Discussion :

[Stéphane le calme]

Les voitures connectées, un danger pour la vie privée selon une étude de Mozilla sur 25 marques de voitures.
Activité sexuelle, poids, origine ethnique, les données sensibles sont collectées et partagées

Les marques de voitures les plus populaires au monde sont un cauchemar pour la vie privée des utilisateurs, collectant et vendant des informations personnelles à l’ère du numérique, selon une étude publiée mercredi par la fondation Mozilla. L’organisation à but non lucratif basée en Californie a passé en revue 25 marques de voitures et a déclaré qu’aucune d’entre elles ne respectait pleinement ses normes en matière de confidentialité et qu’aucune autre catégorie de produits n’avait jamais reçu un aussi mauvais avis, y compris les fabricants de jouets sexuels ou d’applications de santé mentale.

Mauvaise nouvelle : votre voiture est une espionne. Si votre véhicule a été fabriqué au cours des dernières années, vous conduisez probablement dans une machine de collecte de données susceptible de collecter des informations personnelles aussi sensibles que votre origine ethnique, votre poids et votre activité sexuelle.

C’est ce que révèlent les nouvelles découvertes du projet *Privacy Not Included de Mozilla. L’organisation à but non lucratif a constaté que toutes les grandes marques automobiles ne respectent pas les normes de confidentialité et de sécurité les plus élémentaires dans les nouveaux modèles connectés à Internet, et les 25 marques examinées par Mozilla ont échoué au test de l’organisation. Mozilla a découvert que des marques telles que BMW, Ford, Toyota, Tesla et Subaru collectent des données sur les conducteurs, notamment l'origine ethnique, les expressions faciales, le poids, les informations sur la santé et l'endroit où vous conduisez. Certaines des voitures testées ont collecté des données que vous ne vous attendez pas à ce que votre voiture connaisse, notamment des détails sur l'activité sexuelle, l'origine ethnique et le statut d'immigration, selon Mozilla.

Nous avons examiné 25 marques de voitures dans le cadre de notre recherche et nous avons distribué 25 « dings » sur la manière dont ces entreprises collectent et utilisent les données et les informations personnelles. C’est vrai : chaque marque de voiture que nous avons examinée collecte plus de données personnelles que nécessaire et utilise ces informations à des fins autres que l’utilisation de votre véhicule et la gestion de sa relation avec vous. Pour le contexte, 63 % des applications de santé mentale (une autre catégorie de produits qui s'en sort mal en termes de respect de la vie privée) que nous avons examinées cette année ont reçu ce « ding ».

Et les constructeurs automobiles disposent de bien plus d’opportunités de collecte de données que les autres produits et applications que nous utilisons – plus que même les appareils intelligents dans nos maisons ou les téléphones portables que nous emportons partout où nous allons. Ils peuvent collecter des informations personnelles sur la façon dont vous interagissez avec votre voiture, les services connectés que vous utilisez dans votre voiture, l'application de la voiture (qui fournit une passerelle vers les informations sur votre téléphone), et peuvent recueillir encore plus d'informations sur vous à partir de sources tierces comme SiriusXM ou Google Maps. C'est le bordel. Les façons dont les constructeurs automobiles collectent et partagent vos données sont si vastes et compliquées que nous avons écrit un article entier sur la façon dont cela fonctionne. L'essentiel est le suivant : ils peuvent collecter des informations très intimes sur vous - depuis vos informations médicales, vos informations génétiques, jusqu'à votre "vie sexuelle" (sérieusement), jusqu'à la vitesse à laquelle vous conduisez, où vous conduisez et quelles chansons vous jouez dans votre voiture – en quantités énormes. Ils l’utilisent ensuite pour inventer davantage de données sur vous grâce à des « déductions » sur des éléments tels que votre intelligence, vos capacités et vos intérêts.

La plupart des constructeurs de véhicules (84%) partagent vos données

Selon Mozilla, les voitures peuvent collecter au moins certaines de ces informations sur les conducteurs et les passagers à l'aide de capteurs, de microphones, de caméras, de téléphones et d'autres appareils que les gens connectent à leurs voitures connectées au réseau. Et ils collectent encore plus d’informations auprès des applications automobiles – telles que Sirius XM ou Google Maps – ainsi que des concessionnaires et de la télématique des véhicules.

Certaines marques automobiles peuvent alors partager ou vendre ces informations à des tiers. Mozilla a découvert que 21 des 25 constructeurs automobiles examinés déclarent pouvoir partager des informations sur leurs clients avec des fournisseurs de services, des courtiers en données, etc., et 19 sur 25 déclarent pouvoir vendre des données personnelles.

Et certains, comme Nissan, peuvent également utiliser ces données privées pour développer des profils de clients décrivant « les préférences, les caractéristiques, les tendances psychologiques, les prédispositions, le comportement, les attitudes, l'intelligence, les capacités et les aptitudes » des conducteurs. Oui, vous avez bien lu. Selon les chercheurs de Mozilla en matière de protection de la vie privée, Nissan affirme pouvoir déduire votre intelligence, puis vendre cette évaluation à des tiers.

