Passer au contenu principal
Ce site utilise des témoins de connexion (« cookies ») en conformité avec notre politique de vie privée. En continuant à utiliser ce site, vous acceptez notre utilisation des témoins de connexion.
Bulletin

Respect de la vie privée et cybersécurité dans l’industrie automobile: saisir les occasions et gérer les risques

Fasken
Temps de lecture 15 minutes
S'inscrire

Bulletin du groupe Industrie automobile

L'industrie automobile est en plein essor en raison du développement et de l'évolution rapide des automobiles autonomes et « intelligente ». Les automobiles intelligentes peuvent agir non seulement en tant que systèmes de divertissement sur demande, de navigation et d'assistants personnels personnalisés, mais elles pourront prochainement surveiller et assurer la sécurité, la santé et le bien-être des conducteurs, des passagers et d'autres personnes. Les possibilités de l'automobile intelligente semblent illimitées. Il existe encore une forte demande de la part des consommateurs pour de nouvelles fonctionnalités novatrices dans le domaine de l'automobile.

L'automobile intelligente transforme non seulement la relation entre les conducteurs et leurs automobiles, mais aussi celle entre les intervenants de l'industrie — fabricants d'équipement d'origine, fournisseurs de télécommunications, fournisseurs de matériel informatique et de logiciels et autres — ainsi que leurs clients. Avec l'automobile intelligente en tant que plateforme, l'industrie automobile et ses partenaires sont dans une position enviable de développer et de promouvoir des produits, des fonctionnalités et des sources de revenus jadis inimaginables.

La portée et la profondeur des possibilités de collecte de données des automobiles intelligentes sont inégalées dans de nombreuses autres industries, et représentent une nouvelle possibilité extraordinaire. Dans ce court article, nous traiterons de certaines de ces possibilités, de la cybersécurité, de la protection des renseignements personnels et de la gestion des risques.

Sources d'information liées aux automobiles

Il existe une multitude de sources de données liées aux véhicules intelligents, y compris les enregistreurs de données routières (les « EDR »), l'Internet des objets (l'« IdO ») et les appareils connectés ainsi que les systèmes de télématique. Ce qui suit est une brève explication de certaines des sources principales de données ainsi que les utilisations possibles des données recueillies par ces sources.

  • Les systèmes de télématique consistent en l'intégration de nombreux systèmes distincts, mais connectés, y compris les systèmes de GPS, les systèmes de communication sans fil et les systèmes des fournisseurs de service et de contenu. Les intervenants peuvent utiliser les données générées par les systèmes de télématique pour repérer les problèmes de performance selon l'emplacement ou le comportement de l'utilisateur en générant des « données exploitables » pouvant contribuer à l'amélioration du produit et des services, ainsi que pour le client, la gestion de la flotte et d'autres fins connexes. Il est également possible de personnaliser les services en fonction du profil individuel de l'utilisateur et de classer les clients aux fins de marketing ciblé. Les systèmes de télématique après-vente, tels que les systèmes de télématique de l'assureur, peuvent être installés dans les véhicules pour recueillir des données sur les habitudes de conduite.
  • L'Internet des objets (l'« IdO ») et les autres appareils connectés (p. ex., les téléphones intelligentes) ont connu un essor considérable au cours des dernières années. La technologie de l'IdO en particulier consiste en l'intégration de technologies de l'information et de la communication au sein d'une infrastructure, des appareils électroménagers et d'autres dispositifs physiques. Elle comprend également le flux de données entre l'appareil connecté et le réseau, sans nécessité d'intervention humaine. Les données pouvant être recueillies comprennent l'identification de l'appareil, son emplacement, son état, sa condition, et ainsi de suite.
  • Les enregistreurs de données routières (EDR) sont utilisés depuis un certain temps pour recueillir des données relatives aux accidents telles que la vitesse du véhicule, la manette des gaz, l'activation des freins, la force de l'impact, le déploiement du sac gonflable et l'utilisation de la ceinture de sécurité. Les données recueillies par les EDR sont typiquement utilisées pour évaluer l'efficacité des systèmes de sécurité et pour recréer les scénarios de l'accident dans le cadre de procès. La loi a évolué pour gérer la production de ce genre d'informations dans le cadre de différends et les questions potentielles en matière de respect de la vie privée. À cet égard, une question clé se pose à savoir si les données que recueillent les EDR sont des « renseignements personnels » ou s'il est plus approprié de les considérer comme étant des renseignements sur le véhicule.

