Les voitures connectées sont un « cauchemar » pour vos données personnelles, selon Mozilla
Les voitures modernes sont des passoires à données privées. La fondation Mozilla s'est intéressée à la manière dont 25 fabricants géraient les informations de leurs utilisateurs. Le résultat est loin d'être brillant étant donné que toutes les marques écopent d'un avertissement, une première sur les sept années d'analyses de produits divers réalisées par Mozilla.
La fondation a scruté la politique de gestion des données personnelles et les éventuelles failles de sécurité de grandes marques automobiles dans cinq pays : les États-Unis, l'Allemagne, le Japon, la France et la Corée du Sud. Ses chercheurs ont passé environ 600 heures à lire les documents contractuels, à télécharger les applications des constructeurs et à discuter avec les marques.
L'étude révèle que des marques connues comme BMW, Ford, Toyota, Tesla, Kia ou Subaru peuvent récolter tout un tas de données sur leurs utilisateurs, comme leur origine, leur expression faciale, leur poids, l'endroit où ils se rendent et même leur activité sexuelle (!). Tout cela est collecté à l'aide des différents capteurs et micros intégrés dans les véhicules, mais aussi via les caméras, les apps ou les appareils connectés. « Les marques automobiles peuvent utiliser une grande partie de ces données pour tirer des conclusions sur l'intelligence, les capacités, les caractéristiques, les préférences, etc. d'un conducteur », écrit Mozilla.
La fondation affirme que Nissan est le plus mauvais élève : non content de récolter tout un tas de données sensibles (dont un diagnostic de santé), le constructeur japonais indique pouvoir vendre les « préférences, caractéristiques, tendances psychologiques, prédispositions, comportements, attitudes, capacités et aptitudes » des consommateurs à des courtiers en données. Il peut aussi les partager avec les forces de l'ordre ou d'autres tiers. Mozilla pointe également du doigt Volkswagen, Toyota, Kia et Mercedes-Benz, ce dernier livrant certains véhicules avec une application TikTok préinstallée.
Tesla est la marque la plus mal classée de l'étude, se faisant recaler dans toutes les catégories de protection de la vie privée. Le fabricant ne brille pas par sa gestion des données : il a été révélé que des employés s'échangeaient des vidéos de clients entre 2019 et 2022, tandis que les Tesla Files ont récemment mis en évidence de graves manquements au niveau de la confidentialité.
Les « Tesla files » révèlent la gestion catastrophique des données privées par le constructeur
Des employés Tesla auraient partagé entre eux les vidéos enregistrées par les voitures
Aucun des constructeurs ne répond aux normes de sécurité minimales de Mozilla. Les chercheurs n'ont pas pu confirmer si les marques étudiées chiffraient toutes les informations personnelles qu'elles stockaient sur les véhicules. Seul Mercedes a daigné répondre aux questions de Mozilla à ce sujet. Renault est le fabricant le moins problématique du lot, ce que Mozilla met sur le dos du fait que le constructeur doit respecter le RGPD.
En théorie, la législation européenne devrait empêcher la récolte de certaines données sensibles citées ci-dessus comme l'origine ethnique ou les données liées à la santé. En pratique, c'est un peu plus compliqué que cela. « Le RGPD est une bonne chose sur le papier, mais il manque d'outils pour le faire appliquer », nous a confié le chercheur de Mozilla Misha Rykov.
Il nous a notamment incités à jeter un coup d'œil sur la politique de confidentialité de Toyota relative aux caméras de ses véhicules. Le constructeur explique qu'il peut collecter des données à partir de caméras embarquées, ce qui va dans l'intérêt de la sécurité publique étant donné que cela permet d'améliorer son système et donc d'éviter des accidents. Il affirme donc que cet aspect l'emporte sur la protection de la vie privée prévue par le RGPD.
Dans la mesure où nous traitons des catégories particulières de données à caractère personnel (qui relèvent de l'origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, de l'appartenance syndicale, des données génétiques […]), ce traitement est nécessaire à des fins de recherche scientifique et notre intérêt à traiter ces données l'emporte largement sur celui de la personne concernée dans le non-traitement des données du RGPD.