Les autres marques ne s’en sortent pas beaucoup mieux. Volkswagen, par exemple, collecte vos comportements de conduite tels que votre ceinture de sécurité et vos habitudes de freinage et les associe à des détails tels que l'âge et le sexe pour une publicité ciblée. La politique de confidentialité de Kia se réserve le droit de surveiller votre « vie sexuelle » et Mercedes-Benz expédie des voitures avec TikTok préinstallé sur le système d’infodivertissement, une application qui a son propre lot de problèmes de confidentialité.

C’est déjà assez grave pour les sociétés géantes qui possèdent les marques automobiles d’avoir toutes ces informations personnelles en leur possession, pour les utiliser à des fins de recherche, de marketing ou à des « fins commerciales » ultra vagues. Mais la plupart (84 %) des marques automobiles que nous avons étudiées déclarent pouvoir partager vos données personnelles – avec des fournisseurs de services, des courtiers en données et d’autres entreprises que nous connaissons peu ou pas du tout. Pire encore, dix-neuf (76 %) déclarent pouvoir vendre vos données personnelles.

Un nombre surprenant (56 %) déclarent également pouvoir partager vos informations avec le gouvernement ou les forces de l'ordre en réponse à une « demande ». Il ne s’agit pas d’une ordonnance d’un tribunal de grande instance, mais de quelque chose d’aussi simple qu’une « demande informelle ». Aïe, c'est une barre très basse ! Une réécriture de Thelma & Louise en 2023 placerait les dames en détention avant que vous ayez eu la chance de manger votre pop-corn. Mais sérieusement, la volonté des constructeurs automobiles de partager vos données est plus qu'effrayante. Cela a le potentiel de causer de réels dommages et a inspiré nos pires cauchemars en matière de voitures et de vie privée.

Et gardez à l’esprit que nous ne savons ce que les entreprises font avec les données personnelles qu’en raison des lois sur la confidentialité qui interdisent de ne pas divulguer ces informations (allez au California Consumer Privacy Act !). Les données dites anonymisées et agrégées peuvent être (et sont probablement) également partagées avec les centres de données des véhicules (les courtiers en données de l'industrie automobile) et d'autres. Ainsi, pendant que vous vous déplacez d’un point A à un point B, vous financez également l’activité parallèle florissante de votre voiture dans le secteur des données de plusieurs manières.

Quelques faits pas si amusants sur ces classements listés par Mozilla

• Tesla n'est que le deuxième produit que nous ayons jamais examiné à recevoir toutes nos critiques en matière de confidentialité. (Le premier était un chatbot IA que nous avons examiné plus tôt cette année.) Ce qui les distinguait, c'était de gagner le label « IA non fiable ». Autopilot alimenté par l’IA de la marque aurait été impliqué dans 17 décès et 736 accidents et fait actuellement l’objet de plusieurs enquêtes gouvernementales.
• Nissan a gagné son avant-dernière place en collectant certaines des catégories de données les plus effrayantes que nous ayons jamais vues. Cela vaut la peine de lire la critique dans son intégralité, mais sachez qu’elle inclut votre « activité sexuelle ». Pour ne pas être en reste, Kia mentionne également qu'elle peut collecter des informations sur votre « vie sexuelle » dans sa politique de confidentialité. Oh, et six constructeurs automobiles affirment qu'ils peuvent collecter vos « informations génétiques » ou vos « caractéristiques génétiques ». Oui, lire les politiques de confidentialité des voitures est une entreprise effrayante.
• Aucune des marques automobiles n'utilise un langage qui répond aux normes de confidentialité de Mozilla concernant le partage d'informations avec le gouvernement ou les forces de l'ordre, mais Hyundai va au-delà. Dans leur politique de confidentialité, il est indiqué qu’ils se conformeront aux « demandes légales, qu’elles soient formelles ou informelles ». C’est un sérieux signal d’alarme.
• Toutes les marques automobiles de cette liste, à l'exception de Tesla, Renault et Dacia, ont adhéré à une liste de principes de protection des consommateurs du groupe américain de l'industrie automobile ALLIANCE FOR AUTOMOTIVE INNOVATION, INC. Cette liste inclut minimisation », « transparence » et « choix ». Mais combien de marques automobiles suivent ces principes ? Zéro. C’est intéressant, ne serait-ce que parce que cela signifie que les constructeurs automobiles savent clairement ce qu’ils doivent faire pour respecter votre vie privée, même s’ils ne le font absolument pas.

Nissan, selon l'étude, est « probablement le pire constructeur automobile que nous ayons examiné, et cela en dit long, car tous les constructeurs automobiles sont vraiment mauvais en matière de confidentialité ». « S'il vous plaît, si vous vous souciez ne serait-ce qu'un peu de la vie privée, restez aussi loin que possible des voitures, des applications et des services connectés de Nissan », poursuit-elle.

Selon l'avis de confidentialité de Nissan USA, le constructeur automobile peut collecter et partager une tonne de données à des fins de marketing ciblées, notamment :

Des informations personnelles sensibles, notamment le numéro de permis de conduire, le numéro d'identification national ou d'État, le statut de citoyenneté, le statut d'immigration, l'origine ethnique, l'origine nationale, les croyances religieuses ou philosophiques, l'orientation sexuelle, l'activité sexuelle, la géolocalisation précise, les données de diagnostic de santé et les informations génétiques.