Les répercussions sur la vie privée varient en fonction des appareils et des renseignements recueillis, et la responsabilité quant aux questions touchant la vie privée incombe aux intervenants, selon différents scénarios.

Considérations d'ordre juridique relatives à la protection de la vie privée

D'un point de vue juridique et commercial, un grand nombre de possibilités et de risques principaux associés aux automobiles intelligentes reposent sur le fait que, parmi les données recueillies et utilisées, figurent des « renseignements personnels » sur les activités, les caractéristiques et les préférences de la personne. Bien que ces renseignements puissent être très utiles à des fins de marketing, de recherche et de développement ainsi qu'à d'autres fins visant à générer des revenus, ces renseignements doivent être recueillis, utilisés et divulgués de façon à respecter la vie privée, à assurer la sécurité, à satisfaire aux exigences juridiques et à traiter des risques connexes.

À la lumière de la dynamique décrite plus haut, la Alliance of Automobile Manufacturers des États-Unis s'est engagée à rehausser la protection des renseignements personnels de ses clients en énonçant la Promesse des fabricants automobiles (Automakers' Pledge). La Promesse des fabricants automobiles a été publiée récemment en réponse à un ensemble disparate de lois fédérales et étatiques relatives à la protection des renseignements personnels, et vise à fournir aux clients une protection uniforme. Plus récemment, le U.S. Auto Information Sharing and Analysis Centre (ISAC) a publié une série complète de pratiques exemplaires en matière de cybersécurité et de questions relatives à la sécurité intégrée de véhicules en particulier : Automotive Cybersecurity Best Practices (disponible en Anglais seulement).

De plus, au Canada, les organisations du secteur privé sont tenues de respecter les lois d'application générale sur la protection de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE « ), et des lois essentiellement similaires applicables en Colombie-Britannique, en Alberta et au Québec. Toutes les lois du Canada relatives à la protection de la vie privée régissent la collecte, l'utilisation et la divulgation de renseignements personnels (c.-à-d. les renseignements sur des personnes identifiables), y compris dans le secteur de l'automobile et les industries connexes des intervenants.

Sous réserve d'exceptions limitées, ces lois requièrent généralement le consentement exprès ou implicite des personnes en ce qui a trait à de telles activités. Une organisation doit révéler au client, avant ou au moment de la collecte, les fins pour lesquelles les renseignements personnels sont recueillis. Le consentement peut être exprès ou implicite, selon la confidentialité des données et le caractère évident de la nécessité de les recueillir.

Bien que les exigences des lois sur la protection des renseignements personnels puissent être respectées de façon à permettre d'atteindre , voire de renforcer, les objectifs commerciaux à l'heure actuelle, trois éléments doivent être pris en compte quant à l'application des lois sur la protection des renseignements personnels dans le contexte de l'automobile intelligente : déterminer quels sont les « renseignements personnels », déterminer les fins appropriées et mettre en place des mesures techniques et autres garanties visant à protéger les renseignements contre leur utilisation et leur divulgation non autorisées. Ces aspects seront abordés plus loin.

Renseignements personnels

En vertu des lois sur la protection des renseignements personnels, l'expression « renseignements personnels » possède une définition large et inclut tous les renseignements sur une personne identifiable, le caractère unique étant le concept clé. Généralement, un renseignement est considéré comme étant un « renseignement personnel » lorsqu'il existe une réelle possibilité que ce renseignement, utilisé seul ou en combinaison avec d'autres renseignements disponibles, puisse être associé à une personne identifiable.

