La Californie impose un nouveau test à la vie privée des voitures connectées
General Motors a accepté un accord de 12,75 millions de dollars avec les autorités californiennes au sujet de la collecte et de la vente de données de conducteurs, marquant l’un des signaux les plus clairs à l’échelle des États indiquant que l’activité des voitures connectées devra faire face à des limites plus strictes lorsque le consentement et l’usage des données divergent. L’affaire porte sur des allégations selon lesquelles GM, via son programme OnStar, a vendu des informations personnelles et comportementales de centaines de milliers de Californiens à des courtiers en données sans connaissance ou autorisation suffisantes des clients.
L’accord, annoncé par le bureau du procureur général de Californie Rob Bonta, va au-delà d’une simple pénalité financière. GM a aussi accepté de cesser pendant cinq ans la vente de données de conduite aux agences d’évaluation des consommateurs, de supprimer les données de conducteurs conservées dans un délai de 180 jours sauf obtention du consentement des clients, et de demander à LexisNexis Risk Solutions et Verisk Analytics d’effacer les données qu’elles ont reçues. En pratique, cet ensemble de mesures fait de l’accord plus qu’une amende. Il s’agit d’un démantèlement imposé par les régulateurs d’une chaîne de partage de données qui, selon eux, n’aurait pas dû exister sous la forme alléguée.
Ce que la Californie dit s’être passé
Selon la description de l’accord citée dans le texte source fourni, GM a vendu des noms, des coordonnées, des données de géolocalisation et des données de comportement de conduite recueillies via OnStar. La Californie affirme que l’entreprise a tiré environ 20 millions de dollars de ces ventes. Le problème sous-jacent ne tient pas seulement au fait que l’information circulait entre entreprises, mais aussi au fait que les consommateurs n’ont pas été correctement informés et n’ont pas consenti à un usage secondaire susceptible de les affecter de manière significative.
Le contexte politique et réglementaire importe ici. Des reportages de 2024 avaient déjà attiré l’attention nationale sur les constructeurs automobiles partageant des informations sur le comportement de conduite avec des écosystèmes liés à l’assurance, nourrissant la crainte que les données télématiques alimentent des décisions de tarification ou de scoring des risques. En Californie, le bureau de Bonta a indiqué que les données en question n’avaient probablement pas augmenté les primes d’assurance, car la loi de l’État interdit aux assureurs d’utiliser les données de conduite pour fixer les tarifs. Malgré cela, la position de l’État est que la vente alléguée elle-même violait les attentes en matière de vie privée et les règles californiennes de minimisation des données.
Cette distinction est importante. Une violation de la vie privée n’a pas besoin de produire une augmentation mesurable des primes pour devenir un problème d’application majeur. Les régulateurs se concentrent de plus en plus sur la question de savoir si les entreprises ont collecté plus que nécessaire, conservé les données plus longtemps que requis ou les ont réutilisées d’une manière que les consommateurs n’auraient pas raisonnablement attendue. L’accord avec GM s’inscrit pleinement dans ce cadre.
Pourquoi cette affaire dépasse un seul constructeur
Le problème plus large est que les véhicules modernes sont devenus des plateformes de capteurs sur roues. Les services connectés peuvent capturer la localisation, les schémas de déplacement, le comportement de conduite et d’autres données de télémétrie qui créent de la valeur pour la navigation, la sécurité, la maintenance et les interventions d’urgence. Mais ces mêmes systèmes peuvent aussi générer un flux de données consommateurs monétisable. Une fois que ces informations alimentent des courtiers en données, des sociétés d’analyse ou des intermédiaires proches du crédit, la frontière entre fourniture de service et surveillance devient beaucoup plus difficile à défendre.
L’action de la Californie suggère que les régulateurs ne se contentent plus de divulgations vagues, de cases d’acceptation dissimulées ou d’autorisations larges liées à des écosystèmes logiciels automobiles complexes. Si une entreprise dit une chose à ses clients à propos du traitement des données et en fait une autre, cet écart peut devenir le cœur même de la responsabilité. La déclaration de Bonta dans le matériau source soulignait précisément ce point, en affirmant que GM avait assuré aux conducteurs qu’elle ne vendrait pas les données tout en le faisant quand même.