La réaction de certains constructeurs

Les constructeurs ont réagi à l'étude de Mozilla. BMW par exemple a déclaré :

Par souci de transparence, BMW NA fournit à nos clients des avis complets sur la confidentialité des données concernant la collecte de leurs informations personnelles. Pour un contrôle individuel, BMW NA permet aux conducteurs de véhicules de faire des choix précis concernant la collecte et le traitement de leurs informations personnelles. Nous nous conformons volontairement aux demandes de confidentialité des données d'un client (par exemple, demande d'accès, de suppression, de correction) même dans les États où nous ne sommes pas tenus de le faire. De plus, nous permettons à nos clients de supprimer leurs données que ce soit sur leurs applications, leurs véhicules ou en ligne.

BMW NA ne vend pas les informations personnelles de nos clients à bord du véhicule.

BMW NA offre à nos clients la possibilité de se désinscrire de la publicité comportementale ciblée BMW sur Internet. En ce qui concerne la sécurité des données, nous prenons des mesures complètes pour protéger les données de nos clients. Veuillez comprendre que nous ne pouvons pas commenter davantage sans avoir vu l'enquête ou ses résultats.

Mais la Fondation Mozilla a également dénoncé le consentement, le considérant comme un problème que certains constructeurs automobiles ont placé dans un angle mort.

Tesla, par exemple, semble donner aux utilisateurs le choix entre protéger leurs données ou protéger leur voiture. Sa politique de confidentialité permet aux utilisateurs de se désinscrire de la collecte de données, mais, comme le souligne Mozilla, Tesla avertit ses clients : « Si vous choisissez de vous désinscrire de la collecte de données sur le véhicule (à l'exception des préférences de partage de données dans la voiture), nous ne serons plus en mesure de vous connaître ou de vous informer des problèmes applicables à votre véhicule en temps réel. Cela peut entraîner une fonctionnalité réduite, des dommages graves ou une inopérabilité de votre véhicule.

Source : Mozilla

Et vous ?

Quelle lecture faites-vous de ce rapport de Mozilla ? Êtes-vous surpris ?
Que pensez-vous de la collecte et de la vente des données personnelles des utilisateurs par les marques de voitures ?
Quels sont les risques et les bénéfices potentiels de cette pratique pour les conducteurs, les constructeurs automobiles et la société en général ?
Quelles mesures devraient être prises pour protéger la vie privée et la sécurité des utilisateurs de voitures connectées ?
Quel est le rôle des gouvernements et des régulateurs dans ce domaine ?
Quelles sont vos expériences personnelles avec les voitures connectées ? Avez-vous déjà eu des problèmes ou des avantages liés à vos données ?

[denisys]

Les voitures connectées, un danger pour la vie privée selon une étude de Mozilla sur 25 marques de voitures.

Quand Mozilla , seras capable de développer une application ,qui fonctionne .
Mozilla , pourras ce permettre de critiquer les autres !!
Mozilla Firefox.
Mozilla Thunderbird.
= big bug sur debian 10 !!
pour info ..
Opéra dernière version installable = OK
Même sur windows XP
pas => Mozilla Firefox !!
Que Mozilla , consacre son temps a debuger ces applications ,
plutôt que de cracher sur les applications des autres ,
en montrant du doigt ce qu'ils considères être un mal ,
tous en cachant la misère de leurs applications sous leur tapis !!

[urumaru]

Quand Mozilla , seras capable de développer une application ,qui fonctionne .
Mozilla , pourras ce permettre de critiquer les autres !!
Mozilla Firefox.
Mozilla Thunderbird.
= big bug sur debian 10 !!
pour info ..
Opéra dernière version installable = OK
Même sur windows XP
pas => Mozilla Firefox !!
Que Mozilla , consacre son temps a debuger ces applications ,
plutôt que de cracher sur les applications des autres ,
en montrant du doigt ce qu'ils considères être un mal ,
tous en cachant la misère de leurs applications sous leur tapis !!

Pas tout mélanger SVP ne pas faire d'amalgame entre collecte sauvage de données personnelles qui est le sujet et qualité d'application...

et faites un effort d'écriture car c'est presque "charabiesque", mais si vous vous comprenez, tant mieux, mais si vous écrivez c'est que vous souhaitez faire passer un message.

pour ma part, aucun soucis de stabilité avec Firefox sous windows 10 et 11.

pour finir, Firefox est le meilleur navigateur pour résister au fingerprinting, et la c'est bien le sujet, à savoir la collecte de données personnelles.

[cdubet]

Pour la genetique je vois pas comment ils peuvent faire. Pour la vie sexuelle, a moins d utiliser sa voiture comme lit, c est aussi compliqué.
Mais c est clair que c est quand meme impressionnant cette tendance a espionner les gens. Et comme je suppose que al voiture se connecte par elle meme a internet (elle doit avoir une SIM) on peut vraiment rien faire a part acheter une voiture ancienne

PS: le plus amusant ca va etre quand la police et les assureurs vont en prendre conscience de ces donnees -> PC automatique pour exces de vitesse (police) ou refus de remboursement meme si vous n estes pas en tort (ah oui, l autre a grille un feu mais vous rouliez trop vite monsieur)

[Pyramidev]

on peut vraiment rien faire a part acheter une voiture ancienne

Les anciennes voitures sont interdites dans les ZFE.

