L’omniprésence croissante des ordinateurs intégrés aux tableaux de bord des voitures d’aujourd’hui a considérablement augmenté le facteur de commodité permettant de rester connecté pendant la conduite. Néanmoins, cela pose également de sérieux problèmes de confidentialité. Ces systèmes informatiques modernes intégrés au tableau de bord, dotés d’écrans tactiles, de reconnaissance vocale, de caméras connectées pour le conducteur et la route, ainsi que de capacités de synthèse vocale, rassemblent une multitude de données sur les conducteurs et leur comportement. Le fait que vous soyez de plus en plus encouragé à transmettre les données de votre téléphone ne fait qu’amplifier la gravité de ces préoccupations. Votre voiture peut tout stocker, des données de localisation aux listes de contacts en passant par les détails de paiement.
La base croissante d’utilisateurs de voitures dotées de fonctionnalités « intelligentes » soulève des questions sur le traitement des données collectées par ces véhicules, sur qui y a accès et à qui ils pourraient les vendre. Jusqu’à présent, il semble que les constructeurs automobiles n’aient pas trouvé le bon équilibre entre commodité et meilleures pratiques en matière de confidentialité, des audits approfondis dénonçant les mauvaises politiques de confidentialité des constructeurs automobiles. Alors que les voitures deviennent de plus en plus connectées et potentiellement autonomes, la résolution de ces problèmes doit être une priorité majeure. Alors qu’un juge d’appel fédéral a statué qu’il s’agissait d’un procès s’opposant à la gestion par les constructeurs automobiles de la conservation des messages texte et des journaux d’appels des téléphones mobiles connectés, regardons exactement ce qui s’est passé dans cette affaire et d’autres problèmes de confidentialité auxquels vous devez faire attention.
Comment et pourquoi Honda a été poursuivie
En août 2021, Stacy Ritch et Gilbert Dornay ont poursuivi Honda devant la Cour supérieure du comté de Thurston à Washington dans le cadre d’une tentative de recours collectif qui a été rapidement transférée devant un tribunal fédéral. La plainte alléguait que depuis 2014, les voitures Honda copiaient tous les messages texte des téléphones connectés vers le stockage du système d’infodivertissement embarqué. Pour compliquer les choses, les équipements capables d’accéder à ces données n’étaient pas mis à la disposition du public. Honda a autorisé Berla, une entreprise de technologie médico-légale, à donner accès aux forces de l’ordre.
La plainte cite un article de presse NBC de décembre 2020 citant le fondateur et PDG de Berla, Ben LeMere, laissant entendre fortement dans une interview que les données sur ces ordinateurs intégrés au tableau de bord n’étaient pas traitées d’une manière qui mettait l’accent sur la confidentialité. « Les gens louent des voitures et font des choses avec elles sans même penser aux endroits où ils vont et à ce que la voiture enregistre », a-t-il déclaré sur un podcast produit par Cellebrite, une autre société de technologie médico-légale. « La plupart d’entre eux ne font rien de mal, mais c’est assez drôle de voir les prostituées et de demander des SMS et des réponses. »
Les plaignants ont affirmé qu’ils n’avaient jamais consenti à ce que Honda télécharge tous leurs messages texte. Ils ont allégué des violations de la Washington Privacy Act tout en sollicitant un jugement déclaratoire selon lequel Honda avait violé ladite loi et une injonction, interdisant à Honda de continuer à copier tous les messages texte d’un téléphone et ordonnant au constructeur automobile de proposer une mise à jour qui rendrait ses voitures supprimer les textes stockés.
Les plaignants ont perdu, ont fait appel et ont encore perdu
En mai 2022, le juge de district américain David G. Estudillo accordé Requête de Honda visant à rejeter la poursuite. « Rien n’affirme que les systèmes d’infodivertissement agissent à quelque titre que ce soit au nom de Honda après l’achat d’un véhicule par un utilisateur final, tel que la plaignante Stacy Ritch », a-t-il écrit. « C’est parce qu’il n’y a aucune affirmation que Honda – autre que le fait d’avoir conçu ou installé le système d’infodivertissement – examine, utilise, bénéficie ou même a la capacité de récupérer les données de téléphone portable collectées et stockées par un système d’infodivertissement. »
Il a ajouté que même si la loi sur la protection de la vie privée de l’État de Washington interdit « d’intercepter ou d’enregistrer toute communication privée transmise par téléphone », elle « exige également qu’il soit porté atteinte à l’entreprise, à la personne ou à la réputation d’une personne ». Étant donné que le système d’infodivertissement lui-même n’agit au nom de personne et « parce que les plaignants n’ont pas allégué un préjudice suffisant », Estudillo a jugé que les plaignants « n’avaient pas présenté de réclamation sur la base de laquelle une réparation pouvait être accordée » et donc « les demandes des plaignants de mesures déclaratoires et d’injonction ». ne peuvent donner lieu à une action. »
Les plaignants ont fait appel, mais le comité d’appel fédéral composé de deux juges refusé la requête et a confirmé la décision du tribunal de district, écrivant que, pour une réclamation en vertu de la Washington State Privacy Act, « un plaignant doit alléguer un préjudice à » son entreprise, sa personne ou sa réputation « pour que cela puisse donner lieu à une action. « Contrairement à l’argument des plaignants, une simple violation de la WPA ne suffit pas à satisfaire à l’exigence légale en matière de préjudice », ont-ils ajouté.
