Par exemple, des données personnelles telles que les lectures d’accélération et de freinage des conducteurs, ainsi que leurs déplacements, ont été vendues à une agence de crédit appelée Verisk. Cette dernière a compilé ces informations dans des rapports d’historique de comportement de conduite, qui ont ensuite été vendus à de grandes compagnies d’assurance automobile. Verisk a calculé un score de conduite pour chaque automobiliste et a proposé des suggestions pour une conduite plus sûre, basées sur ces données récoltées. Pendant ce temps, les détails des conducteurs étaient échangés en arrière-plan.
Les sénateurs ont également affirmé que les constructeurs automobiles utilisaient des « schémas sombres » pour dissimuler leurs pratiques de partage de données.
Par exemple, Honda n’a mentionné son accord de partage de données avec Verisk que dans un long document juridique présenté aux conducteurs lorsqu’ils ont essayé de rejoindre un programme facultatif de rétroaction des conducteurs dans l’application téléphonique Honda. Les sénateurs ont écrit :
« Sur l'écran d'inscription, Honda a demandé aux consommateurs de consentir à ce que l'entreprise les suive afin de déterminer leur score de conduite et leur éligibilité à des réductions d'assurance. Les utilisateurs qui donnaient leur accord étaient ensuite invités à accepter les longues conditions juridiques de la société, dans lesquelles Honda déclarait que Verisk recevrait les données du consommateur. Cependant, Honda a enterré les informations relatives à sa relation commerciale avec Verisk, qui n'apparaissaient pas sur la première page et n'étaient donc pas susceptibles d'être vues par de nombreux consommateurs ».
General Motors et Hyundai, quant à eux, auraient omis de mentionner la vente de données à Verisk.
Le recours aux « schémas sombres »
Si les propriétaires de voitures GM souhaitaient recevoir des notifications sur des sujets tels que les tentatives d'effraction et l'état des composants du véhicule, ils devaient s'inscrire au programme Smart Driver du constructeur, ce qui leur permettait d'accepter discrètement que leurs informations soient vendues.
« Les longues informations présentées par GM avant l'inscription n'indiquaient pas aux consommateurs que, dans le cadre de l'inscription au programme Smart Driver, leurs données de conduite seraient partagées avec des courtiers en données et revendues à des compagnies d'assurance », affirment les sénateurs, ajoutant que GM « a divulgué les données de localisation des clients à deux autres sociétés, qu'elle a refusé de nommer ».
Hyundai a apparemment inscrit ses conducteurs à un programme similaire, Drive Score, sans même leur demander s'ils avaient activé la connexion internet sur le véhicule. C'est ce qu'ont déclaré les sénateurs :
« Hyundai a demandé aux conducteurs de cliquer sur un formulaire de consentement pour activer la connexion internet pour une nouvelle voiture, mais l'entreprise n'a pas révélé qu'elle partagerait également les données des consommateurs avec Verisk s'ils étaient d'accord. Une fois inscrits, les conducteurs pouvaient se désinscrire du programme via le site web ou l'application de l'entreprise ».
Bien que Honda et Hyundai aient affirmé que les conducteurs qui participaient à leurs programmes de collecte de données pouvaient bénéficier d'une assurance moins chère, ces mêmes données pouvaient entraîner une augmentation des primes si leurs informations ne convenaient pas aux actuaires chargés d'établir les tarifs, affirment les sénateurs.
« Les responsables de Verisk ont confirmé au bureau du sénateur Wyden que les contrats de l'entreprise avec les constructeurs automobiles et les assureurs n'exigeaient pas que les données télématiques des conducteurs ne soient utilisées que pour offrir des réductions », indique la lettre des deux sénateurs à la FTC.
« Le bureau du sénateur Wyden s'est entretenu avec un expert national d'une association professionnelle du secteur de l'assurance, qui a confirmé que certaines compagnies d'assurance utilisent effectivement les données sur les conducteurs provenant de programmes télématiques pour augmenter les primes par rapport au taux que le consommateur aurait payé sans les données télématiques ».
Avant que Verisk ne ferme son programme de notation susmentionné en avril, à la suite d'un article du New York Times, elle a apparemment acheté les données de 97 000 conducteurs de Honda pour 25 920 dollars et de 1,7 million de conducteurs de Hyundai pour un peu plus d'un million de dollars. Cela représente un tarif de 26 cents par voiture Honda et de 61 cents par voiture Hyundai. C'est plutôt bon marché si l'on considère que l'assurance automobile peut coûter plusieurs centaines de dollars par mois.
« Les entreprises ne devraient pas vendre les données des Américains sans leur consentement, un point c'est tout », écrivent les sénateurs. « Mais il est particulièrement insultant pour les constructeurs automobiles qui vendent des voitures pour des dizaines de milliers de dollars de tirer quelques centimes de profit supplémentaires avec les données privées des consommateurs ».
Les voitures connectées, un danger pour la vie privée selon une étude de Mozilla sur 25 marques de voitures
En septembre, Mozilla a publié les résultats d'une étude qu'elle a faite sur 25 marques de voitures. Le constat était sans appel : aucune d’entre elles ne respectait pleinement ses normes en matière de confidentialité et qu’aucune autre catégorie de produits n’avait jamais reçu un aussi mauvais avis, y compris les fabricants de jouets sexuels ou d’applications de santé mentale.