[Bruno]

Les pratiques des constructeurs automobiles en matière de confidentialité des données sont « inacceptables »,
déclare un sénateur américain

Le sénateur américain Edward Markey a critiqué vivement les pratiques de confidentialité des données des constructeurs automobiles, les qualifiant d' « inacceptables ». Il a écrit à 14 grandes entreprises du secteur, leur posant une série de questions pointues sur leurs politiques de confidentialité des données. La Fondation Mozilla avait déjà souligné en septembre les problèmes liés à la collecte excessive de données personnelles par les constructeurs, ainsi qu'à leur propension à les vendre ou les partager avec des tiers. Les constructeurs ont jusqu'au 21 décembre pour répondre à des interrogations détaillées, portant notamment sur l'utilisation des données, les sources de collecte, la vente à des tiers, les procédures de consentement, les mesures de sécurité et les éventuelles collaborations avec les forces de l'ordre.

Les voitures devenant de plus en plus des ordinateurs high-tech sur roues, elles produisent de grandes quantités de données sur les conducteurs, les passagers, les piétons et les autres automobilistes, ce qui peut entraîner de graves violations de la vie privée. Ces données peuvent révéler des informations personnelles sensibles, notamment l'historique de la localisation et le comportement au volant, et peuvent aider les courtiers en données à établir des profils détaillés des utilisateurs.

En fait, un rapport récent de Mozilla a révélé une collecte de données sans entrave et des intrusions dans la vie privée dans de vastes secteurs de l'industrie automobile. « Ces pratiques commerciales doivent cesser. À la lumière de ces rapports préoccupants, je vous écris pour vous demander des informations supplémentaires sur les politiques de votre entreprise en matière de collecte, d'utilisation et de divulgation des données. Je demande également à votre entreprise de mettre en œuvre et d'appliquer des protections solides de la vie privée pour les consommateurs afin de garantir que les voitures ne deviennent pas un autre domaine critique où la vie privée est en train de disparaître », a déclaré Edward Markey.

Les progrès de la technologie automobile peuvent apporter de nouveaux avantages, mais comme chaque composant d'un véhicule - du volant aux sièges - devient de plus en plus informatisé, ces innovations permettent aux constructeurs automobiles de collecter et de transmettre de grandes quantités de données sur les conducteurs, les passagers et même les personnes à l'extérieur du véhicule.

Aujourd'hui, les voitures sont effectivement devenues des smartphones sur roues. Les constructeurs automobiles, les concessionnaires, les développeurs de technologies automobiles et d'autres entités s'appuient sur un nombre croissant de capteurs et de dispositifs pour produire et collecter des tonnes de données. Les dispositifs télématiques et les services de localisation suivent le comportement de conduite des utilisateurs et leur localisation en temps réel.

Les nouvelles technologies peuvent détecter les mouvements oculaires des conducteurs et même leur rythme cardiaque, ce qui pourrait permettre à des tiers de collecter des données sur leur santé physique et mentale. Les constructeurs automobiles et les développeurs de technologies peuvent avoir accès à des données. En combinant les données collectées à partir du véhicule avec des informations provenant de sources tierces, telles que l'historique de navigation d'un utilisateur ou son profil dans les médias sociaux, les courtiers en données peuvent développer un profil approfondi du conducteur et faire des déductions sur presque tous les aspects de la vie d'un utilisateur.

Cette combinaison de sources de données crée des risques importants pour la vie privée des conducteurs, des passagers et du public. Les constructeurs automobiles et les courtiers en données peuvent ensuite tirer profit de ces données de différentes manières. Un constructeur a par exemple proposé de relier les véhicules à l'organisme de prêt de l'utilisateur, à une agence de reprise de possession et aux autorités policières. Cette mesure permettrait au constructeur d'appliquer une série de sanctions croissantes - allant de la perte du contrôle des vitres et de la climatisation à la possibilité d'enfermer le conducteur hors de la voiture ou même de diriger la voiture vers une fourrière - si le conducteur n'a pas payé sa voiture.

Dans le passé, les constructeurs automobiles se contentaient de vendre des véhicules et d'encaisser les paiements - et peut-être de recevoir des paiements d'entretien supplémentaires à l'avenir - mais la collecte de données d'aujourd'hui crée une nouvelle source lucrative de revenus récurrents. Pour cette raison, les constructeurs automobiles seraient fortement incités à continuer à collecter de grandes quantités de données auprès du public. Plus inquiétant encore, alors que les constructeurs automobiles ont étendu leurs pratiques de collecte de données, les consommateurs ont été largement laissés dans l'ignorance.

Les constructeurs automobiles épinglés par Mozilla pour leurs pratiques de confidentialité des données

En septembre, Mozilla a publié plusieurs rapports basés sur l'examen des politiques de confidentialité de 25 marques automobiles. Les résultats sont alarmants : les 25 marques - réparties entre 15 constructeurs automobiles différents - ne respectent pas les normes minimales de Mozilla en matière de protection de la vie privée et de sécurité, la plupart d'entre elles recevant des notes insuffisantes dans les catégories de l'utilisation des données, du contrôle des données, de l'historique des violations de données et de la sécurité. « Les voitures sont la pire catégorie de produits que nous ayons jamais examinée en matière de protection de la vie privée », déclare Mozilla.

