Une enquête révèle que les marques de voitures les plus populaires, telles que Hyundai, Kia et Tesla, collectent et partagent les données personnelles des conducteurs à des sociétés tierces. Ces données iraient de la géolocalisation et des informations de reconnaissance vocale aux expressions faciales. Dans certains cas, même les activités sexuelles déduites des clients sont suivies. Cela serait effectué en toute légalité à l’insu des utilisateurs grâce à des politiques de confidentialité rédigées de manière délibérément confuse.
La collecte de données par les voitures a considérablement augmenté au cours des dernières années, à mesure que des fonctionnalités connectées avancées sont intégrées, même aux modèles les plus abordables. Un point de basculement se serait produit il y a environ deux ans, rendant ces fonctionnalités désormais omniprésentes dans chaque nouveau modèle, selon Choice, un organisme australien de défense des consommateurs.
Choice a enquêté sur la confidentialité des données des conducteurs automobiles suite à la réclamation de l’un d’eux concernant un véhicule de la marque Toyota, plus tôt cette année. Il a déclaré avoir de sérieuses inquiétudes concernant la confidentialité de ses données personnelles, récupérées par des fonctions de suivi dont il n’aurait pas été informé au moment de l’achat. L’organisation a par la suite reçu une « avalanche » de correspondances de lecteurs réclamant davantage d’informations sur les politiques de différentes marques automobiles en matière de collecte, d’utilisation et de partage des données des conducteurs.
7 marques sur 10 ont des politiques de confidentialité inquiétantes
Choice a enquêté sur les 10 marques automobiles les plus populaires en Australie, y compris Tesla, Hyundai, Kia, Toyota, Ford, Mazda, … Plus précisément, les enquêteurs ont écrit aux fabricants pour leur soumettre des questionnaires détaillés concernant les données collectées par leurs véhicules et ce qu’ils en font.
D’après le rapport, 7 marques sur 10 ont des politiques de confidentialité préoccupantes leur permettant de collecter les données des automobilistes et de les vendre à des entreprises tierces. Les politiques les plus inquiétantes sont celles de Hyundai, de Kia et de Tesla. Appartenant à la même société mère, Kia et Hyundai collectent des données de reconnaissance vocale des conducteurs issus des véhicules et les vendraient à Credence, une entreprise de formation d’IA.
« Nous pensons que le conducteur moyen de Hyundai et de Kia, lorsqu’il achète sa voiture, n’a aucune idée que cela se produit », a déclaré Jarni Blakkarly, l’un des investigateurs de Choice, à ABC News. « Ils n’ont pas vraiment consenti à ce que leur voix soit utilisée pour former des modèles d’IA », ajoute-t-il.
Tesla, en revanche, collecte de courtes vidéos à partir des caméras installées à l’intérieur et à l’extérieur de ses véhicules. Les enquêteurs de Choice auraient surpris des employés de l’entreprise en train de partager entre eux des enregistrements vidéo montrant des conducteurs de véhicules Tesla nus, ainsi que des images d’accidents et des incidents de « rage au volant ».
Toyota, quant à lui, affirme collecter les données de géolocalisation de ses véhicules, ainsi que les comportements d’accélération, de freinage et virage des conducteurs à chaque trajet. Ces données seraient ensuite partagées avec des sociétés annexes et des prestataires de services engagés par l’entreprise.
Ces conclusions concordent avec celles d’une précédente enquête de la fondation Mozilla, révélant que 25 des marques automobiles les plus populaires aux États-Unis collectaient des données allant des expressions faciales à l’activité sexuelle de leurs conducteurs, en passant par la localisation et les comportements de conduite de leurs clients. Et bien qu’il n’y ait pour le moment aucune preuve que ces données sont vendues à des sociétés d’assurance, les enquêteurs estiment que cela pourrait être effectif dans un avenir proche.
Collecte et partage de données en toute légalité
Ces entreprises auraient le droit de partager ces données en raison de la manière dont leur politique de confidentialité est rédigée. Les termes seraient délibérément présentés de manière vague et confuse de sorte à tromper les consommateurs sur ce qu’ils acceptent de partager ou non. Par exemple, Mazda a indiqué collecter et partager des données de « consommation vocale » sans explications précises sur ce que cela signifie ou implique véritablement.
D’autre part, il est généralement difficile pour les consommateurs de parcourir la liste des options de confidentialité de leurs fonctionnalités connectées. « Vous acceptez automatiquement la collecte de données lorsque vous achetez le véhicule ou lorsque vous téléchargez l’application », indique Blakkarly. En outre, ces listes ne sont généralement pas exhaustives.
Ce type de pratique est tout à fait légal, car la plupart des lois sur la protection de la vie privée sont basées sur le modèle de notification et de consentement. En d’autres termes, tant que les consommateurs sont informés des conditions de vente et les acceptent, l’entreprise est libre de partager leurs données personnelles.
Par ailleurs, il est important de savoir que même les marques automobiles ne disposant généralement pas de fonctionnalités connectées (telles que Mitsubishi, Subaru et Isuzu Ute) peuvent collecter et partager des données concernant les conducteurs, ont précisé les enquêteurs. « Il existe de nombreux véhicules sans services connectés disponibles en Australie, et les constructeurs qui ne proposent pas de services connectés peuvent toujours se livrer à des pratiques préoccupantes avec les données clients », affirme Blakkarly.
Options pour mieux gérer la confidentialité des données personnelles
Afin de mieux gérer la confidentialité des données personnelles des voitures connectées, il est possible de modifier les paramètres des applications gérant les fonctionnalités du véhicule. On peut par exemple refuser le partage de données ou désactiver la fonction de suivi GPS lorsqu’on ne l’utilise pas.
Toutefois, le processus de gestion de données est différent pour chaque marque, modèle ou type de voiture. La ressource en ligne gratuite Privacy4Cars a rassemblé des instructions pour supprimer étape par étape les données personnelles collectées pour des dizaines de milliers de véhicules. Bien que les informations fournies ne soient pas exhaustives, le site couvre à la fois les États-Unis, le Canada, le Royaume-Uni et l’UE.