La fondation conclut que les voitures sont « la pire catégorie de produits » qu'elle a jamais examinée en matière de protection de la vie privée, derrière les apps de santé mentale et les fabricants de sex toys. Au total, 84 % des marques étudiées peuvent partager les données de leurs clients, et 76 % disent pouvoir les vendre. Le marché est énorme : en 2016, un rapport estimait que la monétisation des données automobiles pourrait représenter un secteur d'activité de 750 milliards de dollars d'ici 2030. Ne reste plus qu'à attendre une éventuelle Apple Car venant chambouler tout cet écosystème.
@Dr. Kifelkloun
Je ne suis pas sûr si elle ne fait pas de la détection de vigilance ?
@CorbeilleNews
La détection de vigilance est déjà en partie dans le fait de toucher le volant régulièrement.
Un capteur suffirait, plutôt qu’une caméra.
@DG33
Oui mais préventive basé sur la fatigue visuelle
En fait le volant c’est pas très au point, même en étant vigilant j’ai l’impression qu’après plusieurs rappels on est puni quand même par une désactivation !
En gros chez Tesla le système de guidage et d’assistance à la conduite est très loin d’être irréprochable mais vous puni vous quand il considère (quasi systématiquement à tort) que vous ne l’êtes pas : cherchez l’erreur …
Vivement que la concurrence se réveille pour leur mettre un bon coup de pied et les force à réagir sur ces points qui ne devraient plus exister après plusieurs années de mise au point, de données engrangées et de critiques sur les forums !!!
« Il affirme donc que cet aspect l'emporte sur la protection de la vie privée prévue par le RGPD. »
Pas tout à fait : le RGPD prévoit des cas d’utilisation des données personnelles autorisées et il me semble que la recherche en est une, sous condition.
Ils affirment donc que c’est sur cette base légale qu’ils s’autorisent à traiter les données.
Ce qui ne change rien au problème de fond de la capacité à faire appliquer le texte.
En soit, le RGPD n'interdit rien, mais en fonction des cas il mets des obligations (consentement, informations supplémentaires, analyse de risques etc ....) supplémentaires en fonction des cas.
Le résultat de cette étude ne devrait surprendre personne.
Hors de question, pour ma part, d'acheter une voiture (un ordi roulant de nos jours) connectée tant qu'il n'y aura aucune garantie quant au respect de la vie privée. Chacun fait comme il veut mais j'estime qu'une voiture est comme une extension de mon domicile.
@Chris K
Cad jamais, tant qu’il y aura profit possible avec la récolte des données
@Chris K
+1
Hors de question, pour ma part, d'acheter une voiture (un ordi roulant de nos jours) connectée tant qu'il n'y aura aucune garantie quant au respect de la vie privée.
Probablement toutes les voitures neuves actuellement sont connectées...
C’est même obligatoire en Europe à cause du système d’appel d’urgence obligatoire (bouton ecall qui appel les urgences si action volontaire ou automatiquement en cas d’accident). Le système passe par le réseau téléphonique donc la voiture est connectée
.
Obligatoire depuis 5 ans déjà…
J’ai personnellement une Ford achetée neuve en 2016 qui n’est absolument pas connectée à internet et qui ne fonctionne pas avec une application mobile particulière. La seule chose un tant soit peu connectée dedans c’est le GPS. J’imagine que je ne suis pas concerné par l’étude malgré la présence de la marque dans le compte-rendu.
@ValentBay : vous en êtes sûr ?
Il y a des données qui peuvent être collectées via connexion sans que l'utilisateur du bien s'en aperçoive.
Mon ancienne Clio de 2019 collectait des données et faisait des MàJ (c'était dit sur l'écran et je pouvais couper) mais aucun service ne m'était rendu dans le sens où je ne pouvais utiliser cette connexion pour moi, elle est réservée à Renault.
Je ne remets pas en cause ce que vous dites, je sais juste qu'on n'est pas toujours informés.