En fait, Mozilla a constaté que les 25 marques collectent plus de données personnelles que nécessaire pour fournir leurs services aux clients, que la plupart d'entre elles partagent (84 %) ou même vendent (76 %) les données des clients, et que les marques ne donnent pas aux conducteurs le droit de supprimer leurs données personnelles (92 %). Enfin, en raison notamment de l'absence de politique de protection de la vie privée de l'industrie automobile, les consommateurs ont été largement laissés dans l'ignorance.

Si les chercheurs de Mozilla ont eu du mal à comprendre ces politiques de confidentialité, les consommateurs - qui lisent rarement ces politiques et ne disposent pas de l'expertise des chercheurs en matière de protection de la vie privée - sont certainement encore plus désorientés. Pour le sénateur américain Edward Markey, ces pratiques sont inacceptables.

Bien que certaines pratiques de collecte et de partage de données puissent présenter des avantages réels, les consommateurs ne devraient pas être soumis à un appareil de collecte massive de données, dont les informations sont dissimulées dans des politiques de confidentialité longues de plusieurs pages et remplies de jargon juridique.

Si vous ne souhaitez plus que nous collections les données du véhicule ou toute autre donnée de votre véhicule Tesla, veuillez nous contacter pour désactiver la connectivité. Veuillez noter que certaines fonctions avancées telles que les mises à jour en direct, les services à distance et l'interactivité avec les applications mobiles et les fonctions embarquées telles que la recherche d'emplacement, la radio Internet, les commandes vocales et la fonctionnalité du navigateur web reposent sur cette connectivité. Si vous choisissez de ne pas collecter les données relatives à votre véhicule (à l'exception des préférences en matière de partage des données), nous ne serons pas en mesure de connaître ou de vous informer en temps réel des problèmes liés à votre véhicule. Votre véhicule pourrait alors souffrir d'une fonctionnalité réduite, de dommages graves ou d'une incapacité à fonctionner.

Ce que est souligné, c'est l'injustice de faire porter aux consommateurs le fardeau de prendre des « meilleures décisions » qui, dans ce contexte, seraient tout simplement impossibles. « Nous ne souhaitons pas adopter l'approche des constructeurs automobiles en vous imposant des actions que personne de sensé ne ferait jamais, comme réciter une politique de confidentialité interminable de 9 461 mots à chaque personne qui ouvre la portière de sa voiture, indique Mozilla. Vous contribuez déjà à faire passer le message en consultant nos recherches, et nous espérons que cette sensibilisation incitera d'autres individus à tenir les constructeurs automobiles responsables de leurs pratiques de protection de la vie privée déplorables. »

L'initiative du sénateur américain Edward Markey de critiquer sévèrement les pratiques de confidentialité des données des constructeurs automobiles est louable et nécessaire dans un contexte où la collecte massive de données personnelles devient monnaie courante. La qualification de ces pratiques comme « inacceptables » souligne l'urgence de réglementer et de surveiller de près la manière dont l'industrie automobile gère les informations sensibles des utilisateurs.

L'envoi de lettres aux 14 grandes entreprises du secteur, accompagné de questions précises sur leurs politiques de confidentialité des données, démontre une volonté d'obtenir des réponses tangibles et de pousser à une plus grande transparence. La Fondation Mozilla, déjà active dans la mise en lumière des problèmes liés à la collecte excessive et à la commercialisation des données, apporte un soutien substantiel à cette démarche en soulignant les risques potentiels pour la vie privée des individus.

La date limite du 21 décembre pour les réponses des constructeurs met en évidence l'importance accordée à une action rapide et à des améliorations significatives dans les pratiques de confidentialité des données. Les questions adressées couvrent un large éventail de sujets, allant de l'utilisation des données à la collaboration avec les forces de l'ordre, montrant ainsi une approche holistique pour évaluer les politiques en vigueur.

In finé, cette critique du sénateur Markey et l'intervention de la Fondation Mozilla mettent en lumière l'impératif de réglementer efficacement la manière dont les constructeurs automobiles traitent les données personnelles. Il est essentiel d'encourager une responsabilité accrue de la part de l'industrie et d'assurer la protection des droits à la vie privée des consommateurs, tout en favorisant une plus grande transparence et un contrôle accru sur la collecte et l'utilisation des données.

Sources : Message from US Senator Edward Markey, Mozilla

Et vous ?

Les critiques du sénateur américain Edward Markey sont-elles pertinentes ?

Quels peuvent être les risques potentiels pour la vie privée et la sécurité des utilisateurs de véhicules connectés qui collectent et partagent leurs données personnelles ?

Quels sont les droits et les recours des utilisateurs de véhicules connectés en cas de violation ou de mauvaise utilisation de leurs données personnelles ?