Cet élément des lois sur la protection des renseignements personnels est important, car il permet aux organisations de se livrer à un large éventail d'activités dans lesquelles se trouvent des données anonymes ou dépersonnalisées, habituellement sans avoir à satisfaire aux exigences prévues aux lois sur la protection des renseignements personnels. Cependant, la question relative au caractère unique est fondée sur des faits particuliers, surtout dans le contexte de l'automobile intelligente pouvant recueillir des renseignements non seulement sur les conducteurs, mais aussi sur les passagers et d'autres personnes, et risquant parfois de soulever des questions clés. Par exemple, si une organisation analyse un ensemble de données liées à des renseignements personnels qu'elle dépersonnalise uniquement à des fins de marketing ou à une autre fin, mais que, techniquement, elle pourrait identifier à nouveau les personnes en les jumelant à d'autres renseignements, la question serait de savoir dans quelle mesure les lois sur la protection des renseignements personnels pourraient encore s'appliquer.

Fins appropriées

Une des exigences primordiales des lois canadiennes sur la protection des renseignements personnels repose sur le fait que les organisations peuvent recueillir, utiliser et divulguer des renseignements personnels qu'à des fins qu'une personne raisonnable jugerait appropriées. En d'autres mots, même si une personne consent à cette activité, les lois sur la protection des renseignements personnels pourraient l'interdire.

Plusieurs conclusions tirées par les tribunaux et autres instances de réglementation ont contribué à former le cadre d'évaluation de l'exigence relative aux fins appropriées. Bien qu'il soit prévu que les pratiques relatives aux automobiles intelligentes respectent cette exigence lorsqu'elles sont mises en œuvre de manière appropriée, il est nécessaire notamment d'examiner soigneusement les renseignements recueillis (particulièrement les renseignements de nature délicate) de même que l'efficacité, la nécessité et les avantages de recueillir ces renseignements.

Mesures de sécurité et cybersécurité

Les lois canadiennes sur la protection des renseignements personnels exigent que les organisations mettent en place des mesures physiques, techniques, administratives et autres mesures raisonnables visant à protéger les renseignements personnels. On porte une attention particulière à ces exigences, y compris dans le secteur automobile, en raison de la prévalence accrue d'atteintes à la sécurité des données et de cyberattaques au cours des dernières années. En raison de la prolifération possible de la collecte, de l'utilisation et de la divulgation de renseignements personnels dans le domaine de l'automobile intelligente, il est essentiel que l'industrie et ses partenaires prennent les mesures qui s'imposent pour prévenir et détecter les atteintes à la sécurité des données et y réagir.

En ce qui a trait à la sauvegarde des renseignements, les risques juridiques et de réputation sont très réels. Au cours des dernières années, le Canada a vu une importante augmentation des actions en justice et des recours collectifs portant sur la protection des renseignements personnels tant dans le cadre de l'atteinte à la sécurité des données que de celui des cyberattaques ainsi que des pratiques commerciales courantes où il est question de renseignements personnels. Vu les répercussions financières possibles et autres conséquences, l'élaboration de mesures de sauvegarde rigoureuses et le traitement minutieux des renseignements personnels n'ont jamais été aussi importants. 

En plus de mettre en place des mesures appropriées, les organisations peuvent également appliquer des mesures visant à atténuer les risques juridiques. Par exemple, examiner soigneusement les politiques en matière de protection des renseignements personnels et les renseignements connexes pour s'assurer qu'ils ne contiennent aucune promesse de sauvegarde qui n'est pas nécessaire. De telles promesses doivent non seulement être évitées en vertu des lois sur la protection des renseignements personnels, mais elles constituent des risques juridiques (pour rupture de contrat) qui n'existeraient pas autrement dans une circonstance donnée.

Conclusion

L'industrie automobile est à l'aube d'un changement profond grâce à l'évolution de l'automobile intelligente. Bien que ses activités et ses fonctionnalités principales demeurent les mêmes, les nouvelles fonctionnalités novatrices des automobiles intelligentes risquent de soulever d'importantes questions en matière de protection de la vie privée, comme nous l'avons vu plus haut. Les questions relatives à la protection de la vie privée et à la prise de risques sont de plus en plus importantes pour les activités commerciales, notamment dans l'industrie automobile. L'industrie et ses intervenants doivent traiter des questions de façon prévoyante afin de cerner les risques et les occasions et ultimement, atteindre pleinement ses objectifs commerciaux.

L'auteur tient à remercier la contribution de Gillian Round, étudiant en droit.

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire