AccueilActualités informatiqueProtection des données en voiture : comment Skoda gère les demandes d'information...

Protection des données en voiture : comment Skoda gère les demandes d’information gênantes

Cela aurait pu être si beau : Je conduis la petite voiture électrique Citigo e-iV de Skoda, qui est de construction identique et provient du même groupe que la eUp de VW et la Mii de Seat. Grâce à l’application pour téléphone portable « MySKODA », je peux consulter les caractéristiques du véhicule et, entre autres, commander le chargement ou afficher l’emplacement de la voiture.

Après quelques semaines, l’écran de la voiture a signalé pour la première fois une erreur « non critique pour la conduite ». J’ai appelé le concessionnaire Skoda, qui a pu facilement attribuer mon nom à ma voiture. Il m’a rapidement informé que le défaut était inoffensif et qu’il pourrait être corrigé lors d’un futur passage à l’atelier. C’était rassurant.

Moins rassuré, je me suis demandé quelles données mon atelier et Skoda allaient collecter dans ma voiture. J’avais compris, en signant le volumineux contrat, que certaines données seraient transmises à Skoda. Je n’aurais pas laissé l’achat échouer à cause d’une fuite de données vers le constructeur automobile, après tout, le passage à une petite voiture électrique écologiquement responsable était pour nous une évidence. Les alternatives pour moi à l’époque : aucune.

Dès l’achat, je me suis toutefois promis d’aborder plus tard la question de la protection des données. Le moment était venu : Quelle est la quantité de données que les constructeurs automobiles européens soumis au RGPD s’accordent ? Jusqu’où un client peut-il faire valoir ses droits d’accès ?

Focus de c’t sur « Surveillé dans sa propre voiture ».

    • Ce que vous devriez savoir sur votre voiture et ce qu’elle sait depuis longtemps sur vous
    • Entretien avec Immo Bornhagen, expert en criminalistique des données
    • Ce à quoi vous devez faire attention en matière de protection des données
    • Comment Skoda gère les demandes d’information gênantes

Sommaire

En janvier 2021, j’ai adressé à Skoda Allemagne une lettre de demande de renseignements non spécifique. Ce faisant, j’ai simulé le style d’un client qui fait valoir ses droits de manière légère, mais non spécifique. Je voulais obtenir des informations sur toutes les données qui permettent de profiler mon comportement au volant et je demandais une analyse d’impact sur la protection des données (AIPD) ; j’ai également accepté de recevoir des communications par e-mail.

Quelques jours avant l’expiration du délai d’information d’un mois, j’ai reçu un e-mail du service clientèle. Ils se sont montrés très satisfaits de mon intérêt pour la plateforme « Skoda Connect » et m’ont expliqué à quelles fins et pour quels services les données étaient utilisées, avec un lien vers la déclaration de protection des données correspondante. A ma connaissance, je ne connais pas cette plateforme et je ne l’utilise pas.

Dans la lettre suivante, je me suis adressé au responsable de la protection des données de Skoda Allemagne. Cette fois-ci, j’ai formulé ma demande de renseignements de manière plus précise, mais toujours sans référence spécifique au RGPD. J’ai demandé une liste complète de toutes les données que Skoda collecte dans mon véhicule ou sur le moteur et en tant qu’organisation, et quelles analyses sont effectuées avec ces données. J’ai également demandé si ces données avaient déjà été consultées, par exemple par des garages ou des autorités de sécurité. J’ai confirmé la question relative à la protection des données.

Une petite citadine électrique discrète : la Citigo de Skoda transmet elle aussi assidûment des données à son constructeur.

(Image : Skoda Media)

La réponse est arrivée dans les délais, sous la forme d’une lettre de plusieurs pages, très bien présentée, d’un cabinet d’avocats de Hambourg. J’ai d’abord été informé de mes droits en vertu du RGPD, y compris des coordonnées de l’autorité de surveillance de la protection des données compétente pour Skoda et des délégués à la protection des données de l’entreprise en Allemagne et en République tchèque.

J’ai d’abord reçu des informations sur les types de données qui figurent également dans le contrat de vente, ainsi qu’une « classification d’adresse » (dans mon cas : « personne privée ») et le « concessionnaire attribué » ; mes données concrètes se trouvaient ensuite en annexe de la lettre. Une deuxième annexe énumérait d’autres descriptions de champs de la base de données, qui peuvent apparemment être consultées par les garages. Ainsi, Skoda semble offrir aux concessionnaires le service de pouvoir héberger de manière centralisée les données d’atelier d’un client chez elle ; avec l’historique des commandes, les numéros de facture et d’autres données.

Les destinataires indiqués (« vos données seront divulguées aux entreprises ou personnes suivantes ») sont, entre autres, les banques, les prestataires de services informatiques (maintenance), le service marketing de Skoda, les autorités, les services publics, les autorités de sécurité, « nos conseillers financiers » et « d’autres tiers auxquels nous communiquons des données à caractère personnel en vertu d’exigences légales ». La finalité du traitement des données était indiquée comme suit : « (…) pour remplir nos obligations contractuelles, interagir avec vous ou à des fins publicitaires ».