Voir aussi :

Les voitures connectées, un danger pour la vie privée selon une étude de Mozilla sur 25 marques de voitures. Activité sexuelle, poids, les données sensibles sont collectées et partagées

Mozilla lance son "Creep-o-Meter" annuel sur la protection de la vie privée. Statut de cette année : "très effrayant"

[Patrick Ruiz]

Votre voiture est une espionne et les partenaires abusifs peuvent s’en servir pour vous traquer, d’après des études
Qui lancent un débat sur nos responsabilités d’utilisateurs à l’ère de l’IoT

Les voitures modernes sont des ordinateurs sur roues connectés à Internet. Pour cette raison, ils n’échappent pas aux tendances en matière d’Internet des objets : collecte massive des données, dangers pour la vie privée, etc. Depuis les caméras intégrées à ces véhicules jusqu’au capteurs de poids des sièges, tout est utile au sein de ces derniers pour amasser des données sensibles. Le tableau ravive le débat sur nos responsabilités d’utilisateurs à l’ère de l’Internet des objets annoncé par certains experts depuis plusieurs années comme Internet des menaces.

Une récente étude de Mozilla révèle l’ampleur de la collecte des données au sein de ces véhicules

L’organisation à but non lucratif a constaté que toutes les grandes marques automobiles ne respectent pas les normes de confidentialité et de sécurité les plus élémentaires dans les nouveaux modèles connectés à Internet, et les 25 marques examinées par Mozilla ont échoué au test de l’organisation. Mozilla a découvert que des marques telles que BMW, Ford, Toyota, Tesla et Subaru collectent des données sur les conducteurs, notamment l'origine ethnique, les expressions faciales, le poids, les informations sur la santé et l'endroit où l’on conduit. Certaines des voitures testées collectent même des détails sur l'activité sexuelle, l'origine ethnique et le statut d'immigration, selon Mozilla.

« Nous avons examiné 25 marques de voitures dans le cadre de notre recherche et nous avons distribué 25 « dings » sur la manière dont ces entreprises collectent et utilisent les données et les informations personnelles. C’est vrai : chaque marque de voiture que nous avons examinée collecte plus de données personnelles que nécessaire et utilise ces informations à des fins autres que l’utilisation de votre véhicule et la gestion de sa relation avec vous. Pour le contexte, 63 % des applications de santé mentale (une autre catégorie de produits qui s'en sort mal en termes de respect de la vie privée) que nous avons examinées cette année ont reçu ce « ding ».

Et les constructeurs automobiles disposent de bien plus d’opportunités de collecte de données que les autres produits et applications que nous utilisons – plus que même les appareils intelligents dans nos maisons ou les téléphones portables que nous emportons partout où nous allons. Ils peuvent collecter des informations personnelles sur la façon dont vous interagissez avec votre voiture, les services connectés que vous utilisez dans votre voiture, l'application de la voiture (qui fournit une passerelle vers les informations sur votre téléphone), et peuvent recueillir encore plus d'informations sur vous à partir de sources tierces comme SiriusXM ou Google Maps. C'est le bordel. Les façons dont les constructeurs automobiles collectent et partagent vos données sont si vastes et compliquées que nous avons écrit un article entier sur la façon dont cela fonctionne. L'essentiel est le suivant : ils peuvent collecter des informations très intimes sur vous - depuis vos informations médicales, vos informations génétiques, jusqu'à votre "vie sexuelle" (sérieusement), jusqu'à la vitesse à laquelle vous conduisez, où vous conduisez et quelles chansons vous jouez dans votre voiture – en quantités énormes. Ils l’utilisent ensuite pour inventer davantage de données sur vous grâce à des « déductions » sur des éléments tels que votre intelligence, vos capacités et vos intérêts », déclare Mozilla.

Selon Mozilla, les voitures peuvent collecter au moins certaines de ces informations sur les conducteurs et les passagers à l'aide de capteurs, de microphones, de caméras, de téléphones et d'autres appareils que les gens connectent à leurs voitures connectées au réseau. Et ils collectent encore plus d’informations auprès des applications automobiles – telles que Sirius XM ou Google Maps – ainsi que des concessionnaires et de la télématique des véhicules.

Certaines marques automobiles peuvent alors partager ou vendre ces informations à des tiers. Mozilla a découvert que 21 des 25 constructeurs automobiles examinés déclarent pouvoir partager des informations sur leurs clients avec des fournisseurs de services, des courtiers en données, etc., et 19 sur 25 déclarent pouvoir vendre des données personnelles.

Et certains, comme Nissan, peuvent également utiliser ces données privées pour développer des profils de clients décrivant « les préférences, les caractéristiques, les tendances psychologiques, les prédispositions, le comportement, les attitudes, l'intelligence, les capacités et les aptitudes » des conducteurs. Oui, vous avez bien lu. Selon les chercheurs de Mozilla en matière de protection de la vie privée, Nissan affirme pouvoir déduire votre intelligence, puis vendre cette évaluation à des tiers.

Les autres marques ne s’en sortent pas beaucoup mieux. Volkswagen, par exemple, collecte vos comportements de conduite tels que votre ceinture de sécurité et vos habitudes de freinage et les associe à des détails tels que l'âge et le sexe pour une publicité ciblée. La politique de confidentialité de Kia se réserve le droit de surveiller votre « vie sexuelle » et Mercedes-Benz expédie des voitures avec TikTok préinstallé sur le système d’infodivertissement, une application qui a son propre lot de problèmes de confidentialité.

