Votre auto en sait plus sur vous que vous ne pouvez l’imaginer

Nous savons pour la plupart que nos téléphones intelligents recueillent et transmettent des données à notre sujet… mais — surprise! — saviez-vous que nos véhicules font la même chose? 

Dans un rapport récent [disponible uniquement en anglais; les citations qui en sont tirées sont des traductions], la Fondation Mozilla conclut ainsi son examen des pratiques de 25 constructeurs automobiles : les voitures modernes sont un cauchemar pour le droit à la vie privée.

Avec sa batterie de capteurs, microphones et caméras, votre automobile a « la capacité sans pareil de vous scruter et d’engranger de l’information sur vos faits et gestes comme vos allées et venues », dit le rapport.

Des renseignements qui sont captés par le véhicule lui-même ainsi que par d’autres sources comme Google Maps, la radio satellite et tout téléphone intelligent connecté à la voiture. 

« Un vrai fouillis », d’après le rapport.

Qui plus est, ce n’est pas que sur des données comme vos trajets ou votre vitesse qu’on met ici le grappin. La totalité des constructeurs automobiles examinés par Mozilla prennent dans leurs filets bien plus de renseignements personnels que de besoin, et s’en servent pour des raisons qui n’ont rien à voir avec le fonctionnement de leurs véhicules.

À travers les quelque 9 500 mots de son avis de confidentialité, Nissan Amérique du Nord mentionne que les renseignements personnels qu’elle peut recueillir peuvent notamment porter sur : [Traduction] « la race, la nationalité, les croyances religieuses ou philosophiques, l’orientation sexuelle, l’activité sexuelle, la géolocalisation précise, le diagnostic médical et la génétique ». Kia mentionne aussi la vie sexuelle, tandis que six autres constructeurs parlent « d’information ou de caractéristiques génétiques ».

Les sociétés automobiles emploient aussi les données recueillies pour faire des « déductions » concernant l’intelligence, les intérêts, les capacités, les comportements, les attitudes ou la psychologie des gens.

Michael Power, avocat torontois spécialisé en droit de la vie privée, n’est pas surpris, étant donné que les véhicules modernes sont désormais plus informatiques que mécaniques. Mais les questions sur ce qui est recueilli et pourquoi n’en sont pas moins légitimes. 

« J’ai dans l’idée que les sociétés automobiles n’ont vraiment pas envie d’avoir cette conversation — elles argueront que l’on consent à tout cela (au moment de l’achat). » 

Au Canada, le droit de la vie privée est construit sur le fondement qu’est le consentement… mais peut-on réellement dire qu’il y a consentement ici?

« Le principe est que les gens doivent pouvoir faire des choix informés afin de donner leur consentement éclairé; sinon, celui-ci est vide de sens », explique Brent Arnold, spécialiste du droit de la cybersécurité et de la protection des données chez Gowlings WLG, à Toronto. 

Les organisations sont aussi censées appliquer d’autres principes de base : ne pas recueillir plus que le nécessaire, ni utiliser l’information recueillie pour des usages ne faisant pas l’objet d’un consentement, et ne rien conserver indéfiniment. 

« On ne garde les choses que le temps requit pour faire ce qui a fait l’objet du consentement », résume M^e Arnold.

Beaucoup d’entreprises ratissent très large dans leurs politiques en matière de vie privée afin d’y inclure l’utilisation des données dans le développement de produits futurs. 

« Est-ce vraiment un consentement si on vous fait acquiescer à des choses qui n’existent même pas encore en rêve, et dont vous ne pouvez pas pleinement imaginer toutes les ramifications? », demande M^e Arnorld.

« C’est une question brûlante d’actualité, et sur laquelle les tribunaux vont devoir se prononcer. »

Quand on commence à introduire les « utilisations futures », la conservation des données peut se poursuivre indéfiniment, ce qui viole un des principes fondamentaux du droit de la vie privée. C’est particulièrement alarmant, considérant que Mozilla n’a pas réussi à établir si un seul des constructeurs automobiles satisfaisait à ses normes de sécurité minimales, ou si ceux-ci chiffraient les données personnelles cryptées dans les véhicules mêmes.

Le rapport souligne l’étrangeté du fait que les applications de rencontre et les accessoires sexuels sont nettement plus transparents quant à la gestion de la sécurité de l’information que les automobiles.

En attendant, 84 % des constructeurs automobiles affirment pouvoir transmettre vos renseignements personnels à des tiers, et 76 % disent être en droit de les vendre.

Au fédéral, c’est la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui vient encadrer les organisations du secteur privé qui collectent ou divulguent des renseignements personnels. Mais elle date de 2000 — bien avant que l’intelligence artificielle et l’infonuagique ne deviennent omniprésentes comme elles le sont aujourd’hui. 

« Le monde était très différent à l’époque, rappelle M^e Power. Personne ne s’inquiétait des géants de la technologie et de leur capacité à amasser l’information personnelle — après tout, il faudrait encore attendre quelques années l’avènement de Facebook. »

Le projet de loi C-27, qui est à l’étude au Parlement, vise à remplacer la LPRPDE par la Loi sur la protection de la vie privée des consommateurs.