@smog
En l’occurrence je ne suis sûr de rien, je suppute. Je sais que si le logiciel de la voiture doit être mis à jour ça se passe dans un garage Ford et pas en OTA. Par ailleurs le seul micro est celui dans l’habitacle qui n’est utile que si je connecte mon téléphone en Bluetooth. À voir s’ils se permettent de collecter des donnés d’appels passés en passant par la connexion bluetooth au micro et haut-parleurs en enregistrant les communications, mais ça m’étonnerait fort. Pas de caméra (externe/interne) juste un radar arrière. En tout cas s’il y a prélèvement de données, c’est minime par rapport aux mouchards conçus depuis quelques années maintenant.
@ValentBay : oui, en plus en 2016 c'était une autre époque en matière d'objets connectés, c'était sans doute techniquement plus osé et moins répandu...
En tout cas s’il y a prélèvement de données, c’est minime par rapport aux mouchards conçus depuis quelques années maintenant.
"Minime" ? Avec le GPS il y a juste l'intégralité des déplacements (avec au passage le respect ou du non du code de la route). L'enregistrement des actions sur les pédales et donc probablement la création de profil selon chaque conducteur...
L’utilisation d’Android Auto / CarPlay laisse aussi une belle porte ouverte à l’utilisation de données perso
Et avec toutes ces données mal protégées ça donne ça :
(12 avril 2023)
« Chère Madame, Cher Monsieur,
Notre base de données clients a récemment fait l’objet d’une attaque informatique par un tiers non autorisé qui a accédé à certaines données personnelles de nos clients (nom, prénom, date de naissance, adresse email et postale, numéro de téléphone, numéro de client et numéro de châssis). Aucune donnée financière ou sensible n’a été affectée.
Dès que nous en avons pris connaissance, nous avons diligenté une enquête interne avec des experts en informatique et nos avocats qui ont d’ores et déjà pris les mesures techniques afin d’y remédier. Parmi les diverses mesures techniques mises en œuvre, nous avons aussitôt bloqué le serveur concerné et l'avons définitivement retiré de notre réseau. Nous prenons également toutes les mesures complémentaires qui s’imposent afin d’éviter qu’un tel incident se reproduise. Sachez que cet incident a également fait l’objet d’une notification à la CNIL.
A ce stade, rien n’indique que vos données personnelles ont été réutilisées à des fins frauduleuses. Toutefois, nous vous demandons de rester vigilant dès maintenant et dans les mois qui viennent aux communications que vous pourriez recevoir de la part de Hyundai Motor France ou d’une autre entité du groupe Hyundai Motor et qui vous paraitraient suspectes.
Si un email, courrier et/ou SMS vous semble suspect, n’y répondez pas, ne cliquez pas sur les liens qu’il contient et prévenez-nous en nous écrivant à l’adresse suivante :
hyundaivousrepond@hyundai.fr
Nous vous indiquerons en retour si cette communication émane effectivement de Hyundai ou non.
Chez Hyundai Motor France, la protection des données personnelles de nos clients est une priorité absolue. Bien que cet incident soit indépendant de notre volonté, nous vous prions de bien vouloir accepter toutes nos excuses.
L’équipe Hyundai reste à votre entière disposition pour toute information complémentaire (hyundaivousrepond@hyundai.fr).
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées.
Lionel FRENCH KEOGH
Président
Conformément à la réglementation sur la protection des données personnelles, vous disposez d'un droit d'accès, de modification et de retrait de vos données. Pour toute demande, vous pouvez nous contacter via l'adresse hyundaivousrepond@hyundai.fr. Pour plus d'informations sur vos droits et l'utilisation de vos données personnelles, vous pouvez consulter notre politique relative à la protection de la vie privée en cliquant sur le lien suivant https://www.hyundai.fr/a-propos/rgpd. »
@MGA
En gros un bel enfumage, on doit vous le dire mais on dit aussi qu’on ne sais rien du tout sur les conséquences
Voilà quelque chose de rassurant et d’inquiétant en même temps, et débrouille toi avec 🤷♂️😂
Ce courrier est une obligation du RDPG de notifier les personnes concernées ainsi que la CNIL.