« C’est déjà assez grave pour les sociétés géantes qui possèdent les marques automobiles d’avoir toutes ces informations personnelles en leur possession, pour les utiliser à des fins de recherche, de marketing ou à des « fins commerciales » ultra vagues. Mais la plupart (84 %) des marques automobiles que nous avons étudiées déclarent pouvoir partager vos données personnelles – avec des fournisseurs de services, des courtiers en données et d’autres entreprises que nous connaissons peu ou pas du tout. Pire encore, dix-neuf (76 %) déclarent pouvoir vendre vos données personnelles.

Un nombre surprenant (56 %) déclarent également pouvoir partager vos informations avec le gouvernement ou les forces de l'ordre en réponse à une « demande ». Il ne s’agit pas d’une ordonnance d’un tribunal de grande instance, mais de quelque chose d’aussi simple qu’une « demande informelle ». Aïe, c'est une barre très basse ! Une réécriture de Thelma & Louise en 2023 placerait les dames en détention avant que vous ayez eu la chance de manger votre pop-corn. Mais sérieusement, la volonté des constructeurs automobiles de partager vos données est plus qu'effrayante. Cela a le potentiel de causer de réels dommages et a inspiré nos pires cauchemars en matière de voitures et de vie privée.

Et gardez à l’esprit que nous ne savons ce que les entreprises font avec les données personnelles qu’en raison des lois sur la confidentialité qui interdisent de ne pas divulguer ces informations (allez au California Consumer Privacy Act !). Les données dites anonymisées et agrégées peuvent être (et sont probablement) également partagées avec les centres de données des véhicules (les courtiers en données de l'industrie automobile) et d'autres. Ainsi, pendant que vous vous déplacez d’un point A à un point B, vous financez également l’activité parallèle florissante de votre voiture dans le secteur des données de plusieurs manières », ajoute Mozilla.

L’étude de Mozilla arrive dans un contexte où des sociétés de marketing confirment qu’elles écoutent les appareils connectés à Internet pour du ciblage publicitaire

En effet, CMG s’est vanté de sa capacité à identifier les « conversations pertinentes via les smartphones, les téléviseurs intelligents et d'autres appareils » en mettant à contribution l’intelligence artificielle pour permettre aux entreprises locales de cibler leurs publicités sur ces personnes. Néanmoins, dans une société où certains experts en sécurité informatique ont déjà prévenu que l’Internet des objets pourrait devenir l’Internet des menaces, la sortie de la société de marketing n’a pas manqué de susciter étonnement et indignation.

Prendre au maximum connaissance des conditions d’utilisation des produits relève de la responsabilité des utilisateurs

Surtout que certains constructeurs disent jouer la carte de la transparence avec les clients.

« Par souci de transparence, BMW NA fournit à nos clients des avis complets sur la confidentialité des données concernant la collecte de leurs informations personnelles. Pour un contrôle individuel, BMW NA permet aux conducteurs de véhicules de faire des choix précis concernant la collecte et le traitement de leurs informations personnelles. Nous nous conformons volontairement aux demandes de confidentialité des données d'un client (par exemple, demande d'accès, de suppression, de correction) même dans les États où nous ne sommes pas tenus de le faire. De plus, nous permettons à nos clients de supprimer leurs données que ce soit sur leurs applications, leurs véhicules ou en ligne.

BMW NA ne vend pas les informations personnelles de nos clients à bord du véhicule.

BMW NA offre à nos clients la possibilité de se désinscrire de la publicité comportementale ciblée BMW sur Internet. En ce qui concerne la sécurité des données, nous prenons des mesures complètes pour protéger les données de nos clients. Veuillez comprendre que nous ne pouvons pas commenter davantage sans avoir vu l'enquête ou ses résultats », déclare BMW en réponse à l’enquête de Mozilla.

Mais le fait est que les utilisateurs n’en prennent pas connaissance.

Selon Statista, environ 97 % des personnes âgées de 18 à 34 ans ne lisent pas ces conditions. Néanmoins, la raison de cette situation a peut-être moins à voir avec la paresse qu'avec la longueur de ces documents.

Il faut souvent beaucoup de temps pour parcourir l'ensemble du document. L'une des conditions générales les plus courtes appartient à Instagram, et elle contient 2451 mots au total. À une vitesse de lecture moyenne d'environ 240 mots par minute, il faudrait à un internaute environ dix minutes pour parcourir l'ensemble du document. Ce n'est pas beaucoup, mais cela peut le paraître lorsqu’on essaie simplement de créer un compte sur le réseau social.

De plus, Instagram est un peu une exception à cet égard. Facebook, par exemple, a une page de conditions générales d'environ 4100 mots, ce qui prendrait au moins dix-sept minutes à lire à une vitesse de lecture moyenne. C'est beaucoup de temps à passer sur un tel document, mais une fois encore, il s'agit d'une valeur basse, car de nombreuses autres entreprises exigent des temps de lecture beaucoup plus longs.

Le pire exemple en la matière est sans doute Microsoft. L'entreprise possède une page de conditions générales absolument gigantesque qui contient plus de 15 000 mots, soit la taille d'un petit roman. Il faudrait bien plus d'une heure pour lire ces conditions générales, et il est inutile de préciser que personne n'a l'intention de passer une heure à faire quelque chose de ce genre.

Réduire la surface d’intrusion des entreprises ne relève-t-il pas de notre responsabilité en tant qu’utilisateurs ?

