment le numéro de VIN (7) puisqu’il permet d’identifier le propriétaire du véhicule – dès lors qu’il est rattaché à un client. Pour autant, le VIN n’est pas la seule donnée permettant d’identifier le propriétaire, la plaque d’immatriculation a la même fonction puisqu’elle permet d’établir l’appartenance d’un véhicule à un usager. Ces deux types de données véhicule servent à définir l’identité minimale d’un conducteur. Or, aujourd’hui les dispositifs de connectivité embarquée sont des sources d’information bien plus riches.

 

Les données issues des véhicules connectés : progrès ou intrusion dans la vie privée ?

A l’heure où la connectivité est un enjeu fort de développement industriel, les constructeurs automobiles exploitent de plus en plus le filon du véhicule connecté. D’ores et déjà, les acheteurs sont sensibles aux options proposées, tels que les systèmes de navigation, les fonctionnalités de sécurité, etc.

Ces données révèlent de nombreuses informations sur la vie privée des automobilistes. Ainsi la géolocalisation du véhicule permet de connaitre l’ensemble des lieux fréquentés par le conducteur. Peuvent en être déduits l’appartenance religieuse, les habitudes de consommation, ou encore la sexualité de l’usager du véhicule. Ces informations sont utilisées par les constructeurs afin d’affiner leur ciblage commercial et proposer « la bonne offre au bon client ». Malheureusement ces informations sont souvent collectées sans que le client ait eu conscience de les fournir ou sans qu’il y ait consenti, ce qui peut être perçu comme une intrusion dans la vie privée des automobilistes.

Aussi, afin d’assurer la protection des données personnelles des automobilistes, la Présidente de la CNIL a présenté en octobre 2017 un « Pack de conformité véhicule connecté (8) ». Cette boîte à outils à destination des constructeurs automobiles complète le règlement européen de mai 2018.

Ce pack rappelle notamment :

  • Les types de données personnelles appliquées au véhicule connecté,
  • La définition du traitement des données et les nouvelles dispositions s’y appliquant,
  • Le principe de détermination du responsable du traitement,
  • Les droits des usagers des véhicules connectés basés sur ce principe : les données provenant du véhicule et de son habitacle appartiennent à l’utilisateur

 

L’ensemble de la filière automobile impactée par le RGPD

Outre les constructeurs, c’est l’ensemble des professionnels du secteur automobile qui est touché par le règlement : concessionnaires, centres auto, éditeurs de DMS (9), équipementiers, etc. Ces entreprises devront être conformes au GDPR à partir de mai 2018. Le RGPD clarifie les responsabilités en matière d’échanges de flux et de traitements. Une jurisprudence du Conseil d’Etat admet la coresponsabilité des groupes et sièges sociaux (10) en matière de traitement des données de leurs filiales/succursales (11).

L’entrée en application du RGPD impacte également les sous-traitants et partenaires. Ils seront soumis à une large partie des obligations des responsables de traitement et à des obligations spécifiques en matière de sécurité et de confidentialité.

La première étape consiste à clarifier et/ou contractualiser la responsabilité impartie à chacun en matière de traitement des données. Les constructeurs automobiles devront également conseiller et accompagner leurs concessionnaires et sous-traitants dans leur démarche de mise en conformité (failles de sécurité, la destruction des données etc.).

 

 Au-delà de la conformité, le RGPD est un catalyseur d’amélioration des capacités digitales. En effet, l’obligation de recensement des données détenues et traitées par les entreprises offre l’opportunité de mieux comprendre le client final. L’analyse des données à des fins d’optimisation commerciale est l’enjeu clé des prochaines années pour le secteur automobile.

 

(1) Le RGPD ou en anglais le General Data Protection Regulation (GDPR) : https://www.cnil.fr/fr/reglement-europeen-protection-donnees

(2) Positionnement recentré sur l’expérience client

(3) http://www.globalsecuritymag.fr/De-nouvelles-oppornuties,20171030,74793.html

(4) http://www.leparisien.fr/high-tech/douze-pays-victimes-d-une-cyberattaque-massive-des-hopitaux-britanniques-touches-12-05-2017-6943779.php

(5)http://www.lemonde.fr/pixels/article/2017/05/13/renault-aussi-touche-le-g7-veut-une-action-concertee_5127220_4408996.html

(6) Le règlement européen définit la « donnée personnelle » comme une donnée permettant d’identifier directement ou indirectement par regroupement d’informations une personne physique.

(7) Vehicule identification Number – numéro de série du véhicule

(8) Image issue du site de la CNIL : https://www.cnil.fr/fr/en-route-vers-un-pack-de-conformite-consacre-aux-vehicules-connectes

(9) Base de données commerciales des concessionnaires

(10) http://www.cabinet-cilex.com/news/21/95/Les-Groupes-In-concreto-la-fin-d-une-fiction.html

(11) Arrêt Foncia – Décision du CE 12/04/2014 – reconnaissant la coresponsabilité de Foncia groupe sur le caractère excessif des commentaires enregistrés dans l’application Totalimmo par ses franchises & filiales