Réponse publiée le 25 mars 2025

Sur le territoire français, la Commission nationale de l'informatique et des libertés (CNIL) est l'autorité compétente pour contrôler le respect de la règlementation applicable en matière de protection des données. Les modes de transport (voitures, scooters, vélos, etc) et leurs utilisateurs génèrent une quantité croissante de données. Elles peuvent être produites directement par les équipements et systèmes du véhicule, mais également par les équipements, boîtiers ou appareils connectés embarqués par le conducteur et les passagers (smartphone, tablette, etc.). La possibilité d'une collecte à distance des données conduit à concevoir de nouveaux services, par exemple pour renforcer la sécurité des usagers, améliorer l'expérience du déplacement (info-divertissement, confort, maintenance, etc.) et optimiser l'organisation du déplacement. Dans le même temps, la connectivité de ces véhicules implique le recueil de données susceptibles de toucher à la vie privée de l'individu (déplacements, comportement au volant, etc.). Leur utilisation pose donc des questions structurantes en matière de protection des données personnelles et de respect des droits et libertés fondamentaux. La collecte et, le cas échéant, le partage des données personnelles générées par l'usage d'un véhicule ne peuvent se faire que dans le respect de la règlementation applicable en matière de protection des données à caractère personnel (le RGPD et la loi « informatique et libertés »). Le RGPD est applicable à des acteurs étrangers du fait de sa portée extraterritoriale : soit les traitements de données sont mis en œuvre dans le cadre des activités d'un établissement au sein de l'Union (i), soit l'entreprise propose des biens et services sur le territoire ou suit le comportement des personnes situées sur le territoire de l'Union (ii). Les grands principes posés par cette règlementation doivent permettre de renforcer le contrôle par les citoyens de l'utilisation qui peut être faite de leurs données. Le traitement de ces données doit être transparent vis-à-vis des personnes concernées : Elles doivent notamment être informées des divers objectifs pour lesquels leurs données sont collectées, des destinataires ou des catégories de destinataires auxquels les données sont transmises, de la durée pendant laquelle ces données seront possiblement conservées ou encore des droits qui leur sont octroyés par la règlementation (droit d'accéder aux données collectées et droit de s'opposer, dans certains cas, au traitement de leurs données, etc.). Le traitement doit reposer sur une base juridique/fondement juridique valide ; ainsi, dans certains cas, le consentement des personnes doit être collecté. Certaines données dites « sensibles » (les données relatives à la vie sexuelle, les données de santé, etc.) font l'objet d'un régime juridique plus protecteur. La CNIL a récemment lancé un plan d'action ayant pour objectif de faire évoluer les pratiques de l'ensemble du secteur et de favoriser une innovation respectueuse des droits et libertés fondamentaux : Dans un premier temps, la CNIL a lancé en 2023 la création d'un « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité qui réunit notamment les constructeurs, les équipementiers, les loueurs de véhicules ou encore certains opérateurs de services de mobilité. Ce lieu de concertation doit permettre à la CNIL de mettre à disposition des acteurs des outils pratiques et opérationnels pour que chacun ait une bonne compréhension de ses obligations (et ainsi faciliter leur mise en conformité).  La publication de ces outils sera suivie, dans un second temps, de la mise en œuvre d'une « réponse répressive » d'ampleur, proportionnée et dissuasive. À l'issue de contrôles, en fonction de la nature et de l'ampleur des manquements éventuellement constatés, la CNIL sera susceptible de prendre des mesures correctrices, notamment des sanctions pécuniaires. En tout état de cause, la CNIL dispose de pouvoirs de contrôle et de sanction, notamment dans le cadre de l'instruction de plaintes, étant rappelé que lorsqu'un constructeur a son siège européen dans un autre État de l'Union européenne, c'est la CNIL de cet État qui est compétente pour agir vis-à-vis de ce constructeur (principe de l'autorité cheffe de file instituée par le RGPD).