A l’ère du tout connecté, un véhicule pose les mêmes soucis en lien avec la collecte des données et la vie privée qu’un smartphone. C’est donc à l’utilisateur d’aller de plus en plus à la recherche de solutions susceptibles de diminuer son empreinte numérique via ces appareils. De solutions sont disponibles pour l’atteinte de cet objectif.

On a par exemple beaucoup parlé des smartphones Linux orientés sécurité et vie privée. On peut en sus citer le Murena One X2. Il s'agit du premier téléphone Android haut de gamme utilisant la bifurcation open-source /e/OS Android à être commercialisé. Le cœur de la confidentialité du Murena One est /e/OS V1. /e/ est un système d’exploitation open source basé sur Android, exempt des produits Google et doté de ses propres services Web (non obligatoires), créé par le développeur de logiciels français et fondateur de la distribution Linux Mandrake, Gaël Duval. Grosso modo, le contexte impose aux utilisateurs de produits et services en ligne de s’intéresser aux solutions respectueuses de leur vie privée.

Et à cet effet, le dépôt GitHub Awesome Privacy liste une panoplie d’alternatives gratuites et open source. « Lorsque vous utilisez des services d'IA dans le nuage, les données que vous saisissez sont souvent collectées et stockées par le fournisseur de services. Il peut s'agir non seulement du contenu de vos demandes, mais aussi de métadonnées, telles que les horodatages ou les adresses IP. Les serveurs tiers peuvent donner accès à vos données à leurs employés, partenaires ou même à d'autres utilisateurs, en fonction de leur politique de confidentialité. Les données peuvent être utilisées à diverses fins, notamment pour la formation des modèles, la recherche ou même les activités de marketing. Vos demandes auprès d'un service d'IA tiers peuvent être liées à vos informations d'utilisateur et à vos détails de paiement, ce qui permet de relier vos données à votre identité », indiquent les mainteneurs qui proposent donc des alternatives au cas par cas.

Sources : Mozilla, Awesome privacy

Et vous ?

Partagez-vous l’avis selon lequel de telles approches ne devraient plus surprendre dans une société du « tout connecté » comme la nôtre et qu’il est de la responsabilité des utilisateurs de s’en prémunir ? Ou êtes-vous d’avis que c’est à la loi d’imposer certaines normes en la matière ?
Quelles sont les dispositions que vous prenez de façon quotidienne pour vous prémunir ou pour réduire la surface de ce pistage en ligne ?

Voir aussi :

Amazon déploie Alexa dans les hôtels, l'assistant numérique permet de commander le service de chambre ou de contrôler les dispositifs connectés
Le chiffre d'affaires d'Amazon pour l'ensemble de l'année 2021 a augmenté de 22*% pour atteindre 469,8 milliards de dollars, malgré le passage des clients au multicloud
Des attaquants pourraient forcer les haut-parleurs connectés Amazon Echo à déverrouiller des portes, passer des appels téléphoniques, effectuer des achats non autorisés, selon des chercheurs
Amazon aurait choisi « d'entraîner » l'assistant numérique Alexa par des prestataires à leur insu. Ils devaient poser des questions dans une pièce remplie de prototypes d'Amazon Echo cachés

[totozor]

Partagez-vous l’avis selon lequel de telles approches ne devraient plus surprendre dans une société du « tout connecté » comme la nôtre et qu’il est de la responsabilité des utilisateurs de s’en prémunir ? Ou êtes-vous d’avis que c’est à la loi d’imposer certaines normes en la matière ?

L'approche n'est pas si surprenante quand on s'intéresse à la culture de la donnée des entreprises mais ça reste scandaleux :
1. Nous ne signons pas ces conditions en connaissance de cause. Elles sont noyées dans un roman rédigé dans un langage législatif que nous ne savons pas lire.
2. Si je lis une partie qui me semble louche, le vendeur me dira de bonne foi qu'il ne parle pas de mon poids ou de ma couleur mais de données permettant d'optimiser les entretiens etc. Et il le fait de bonne foi parce qu'il n'est pas plus au courant que moi de cette approche.
3. J'attends ma voiture depuis 6 mois, je suis à 30 minutes de la conduire. Est ce que je vais vraiment négocier des lignes pas claires de conditions d'utilisation?

Quelles sont les dispositions que vous prenez de façon quotidienne pour vous prémunir ou pour réduire la surface de ce pistage en ligne ?

En voiture, assez peu de choses.
Je ne crois pas que ma voiture soit connectée à internet (et si c'est le cas pourquoi mon GPS a une carte pas à jour?).
Je peux connecter mon GSM à ma voiture mais je le fais le plus rarement possible, quand je vais chez mes parents (ils pourraient m'appeler pour qu'on se retrouve autre part que chez eux parce que mes grands parents deviennent vraiment vieux)

[smarties]

Plus les voitures seront connectées, plus l’obsolescence programmée sera apparente : cartes GPS, connectique avec les smartphones.

Vu la difficulté à s'approvisionner, ne vaudrait-il pas y avoir moins d'électronique.

Quand on voit aussi des bandeaux LED qui font toute la largeur de la voiture et que le remplacer en cas d'accident coûte 8000€, les constructeurs se font plaisirs en pièce détachées, en entretien et vente de données personnelles.