De toute façon, comment la politique de confidentialité de Honda répond-elle à tout cela ?
En septembre 2023, le blog Privacy Not Included de la Fondation Mozilla a publié ses conclusions sur les politiques de confidentialité de tous les grands constructeurs automobiles, et ce n’était pas joli. « C’est officiel : les voitures sont la pire catégorie de produits que nous ayons jamais examinée en termes de confidentialité », lit-on dans le titre de le billet de blog principalet les détails eux-mêmes n’ont fait qu’amplifier l’inquiétude, les 25 marques « gagnant » l’étiquette d’avertissement « *Privacy Not Included » de Mozilla.
Mais comment Honda s’est-elle comportée en particulier ? Par Mozilla, Honda affirme que vous avez adhéré à ses politiques de collecte de données en achetant ou en louant une voiture équipée d’un système d’infodivertissement intégré au tableau de bord et en utilisant ses services connectés. Ce qui est peut-être le plus curieux, c’est que les politiques de Honda prétendent qu’elle peut spéculer sur votre intelligence ou non. Il mentionne « les déductions tirées d’autres informations personnelles ou données relatives à vos préférences, intérêts, caractéristiques, tendances psychologiques, prédispositions, comportements, attitudes, intelligence, capacités et aptitudes ».
Honda inclut les mises en garde habituelles concernant la vente de vos données, mais indique également qu’elle peut utiliser vos données « (f) ou à toute autre fin pour laquelle nous obtenons votre consentement ; et dans la mesure permise par la loi », ce qui est terriblement vague. Le fait que Honda ait détecté quelques vulnérabilités en matière de sécurité n’aide pas, les chercheurs en sécurité étant affligé par l’absence chez Honda d’un processus ou d’un service formel auquel signaler ces failles de sécurité afin qu’elles puissent être traitées rapidement et en toute sécurité.
Mais que devons-nous savoir sur les autres constructeurs automobiles ?
Le rapport de Mozilla a mis en évidence toutes sortes de problèmes.
Tesla vous permet de vous désinscrire de la collecte de données, mais précise que cette collecte est requise pour « certaines fonctionnalités avancées telles que les mises à jour en direct, les services à distance et l’interactivité avec les applications mobiles et les fonctionnalités embarquées telles que la recherche de localisation, la radio Internet ». , les commandes vocales et les fonctionnalités du navigateur Web. Oh, et il ajoute en outre que le fait de se désinscrire pourrait entraîner la destruction de votre voiture.
La politique de confidentialité de Nissan, pour une raison quelconque, indique qu’elle peut collecter des informations sur « les croyances religieuses ou philosophiques, l’orientation sexuelle, l’activité sexuelle, la géolocalisation précise, les données de diagnostic de santé et les informations génétiques » si elles sont divulguées aux employés de Nissan. Kia, quant à elle, évoque des « données génétiques » ainsi que des « informations sur la vie sexuelle ou l’orientation sexuelle ».
Hyundai, cependant, a fait monter les enchères. La société sud-coréenne affirme qu’elle peut divulguer vos données « pour se conformer aux obligations légales ou réglementaires applicables, y compris dans le cadre d’une procédure judiciaire, en réponse à une assignation à comparaître, un mandat, une ordonnance du tribunal ou toute autre procédure judiciaire, ou pour coopérer avec enquêtes ou demandes légales, qu’elles soient formelles ou informelles, émanant des forces de l’ordre ou d’entités gouvernementales. Essentiellement, Hyundai dit qu’il partagera volontiers vos données avec les forces de l’ordre si cela leur est simplement demandé, même sans assignation à comparaître, sans mandat ou sans qu’un tribunal l’y oblige de toute autre manière.
Il n’y a pas de bons choix, alors soyez prudent avec vos données en les verrouillant autant que possible en utilisant les paramètres de sécurité de votre téléphone.
