Les véhicules modernes – voitures, scooters et vélos connectés – collectent en continu des données de localisation via leurs capteurs GPS intégrés. Ces informations permettent de retracer avec précision les déplacements de leurs utilisateurs, révélant leur domicile, leur lieu de travail, leurs horaires habituels ou encore leurs visites médicales. Considérant que ces données sont "hautement personnelles", la Commission nationale de l'informatique et des libertés (CNIL) a publié le 30 juin 2026 une recommandation officielle destinée à encadrer leur traitement par les professionnels du secteur.
Ce texte, préparé après une consultation publique lancée en mars 2025 auprès des constructeurs automobiles, des loueurs de flotte, des fournisseurs de boîtiers télématiques et des agrégateurs de données, pose un principe général : l'exploitation des données de localisation ne peut se faire sans le consentement préalable de l'utilisateur. Une exception est prévue lorsque ces données sont strictement nécessaires à la fourniture d'un service que le conducteur a expressément sollicité, comme une assistance routière ou une navigation en temps réel. Dans ce cas précis, le consentement n'est pas requis, mais le professionnel doit démontrer que la donnée est indispensable au service demandé.
Le spectre de la fuite massive de 2024
Cette recommandation intervient dans le sillage d'un incident majeur survenu fin 2024. La filiale logicielle de Volkswagen, Cariad, avait laissé un espace de stockage en ligne mal configuré pendant plusieurs mois. En conséquence, les données de localisation d'environ 800 000 véhicules électriques des marques Volkswagen, Audi, Seat et Skoda s'étaient retrouvées exposées sur Internet. Pour près de 460 000 d'entre eux, la position était précise à une dizaine de centimètres près. La faille, découverte par un lanceur d'alerte anonyme, a été confirmée par le Chaos Computer Club, une association de hackers européenne. Pour démontrer le danger, ses membres ont notamment reconstitué les trajets d'un responsable de la défense allemande et d'un élu local, jusqu'à leurs médecins et leurs lieux de travail. La France figurait parmi les pays touchés, aux côtés de l'Allemagne et de la Belgique. Cariad a reconnu une "mauvaise configuration" et affirmé qu'aucune donnée bancaire n'avait fuité. Cet épisode a servi de catalyseur à l'accélération des travaux de la CNIL sur le sujet.
Des exigences de transparence et de minimisation
Au-delà du consentement, la recommandation fixe plusieurs obligations concrètes. Les professionnels doivent informer clairement les conducteurs des données collectées, des finalités de cette collecte et de la durée de conservation. Le principe de minimisation s'applique : seules les données strictement nécessaires au service peuvent être enregistrées. La CNIL insiste également sur la sécurisation des données stockées et transmises, afin d'éviter de nouvelles fuites. Les constructeurs et autres acteurs sont invités à mettre en place des mécanismes de contrôle d'accès robustes et à procéder à des audits réguliers.
Un cadre pour les professionnels, des droits pour les conducteurs
Les conducteurs se voient reconnaître un droit d'accès aux données collectées et un droit de rectification. Ils peuvent également retirer leur consentement à tout moment, ce qui doit entraîner l'arrêt de la collecte et, le cas échéant, la suppression des données déjà recueillies, sous réserve d'obligations légales ou contractuelles. La CNIL a précisé qu'elle veillerait à la bonne application de cette recommandation dans le cadre de ses pouvoirs de contrôle et de sanction, qui peuvent aller jusqu'à plusieurs millions d'euros d'amende pour les contrevenants.
Cette publication constitue un premier pas vers un encadrement plus strict des véhicules connectés en France. Alors que le nombre de ces engins augmente rapidement, la question de la protection des données personnelles à bord devient un enjeu central de la vie privée des citoyens.