@zearno
Et donc je suis prévenu : Cnil Rgpd ou simple respect du client. Est-ce que ça dédouane l’entreprise de ses responsabilités et de ses incompétences ? Et dans le cadre de cet article, si les constructeurs collectent des données très personnelles et sensibles trouvez-vous normal qu’il soit possible de les voler et que la seule conséquence soit d’envoyer un courrier par e-mail ? Ce n’est qu’un exemple supplémentaire du faible niveau d’exigence de qualité dans les services informatiques et aux niveaux des salariés dans ces services. La confidentialité des données de l’entreprise, des clients et peut-être des salariés n’est quasiment jamais une vraie priorité.
@MGA
"Cnil Rgpd ou simple respect du client. Est-ce que ça dédouane l’entreprise de ses responsabilités et de ses incompétences ? "
———
Oui car le RGPD a une grosse faille : « l’intérêt légitime »
Non car l’esprit de cette mesure n’est pas respectée.
C’est la même chose que l’évasion fiscale que pratique de nombreuses sociétés, Apple en tête.
La loi est respectée, pas son esprit.
C’est une histoire d’éthique.
@MarcMame
Je vous rejoins entièrement, l’intérêt légitime demande est la clause qui a été prévue pour contenter les opposants et qui réduit à néant l’intérêt du RGPD. Seule la jurisprudence permettra un jour (ou bien c’est déjà fait ???) d’éclairer ce qu’est l’intérêt légitime et de clarifier l’intérêt de qui. Par exemple est-ce l’intérêt de l’entreprise ou l’intérêt commun (comme le suggère la réponse de Nissan aux interrogations sur les données collectées par les véhicules) ? Si c’est l’intérêt de l’entreprise je me demande bien où peut s’arrêter la collecte des données à partir du moment où chacune des données rapporte de l’argent c’est dans l’intérêt légitime de l’entreprise et de ses actionnaires. Si c’est dans l’intérêt commun la collecte peut également être illimitée puisqu’on ne sait pas à l’avance de quelle donnée pourrait avoir besoin les services de l’Etat pour je ne sais quelle raison de soit disant « sécurité ».
Mais le plus important c’est que nos données soit inaccessibles ou en tout cas pas « en bloc complet » de façon non-volontaire, il y a manque de compétences en matière de sécurisation des données collectées et impunité face à ce manquement, la collecte devrait être assortie d’obligations et de sanctions en cas de manquement.
@MarcMame
Pas tout à fait car dans le cadre de DCP sensibles, il y a un certains nombre de choses à prévoir par le responsable du traitement qui, comme son nom l'indique, garde en toutes situations, la responsabilité des traitements réalisés, ainsi que de leur sécurisation, y compris auprès de ses sous-traitants.
A côté de cela, je constate effectivement une "perversion" de la licéité Intérêt légitime qui, si elle est manifestement abusive, rend le traitement illégal.
@MGA
Alors oui, la collecte et la sécurisation des données sont des choses bien différentes mais tout de même liées.
On peut collecter à peu prêt n'importe quoi tout en restant dans le cadre du RGPD, pour peu qu'on puisse plus ou moins le justifier (surtout pour les données dites sensibles).
En revanche, si le responsable du traitement collecte des données sensibles (et très bien définies par le RGPD), alors il a l'obligation d'apporter le niveau de sécurité en rapport avec la sensibilité des données collectées.
Pour votre cas personnel, le responsable de traitement, c-à-d votre concessionnaire ou le constructeur à voir précisément, est clairement en faute car il y a manifestement eu un défaut dans la sécurisation de vos données personnelles. A noter qu'il ne peut pas reporter sa responsabilité vers ses fournisseurs dans la mesure où le responsable de traitement est responsable de l'application du règlement par ses sous-traitants, incluant ainsi la sécurité des données.
Votre cas mériterait un signalement auprès de la CNIL, mais si elle est effectivement au courant de par la déclaration du constructeur. On pourrait aussi se poser des questions quant à la pertinence de collecter des DCP sensibles dans ce cas précis.
@zearno
D’après le courrier c’est le constructeur qui est responsable des données collectées (d’ailleurs le véhicule n’est pas de chez Hyundai, expéditeur du courrier, mais de sa filiale Kia).
