Les voitures connectées sont très pratiques pour faire remonter aux conducteurs et aux passagers une grande variété d'informations (état du véhicule, aide à la conduite, signalisation et indicateurs routiers, points d'intérêts, météo...) et de contenus (divertissement, jeux, musique, films...). Mais elles sont également un nid à problèmes en matière de confidentialité des données. « Alors que nous nous inquiétions que nos sonnettes et nos montres connectées puissent nous espionner, les constructeurs automobiles se sont discrètement lancés dans le commerce des données en transformant leurs véhicules en de puissantes machines à surveiller, espionner et collecter des informations sur ce que vous faites et où vous allez avec votre voiture », explique Mozilla.
Sur les 25 voitures passées au grill, aucun modèle ne répond aux enjeux de privacy déterminés par la fondation. L'ensemble des véhicules étudiés pêche en effet sur les critères d'utilisation des données et de la sécurité. Seuls Renault et Dacia sont épinglés sur ces deux seuls critères. De leur côté BMW, Subaru, Fiat, Jeep, Chrysler et Dodge sont aussi pointés du doigt en matière de contrôle des données, tandis que Volkswagen , Toyota, Lexus, Ford, Lincoln, Audi, Mercedes-Benz, Honda, Acura, Kia, Chevrolet, Buick, GMC, Cadillac, Hyundai et Nissan le sont en plus sur le suivi des enregistrements. Un seul constructeur échoue sur la totalité de ces critères ainsi que sur celui de méfiance en matière d'IA : Tesla. Selon Mozilla, il s'agit même du deuxième produit examiné à coché toutes les cases en matière de défaut protection de la vie privée juste derrière le chatbot IA Replika. « Sur les 25 marques automobiles que nous avons examinées, toutes sauf deux ont reçu notre alerte pour le contrôle des données, ce qui signifie que seules deux marques, Renault et Dacia (qui appartiennent à la même société mère), affirment que tous les conducteurs ont le droit de demander l'effacement de leurs données personnelles. Nous aimerions penser que cet écart est le fait d'une entreprise automobile qui prend position pour la protection de la vie privée des conducteurs. Ce n'est probablement pas une coïncidence si ces voitures ne sont disponibles qu'en Europe, qui est protégée par le règlement général sur la protection des données (RGPD). En d'autres termes, les constructeurs font souvent tout ce qu'ils peuvent légalement faire pour protéger vos données personnelles », précise Mozilla.
Croyances religieuses et préférences sexuelles partagées
Les moyens de collecte des données dans les voitures sont très nombreux (capteurs, micro, caméras, téléphones, logiciels de navigation...). Selon Mozilla, certaines marques automobiles peuvent ensuite partager ou vendre ces informations à des tiers. 21 des 25 constructeurs automobiles étudiés disent qu'ils peuvent partager des informations sur les clients avec des fournisseurs de services, des courtiers en données et autres, et 19 sur 25 qu'ils peuvent vendre des données personnelles. Plus préoccupant encore : plus de la moitié des constructeurs partagent également des informations sur les consommateurs avec le gouvernement ou les forces de l'ordre sur demande, que celle-ci soit ou non formelle.
Nissan va par exemple très loin en utilisant également ces données privées pour élaborer des profils de clients décrivant des préférences, caractéristiques, tendances psychologiques, prédispositions, comportements, attitudes, intelligence, capacités et aptitudes des conducteurs. Selon l'avis de confidentialité de Nissan USA, le constructeur automobile peut collecter et partager à des fins de marketing ciblé aussi bien des informations personnelles sensibles comme le numéro de permis de conduire, la race, les croyances religieuses ou philosophiques, l'orientation sexuelle, des données de santé et génétiques... « La politique de confidentialité de Nissan est l'une des plus étonnantes que je n'ai jamais lue », explique à The Register Jen Caltrider, directeur de la privacy chez Mozilla. « Ils n'hésitent pas à dire qu'ils peuvent collecter toutes ces informations ». Le constructeur japonais n'est pas seul dans cette exploitation et collecte à tout crin : « Kia mentionne le genre sexuel. General Motors et Ford ont tous deux mentionné la race et l'orientation sexuelle. Hyundai a déclaré qu'il pouvait partager des données avec le gouvernement et les forces de l'ordre sur la base de demandes formelles ou informelles », poursuit Jen Caltrider. « Les constructeurs peuvent collecter encore plus d'informations que les applications de santé et d'éducation sexuelle, et ce de bien des manières ».
Tesla bonnet d'âne
Lorsque les constructeurs automobiles affirment qu'ils ont votre consentement ou qu'ils ne feront pas quelque chose sans votre consentement, cela ne veut souvent pas dire ce que cela devrait vouloir dire indique Mozilla. C'est le cas par exemple lorsque Tesla déclare que l'utilisateur peut se désengager de la collecte de données, avec le risque de rendre le véhicule inopérant. « Si vous ne souhaitez plus que nous collections les données du véhicule ou toute autre donnée de votre véhicule Tesla, veuillez nous contacter pour désactiver la connectivité. Veuillez noter que certaines fonctions avancées telles que les mises à jour en direct, les services à distance et l'interactivité avec les applications mobiles et les fonctions embarquées telles que la recherche de parking, la radio Internet, les commandes vocales et la fonctionnalité du navigateur Web reposent sur cette connectivité. Si vous choisissez de ne pas collecter les données relatives à votre véhicule (à l'exception des préférences en matière de partage des données), nous ne serons pas en mesure de connaître ou de vous informer en temps réel des problèmes liés à votre véhicule. Votre véhicule pourrait alors être moins fonctionnel, gravement endommagé ou inutilisable », rappelle Tesla.
Dans le cadre de son étude, Mozilla indique avoir travaillé plus de 600 heures sur les pratiques de confidentialité des données des constructeurs. « Cela représente trois fois plus de temps par produit que ce que nous faisons habituellement. Malgré cela, nous nous sommes posés beaucoup de questions. Aucune des politiques de confidentialité ne promet une photographie complète de la manière dont vos données sont utilisées et partagées. Si trois chercheurs spécialisés dans la protection de la vie privée parviennent à peine à comprendre ce qui se passe avec les voitures, comment le citoyen moyen pressé par le temps peut-il avoir la moindre chance d'y voir clair », s'interroge Mozilla.
Paroles de constructeurs
« Nous examinons la situation en conséquence. La confidentialité des données est une considération essentielle, car nous cherchons sans cesse à mieux servir nos clients », a expliqué un porte-parole de Fiat-Chrysler à Mozilla. Interrogés par notre confrère, certains constructeurs ont apporté quelques propos - plus ou moins sibyllins - complémentaires : « Nous nous engageons à utiliser les données de manière responsable [...] Nous n'avons pas encore reçu ou examiné l'étude à laquelle vous faites référence et nous nous refusons donc à tout commentaire à ce sujet », leur a répondu un porte-parole de Mercedes-Benz.
Et un autre interlocuteur de BMW Amérique du Nord d'indiquer : « Dans un souci de transparence, BMW fournit à ses clients des avis complets sur la confidentialité des données concernant la collecte de leurs informations personnelles. Pour le contrôle individuel, BMW propose aux conducteurs de faire des choix précis concernant la collecte et le traitement de leurs informations personnelles ». Le constructeur précise par ailleurs les différents points sur la confidentialité des données comme le refus de la publicité comportementale. Tout comme son homologue Mercedes Benz, BMW veut prendre d'analyser les résultats de l'enquête de Mozilla pour se prononcer sur les autres aspects.
Commentaire