Les voitures modernes sont des passoires à données privées. La fondation Mozilla s'est intéressée à la manière dont 25 fabricants géraient les informations de leurs utilisateurs. Le résultat est loin d'être brillant étant donné que toutes les marques écopent d'un avertissement, une première sur les sept années d'analyses de produits divers réalisées par Mozilla.
La fondation a scruté la politique de gestion des données personnelles et les éventuelles failles de sécurité de grandes marques automobiles dans cinq pays : les États-Unis, l'Allemagne, le Japon, la France et la Corée du Sud. Ses chercheurs ont passé environ 600 heures à lire les documents contractuels, à télécharger les applications des constructeurs et à discuter avec les marques.
L'étude révèle que des marques connues comme BMW, Ford, Toyota, Tesla, Kia ou Subaru peuvent récolter tout un tas de données sur leurs utilisateurs, comme leur origine, leur expression faciale, leur poids, l'endroit où ils se rendent et même leur activité sexuelle (!). Tout cela est collecté à l'aide des différents capteurs et micros intégrés dans les véhicules, mais aussi via les caméras, les apps ou les appareils connectés. « Les marques automobiles peuvent utiliser une grande partie de ces données pour tirer des conclusions sur l'intelligence, les capacités, les caractéristiques, les préférences, etc. d'un conducteur », écrit Mozilla.
La fondation affirme que Nissan est le plus mauvais élève : non content de récolter tout un tas de données sensibles (dont un diagnostic de santé), le constructeur japonais indique pouvoir vendre les « préférences, caractéristiques, tendances psychologiques, prédispositions, comportements, attitudes, capacités et aptitudes » des consommateurs à des courtiers en données. Il peut aussi les partager avec les forces de l'ordre ou d'autres tiers. Mozilla pointe également du doigt Volkswagen, Toyota, Kia et Mercedes-Benz, ce dernier livrant certains véhicules avec une application TikTok préinstallée.
Tesla est la marque la plus mal classée de l'étude, se faisant recaler dans toutes les catégories de protection de la vie privée. Le fabricant ne brille pas par sa gestion des données : il a été révélé que des employés s'échangeaient des vidéos de clients entre 2019 et 2022, tandis que les Tesla Files ont récemment mis en évidence de graves manquements au niveau de la confidentialité.
Les « Tesla files » révèlent la gestion catastrophique des données privées par le constructeur
Des employés Tesla auraient partagé entre eux les vidéos enregistrées par les voitures
Aucun des constructeurs ne répond aux normes de sécurité minimales de Mozilla. Les chercheurs n'ont pas pu confirmer si les marques étudiées chiffraient toutes les informations personnelles qu'elles stockaient sur les véhicules. Seul Mercedes a daigné répondre aux questions de Mozilla à ce sujet. Renault est le fabricant le moins problématique du lot, ce que Mozilla met sur le dos du fait que le constructeur doit respecter le RGPD.
En théorie, la législation européenne devrait empêcher la récolte de certaines données sensibles citées ci-dessus comme l'origine ethnique ou les données liées à la santé. En pratique, c'est un peu plus compliqué que cela. « Le RGPD est une bonne chose sur le papier, mais il manque d'outils pour le faire appliquer », nous a confié le chercheur de Mozilla Misha Rykov.
Il nous a notamment incités à jeter un coup d'œil sur la politique de confidentialité de Toyota relative aux caméras de ses véhicules. Le constructeur explique qu'il peut collecter des données à partir de caméras embarquées, ce qui va dans l'intérêt de la sécurité publique étant donné que cela permet d'améliorer son système et donc d'éviter des accidents. Il affirme donc que cet aspect l'emporte sur la protection de la vie privée prévue par le RGPD.
Dans la mesure où nous traitons des catégories particulières de données à caractère personnel (qui relèvent de l'origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, de l'appartenance syndicale, des données génétiques […]), ce traitement est nécessaire à des fins de recherche scientifique et notre intérêt à traiter ces données l'emporte largement sur celui de la personne concernée dans le non-traitement des données du RGPD.
La fondation conclut que les voitures sont « la pire catégorie de produits » qu'elle a jamais examinée en matière de protection de la vie privée, derrière les apps de santé mentale et les fabricants de sex toys. Au total, 84 % des marques étudiées peuvent partager les données de leurs clients, et 76 % disent pouvoir les vendre. Le marché est énorme : en 2016, un rapport estimait que la monétisation des données automobiles pourrait représenter un secteur d'activité de 750 milliards de dollars d'ici 2030. Ne reste plus qu'à attendre une éventuelle Apple Car venant chambouler tout cet écosystème.