Pour l’industrie automobile, cela crée un défi concret de conformité. Les constructeurs s’appuient de plus en plus sur des modèles économiques définis par logiciel et des services numériques récurrents. Ces stratégies supposent souvent que les données générées par le véhicule sont un actif stratégique. Mais si les régulateurs exigent des limites de consentement plus strictes et des durées de conservation plus courtes, l’économie de ces données peut évoluer rapidement. Un ensemble de données vaut moins lorsque les consommateurs peuvent le refuser, lorsque les entreprises doivent le supprimer rapidement et lorsque le partage en aval devient juridiquement risqué.
Le véritable message de l’accord
L’interdiction de cinq ans sur les ventes aux agences d’évaluation des consommateurs pourrait s’avérer particulièrement influente. Elle vise une catégorie sensible d’usage en aval, où les données peuvent influencer des décisions qui ressemblent moins à de la publicité qu’à un accès, une tarification ou une classification des risques. Même si la Californie a indiqué que ses règles d’assurance empêchaient probablement une hausse des tarifs liée à ce flux de données précis, l’État a tout de même jugé l’arrangement suffisamment grave pour justifier des remèdes structurels.
Ce remède arrive aussi après que GM a déjà conclu un accord avec la Federal Trade Commission au sujet des ventes de données, avec une ordonnance finale interdisant à GM et OnStar de vendre certaines données à des agences d’évaluation des consommateurs. Pris ensemble, les actions fédérales et californiennes montrent une convergence plutôt qu’une duplication. Washington et Sacramento ne se contentent pas de punir des comportements passés; ils resserrent le modèle d’exploitation acceptable pour les activités de données des voitures connectées.
Les consommateurs ne doivent pas supposer qu’il s’agit uniquement d’un problème GM. L’industrie des véhicules connectés a passé des années à élargir ce que les voitures peuvent observer, stocker et transmettre. Cette tendance est peu susceptible de s’inverser. Ce qui peut changer, en revanche, c’est la tolérance réglementaire à l’égard du courtage opaque des données qui s’ajoute à ces capacités. Les entreprises devront rendre le consentement explicite, spécifique à une finalité et révocable, tout en prouvant que les règles de conservation et de partage correspondent à ce qui a été dit aux conducteurs.
La suite
Pour GM, la voie immédiate est opérationnelle: respecter les délais de suppression, arrêter les ventes restreintes et reconstruire la confiance dans la manière dont ses services connectés traitent les données personnelles. Pour les concurrents, la leçon est d’auditer les flux de données dès maintenant, avant que les régulateurs des États ne le fassent à leur place. L’accord montre que même lorsque le préjudice financier direct est contesté ou limité, le simple décalage entre collecte, divulgation et revente peut déclencher des sanctions importantes.
Pour les décideurs publics, la Californie a ajouté un nouveau jalon à la gouvernance en évolution des produits numériques qui circulent dans le monde physique. Les voitures ne sont plus seulement des moyens de transport. Ce sont des plateformes de données avec des capteurs, des abonnements et des relations avec des tiers. Cette réalité accroît les enjeux de la loi sur la vie privée, car les informations en jeu sont intimes et comportementales, souvent liées aux routines quotidiennes, aux lieux et à des schémas difficiles à dissimuler.
L’accord avec GM ne règle pas toutes les questions sur la vie privée des voitures connectées, mais il clarifie une chose: les régulateurs attendent de plus en plus des constructeurs qu’ils traitent la télémétrie comme des données sensibles de consommateurs, et non comme un sous-produit peu encadré. Ce changement pourrait redessiner la manière dont les activités logicielles automobiles sont conçues, commercialisées et monétisées au cours des prochaines années.
Cet article s’appuie sur un reportage de TechCrunch. Lire l’article original.
Originally published on techcrunch.com