Selon Mozilla, les voitures peuvent collecter au moins certaines de ces informations sur les conducteurs et les passagers à l'aide de capteurs, de microphones, de caméras, de téléphones et d'autres appareils que les gens connectent à leurs voitures connectées au réseau. Et ils collectent encore plus d’informations auprès des applications automobiles – telles que Sirius XM ou Google Maps – ainsi que des concessionnaires et de la télématique des véhicules.
Certaines marques automobiles peuvent alors partager ou vendre ces informations à des tiers. Mozilla a découvert que 21 des 25 constructeurs automobiles examinés déclarent pouvoir partager des informations sur leurs clients avec des fournisseurs de services, des courtiers en données, etc., et 19 sur 25 déclarent pouvoir vendre des données personnelles.
Et certains, comme Nissan, peuvent également utiliser ces données privées pour développer des profils de clients décrivant « les préférences, les caractéristiques, les tendances psychologiques, les prédispositions, le comportement, les attitudes, l'intelligence, les capacités et les aptitudes » des conducteurs. Oui, vous avez bien lu. Selon les chercheurs de Mozilla en matière de protection de la vie privée, Nissan affirme pouvoir déduire votre intelligence, puis vendre cette évaluation à des tiers.
Les autres marques ne s’en sortent pas beaucoup mieux. Volkswagen, par exemple, collecte vos comportements de conduite tels que votre ceinture de sécurité et vos habitudes de freinage et les associe à des détails tels que l'âge et le sexe pour une publicité ciblée. La politique de confidentialité de Kia se réserve le droit de surveiller votre « vie sexuelle » et Mercedes-Benz expédie des voitures avec TikTok préinstallé sur le système d’infodivertissement, une application qui a son propre lot de problèmes de confidentialité.
La collaboration avec la police
Pour ne rien arranger, les constructeurs automobiles sont prêts à communiquer à la police les données de localisation de votre voiture sans exiger une décision de justice.
En fait, les véhicules sont aujourd'hui bourrés d'électroniques et intègrent des modules de télémétrie. Ces dernières permettent de collecter et transmettre sans cesse aux serveurs des constructeurs des données sur les habitudes au volant du conducteur, offrant une visibilité en temps réel sur divers paramètres d'un véhicule ou d'un équipement. Selon les constructeurs, la télémétrie aide à détecter les comportements de conduite dangereux, ce qui permet une intervention rapide et une formation ciblée pour les conducteurs. Les données seraient stockées de façon à prévenir les violations et garantir la confidentialité.
Mais de récents rapports indiquent que la réalité est tout autre. Ils révèlent notamment plusieurs entorses à la vie privée et à la confidentialité des clients, car leurs données sont partagées non seulement avec les compagnies d'assurance mais aussi avec la police. Tout ceci sans que les conducteurs en soient informés. Au moins huit constructeurs auraient admis à des sénateurs américains qu'ils sont prêts à partager les données des clients avec la police, sans exiger qu'elle présente une ordonnance. Les huit constructeurs concernés seraient Toyota, Subaru, Mazda, Nissan, Kia, BMW, Mercedes-Benz et Volkswagen.
Cette pratique rompt entièrement avec des engagements pris par ces constructeurs dans un passé pas si lointain. De nombreux constructeurs ont signé en 2014 les principes de protection de la vie privée des consommateurs de l'Alliance for Automotive Innovation. Ils se sont engagés à ne pas transmettre à des tiers des données de localisation, des données biométriques ou des données relatives au comportement de conduite sans l'accord du conducteur, à quelques exceptions près. L'une d'entre elles exige que la police obtienne une décision de justice (un mandat) pour pouvoir obtenir des informations sur le conducteur.
Conclusion
La vente de données des conducteurs par les constructeurs automobiles est un sujet complexe qui nécessite une réflexion approfondie. Il est essentiel de trouver un équilibre entre la monétisation des données et la protection de la vie privée des utilisateurs. En fin de compte, la confiance des conducteurs dans ces entreprises dépendra de leur engagement envers la confidentialité, entre autres.
Source : lettre des sénateurs
Et vous ?
La confidentialité des données des conducteurs : Pensez-vous que les constructeurs automobiles devraient obtenir un consentement explicite avant de vendre les données des conducteurs à des tiers ? Pourquoi ou pourquoi pas ?
L’éthique du partage de données : Quelles sont vos opinions sur les pratiques commerciales des constructeurs automobiles en matière de partage de données ? Est-ce acceptable qu’ils vendent ces informations sans en informer clairement les conducteurs ?
L’impact sur l’assurance automobile : Comment pensez-vous que la vente de données de conduite puisse affecter les primes d’assurance automobile ? Devrions-nous revoir la manière dont les compagnies d’assurance évaluent les conducteurs ?
Alternatives à la vente de données : Existe-t-il d’autres moyens pour les constructeurs automobiles de monétiser les données des conducteurs sans compromettre leur vie privée ? Quelles solutions pourraient être envisagées ?