Pouvais-je être satisfait ? La finalité affichée du traitement des données était trop générique, les catégories de destinataires – aucune indication des destinataires concrets, qui semblent avoir tout naturellement accès aux données – alimentant naturellement les fantasmes dystopiques. En particulier, il n’a pas été répondu à mes questions concernant les possibilités d’analyse de mon comportement de conduite sur la base des données moteur collectées, ni à l’existence d’une DSFA.

L’application MySKODA permet de déterminer l’emplacement de la voiture ou de consulter les données du véhicule.

(Image : obs/Skoda Auto Deutschland GmbH)

Fin février, j’ai donc écrit en allemand au responsable de la protection des données de Skoda République tchèque, le siège social de Skoda. Je me suis explicitement renseigné sur les données et les analyses dans le contexte de l’utilisation du moteur, sur les capteurs dans l’habitacle, sur les accès par le groupe VW ainsi que sur les consultations par les garages et autres tiers. J’ai demandé que toutes les activités soient justifiées par les bases juridiques de ces traitements.

Cette fois-ci, j’ai à nouveau reçu un mail en guise de réponse, hors délai et de manière surprenante de la part du service clientèle de Skoda Allemagne. Le message contenait un lien qui devait me permettre de télécharger mes données actuelles à partir d’un serveur. C’est ce que j’ai fait immédiatement : l’ensemble des données ne contenait qu’une petite partie des données que j’avais de toute façon déjà reçues auparavant par courrier.

J’ai à nouveau envoyé une lettre au commissaire tchèque à la protection des données, dans laquelle je soulignais l’insuffisance manifeste de la liste des données. Quelques jours plus tard, à la mi-avril 2021, j’ai reçu une réponse par e-mail et en allemand, dont vous pouvez lire des extraits dans l’encadré ci-dessous. Elle mentionnait également la pratique du DSFA. Selon cette dernière, tout était en ordre.

Littéralement : La réponse de Skoda République tchèque

« La société ŠKODA AUTO, a.s. traite vos données personnelles sur la base de déclarations d’information et de principes de protection des données personnelles déclarés de manière transparente, qui peuvent être consultés comme suit :

https://consent.vwgroup.io/consent/v1/texts/SkodaConnect/de/de/dataprivacy/latest/html

et

https://www.skoda-auto.com/other/privacy-policy-de

Aucun profilage de votre comportement de conduite n’est effectué sur la base de la déclaration d’information susmentionnée. (…) En ce qui concerne les capteurs du véhicule, nous vous informons qu’ils sont reliés localement aux unités de contrôle correspondantes et qu’aucune donnée n’est envoyée pendant la conduite. En cas de suspicion de défaut ou de besoin d’entretien, ces données peuvent être lues au moyen des appareils de diagnostic chez le partenaire de service après-vente agréé. L’utilisation des données se fait dans le but d’effectuer les diagnostics nécessaires, ceci dans le cadre de l’entretien ou des réparations.

En cas d’intérêt pour l’envoi d’un volume limité de données dans le cadre du service supplémentaire payant Connect Lite, le client peut commander l’envoi de ces données sous la forme du service supplémentaire payant. Cela ne constitue toutefois pas une norme pour le modèle de voiture Citigo. Cela est conditionné par l’accord du client, qui recevra ensuite le matériel et le logiciel correspondants. Les informations concrètes sur la construction du véhicule sont couvertes par le secret commercial ».

Si j’en crois les informations contenues dans les très nombreuses déclarations de protection des données référencées, mon comportement au volant n’est manifestement pas profilé. Cela soulève la question de savoir si cela serait tout de même possible sur une autre base. Les données ne sont pas envoyées lorsque le véhicule est en mouvement, mais apparemment, elles le sont lorsque le véhicule est à l’arrêt.

Les garages peuvent accéder aux données techniques pour l’entretien et les réparations et les relier à ma personne. C’est en principe logique. Mais on ne m’a pas demandé si c’était aussi dans mon intérêt et si je souhaitais éventuellement me désabonner. Enfin, on ne m’a pas dit quelles données avaient été transmises à des tiers, à quelles fins et sur quelle base juridique.

Si l’on persiste, on parvient à dépasser la tentative d’évitement du support de premier niveau et le jeu d’impression par des lettres d’un cabinet juridique coûteux et à obtenir des réponses de Skoda qui ne soient pas totalement vides. Toutefois, ces réponses ne permettent pas de lever les doutes quant à la conformité du traitement des données par le constructeur automobile avec les droits fondamentaux.

c’t édition 1/2022

Dans c’t 1/2022, nous sommes sur quatre roues. Les voitures modernes collectent des données sur les occupants et l’environnement qui suscitent la convoitise. Reste-t-il une chance pour la vie privée ? Nous nous penchons également sur le matériel open source qui peut être reproduit avec précision grâce à une bonne documentation – du vélo-cargo à l’ordinateur portable. Vous trouverez le numéro 1/2022 à partir du 17 décembre dans la boutique et dans les kiosques à journaux bien achalandés.

Plus d'articles