Je m’interroge toujours sur ces bases de données ultra centralisées, ne serait-ce pas moins vulnérable de répartir les informations dans des bases de données morcelées sur des serveurs différents ?
En tout cas je n’ai pas constaté d’activité « étrange » qui pourrait être en lien évident avec cette fuite de données en particulier, c’est étonnant.
Et le pire c'est que ça ne dérange pas la plupart des gens. Je ne compte plus les personnes qui me répondent "je m'en fous, je n'ai rien à cacher" dès que je leur parle de données personnelles, de sécurité, etc...
@FatB
Pareil, c’est navrant, envie de les laisser dans leur m…. quand ils auront un pb info
@FatB : oui, mais comme souvent, quand vous expliquez les failles de tout ça, on vous rétorque agressivement (parce que les vérités dérangent, comme pour l'alimentation etc.) que "à ce compte là, on ne mange rien, on ne dit rien, on ne sort plus" ou le même genre de formulation ;-)
Tient, il est où le journaliste de macg qui fait l'apologie de Tesla mais chie sans commune mesure sur la dangerosité des magasin alternatif ?
C’est pourquoi beaucoup de gens achèteront Apple Car lol
Il est prouvé qu’Apple aussi utilise tes données personnelles sur ton iPhone pas de raison que pour la voiture cela soit différent…
@MKO
T’as le choix au moins avec eux et c’est des donnés anonymes donc bon.
Si c'est anonyme, ce ne sont plus des données à caractère personnel.
@zearno
Et voilà
C'est carrément flippant comme message d'excuse !
Tout va bien j'ai encore une clé pour démarrer ^_^
Vous ne croyez pas si bien dire. Le jour où vous ne serez pas dans "les clous", on ne vous permettra pas de démarrer (même si techniquement un système de démarrage est bardé d'électronique qui pourra tout à faire le travail).
A moins de revenir sur des véhicules des années 70, on a tous plus ou moins déjà ce "fil" à la pate.
Ils sont quand même très durs avec Mercedes, surtout que ce sont les seuls à avoir fait l’effort de la discussion.
Parce que bon, si tu n’utilises pas tiktok, la collecte n’est pas problématique. Bon en même temps m, je ne comprends pas ce que fait tiktok dans ma voiture, mais bon… (ça se désinstalle très bien).
Bravo à Renault en tout cas. Ça me donne presque envie d’en acheter une.
Au total, 84 % des marques étudiées peuvent partager les données de leurs clients, et 76 % disent pouvoir les vendre.
Ok mais 100% des téléphones le font déjà non ?
@MKO
Deuxième message débile (affirmations non argumentées)
C'est pas grave, juste fais des efforts
Il n'y a pas plus d'argument dans le votre, la condescendance en prime. De là à en conclure que le niveau des deux interventions est similaire, il n'y a qu'un tout petit pas que je n'ai aucune difficulté à faire.
Aller, juste fais des efforts .... toi aussi.
Il parait même que les gens achètent des micros via un appareil muni de hauts parleurs, et le placent dans leur salon...
Dans ma Twingo électrique si je désactive le partage des données je ne peux plus gérer la voiture à distance. (Préchauffage par exemple et autres ennuis)
Comment certaines infos peuvent parvenir à ces constructeurs ? Et surtout, comment est-il possible que cela soit "autorisé" ?
Le nom, l'âge, l'adresse, pourquoi pas mais les préférences sexuelles ou autres 🤔?
Je n'en ai pas besoin mais je ne suis pas prêt de changer de voiture !
@Gromeul
Attention, d’aucuns vont penser que tu as des préférences sexuelles ou autres à cacher ou inavouables 🫣
@DG33
À part me mettre quelques fois les doigts dans le… Nez et proférer 2 ou 3 insultes, non j’vois pas 🤣!
@Gromeul
Pour les insultes je le savais (apparemment tu grommelles 😜), mais merci de m’apprendre que mettre les doigts dans le nez était une pratique sexuelle. Il me manque manifestement une bonne expérience.
Tesla = cancer
Je me demandais pourquoi j’étais bombardé de pubs coquines depuis que j’ai une Tesla! Donc ils savent…
@max intosh
Tu dragues en Tesla ?
Pages