C’est une loi qui fait avancer les choses selon Michael Power, mais seulement en marge des questions de consentement et d’anonymisation des données. 

« C’est un petit pas en avant, concède-t-il, mais les droits reconnus aux particuliers ont à peine changé, surtout si on regarde les droits qu’accorde le Règlement général sur la protection des données (RGPD) de l’Union européenne. » 

Qualifié de « loi sur la confidentialité et la sécurité la plus stricte au monde » par l’UE, le RGPD punit les contrevenants par de lourdes amendes — pouvant s’élever à des dizaines de millions d’euros.

« Le système de droit canadien n’a pas encore compris le fait que les géants de la technologie, et la plupart des entreprises voient les données des gens comme une ressource précieuse, et qu’ils veulent s’en emparer. » 

Jusqu’à présent, les commissaires à la protection de la vie privée ne pouvaient pas engager de poursuites de manière autonome : ils pouvaient faire enquête sur une société et signaler les violations de la LPRPDE, mais seul l’État avait le pouvoir d’agir.

S’il est adopté, le projet de loi C-27 habilitera les commissaires à poursuivre les contrevenants, en plus de les doter du pouvoir d’imposer des sanctions concrètes et des amendes considérables. Avec tout ça, M^e Arnold s’attend à ce qu’il s’en fasse davantage pour exécuter et faire appliquer la loi.

Au Québec, la loi 25 va encore plus loin que le projet fédéral; elle prend de la graine du RGPD, et en fait même plus sous certains aspects cruciaux. Les modifications qu’elle apporte à la Loi sur la protection des renseignements personnels dans le secteur privé de la province appliquent le principe de la « protection de la vie privée par défaut », en donnant aux consommateurs un droit automatique à la confidentialité des renseignements personnels détenus par les entreprises privées. Et les amendes en cas de non-respect peuvent aller de 15 000 dollars à 25 millions de dollars.

Si certaines dispositions ont pris effet l’an dernier, des changements majeurs sont entrés en vigueur en septembre qui s’avèrent particulièrement pertinents vu les problèmes relevés par Mozilla.

                                          

Laure Bonnave, qui pratique le droit dans les domaines de la cybersécurité et de la protection des données au cabinet montréalais Clyde & C^ie, indique que les constructeurs automobiles auront désormais l’obligation distincte de ne recueillir des données que pour une fin établie. 

Comme elle l’explique, « le consentement est un mécanisme central de notre législation. C’est une exigence que d’obtenir un consentement clair et éclairé avant de recueillir des données. » 

« Et les constructeurs automobiles devront indiquer clairement ce qu’ils vont collecter, pourquoi, et comment ils vont l’utiliser. » 

Comme la transmission et la vente des données sont une grande problématique, les sociétés automobiles devront aviser les particuliers si leurs renseignements seront divulgués, et aussi mener une évaluation des facteurs relatifs à la vie privée pour établir les risques potentiels de cette divulgation.

Pour ce qui est de la destruction des données recueillies, M^e Bonnave fait observer que les entreprises devront garantir à la clientèle que ses renseignements personnels seront détruits ou anonymisés une fois l’objectif de leur collecte rempli. 

« Elles auront le devoir d’évaluer en continu la légitimité de leurs raisons de conserver les données personnelles dans leurs systèmes. »

Comme elles vont souvent recueillir de l’information sensible, les entreprises devront mettre en place des mesures de sécurité additionnelles pour répondre aux préoccupations actuelles. Et en cas d’incident, l’organe provincial de réglementation de la vie privée pourra vérifier que des mesures de protection étaient bien en place.

En outre, la commission qui régit la protection des renseignements personnels peut désormais rendre des ordonnances qui ont la même force que le jugement d’un tribunal.

M^e Bonnave conclut qu’au vu des constats de Mozilla, il appert que les constructeurs automobiles ne se conforment pas aux nouvelles modalités. Mais étant donné la place que sont en train de prendre l’IA et les nouvelles technologies, elle s’attend à ce que leurs pratiques tombent dans la mire des organes de réglementation. 

Elle renvoie à l’autorité californienne, la California Privacy Protection Agency, qui a récemment annoncé qu’elle examinerait les pratiques des fabricants de véhicules en matière de protection de la vie privée pour savoir comment ceux-ci utilisent les données qu’ils collectent. En vertu du California Consumer Privacy Act (la loi sur la protection des renseignements personnels des consommateurs de l’État californien), les gens ont le droit de savoir quelle information les entreprises vont chercher.

 

« On peut espérer que cet article motivera les autorités de réglementation du Canada à entreprendre leurs propres enquêtes. Et qui sait? Peut-être qu’il en ressortira une nouvelle réglementation qui viendra clairement encadrer le secteur », médite-t-elle. 

M^e Power convient lui aussi que certaines questions fondamentales doivent être posées aux constructeurs automobiles, et qu’elles doivent trouver une réponse. 

« Les gens les mieux placés pour ce faire sont les commissaires à la protection de la vie privée, affirme-t-il, parce ce sont eux qui ont le pouvoir d’interpeller ces entreprises et de leur demander des comptes. »

« La situation mérite très certainement une enquête approfondie. »