Discussion :

[Stéphane le calme]

Les voitures connectées, un danger pour la vie privée selon une étude de Mozilla sur 25 marques de voitures.
Activité sexuelle, poids, origine ethnique, les données sensibles sont collectées et partagées

Les marques de voitures les plus populaires au monde sont un cauchemar pour la vie privée des utilisateurs, collectant et vendant des informations personnelles à l’ère du numérique, selon une étude publiée mercredi par la fondation Mozilla. L’organisation à but non lucratif basée en Californie a passé en revue 25 marques de voitures et a déclaré qu’aucune d’entre elles ne respectait pleinement ses normes en matière de confidentialité et qu’aucune autre catégorie de produits n’avait jamais reçu un aussi mauvais avis, y compris les fabricants de jouets sexuels ou d’applications de santé mentale.

Mauvaise nouvelle : votre voiture est une espionne. Si votre véhicule a été fabriqué au cours des dernières années, vous conduisez probablement dans une machine de collecte de données susceptible de collecter des informations personnelles aussi sensibles que votre origine ethnique, votre poids et votre activité sexuelle.

C’est ce que révèlent les nouvelles découvertes du projet *Privacy Not Included de Mozilla. L’organisation à but non lucratif a constaté que toutes les grandes marques automobiles ne respectent pas les normes de confidentialité et de sécurité les plus élémentaires dans les nouveaux modèles connectés à Internet, et les 25 marques examinées par Mozilla ont échoué au test de l’organisation. Mozilla a découvert que des marques telles que BMW, Ford, Toyota, Tesla et Subaru collectent des données sur les conducteurs, notamment l'origine ethnique, les expressions faciales, le poids, les informations sur la santé et l'endroit où vous conduisez. Certaines des voitures testées ont collecté des données que vous ne vous attendez pas à ce que votre voiture connaisse, notamment des détails sur l'activité sexuelle, l'origine ethnique et le statut d'immigration, selon Mozilla.

Nous avons examiné 25 marques de voitures dans le cadre de notre recherche et nous avons distribué 25 « dings » sur la manière dont ces entreprises collectent et utilisent les données et les informations personnelles. C’est vrai : chaque marque de voiture que nous avons examinée collecte plus de données personnelles que nécessaire et utilise ces informations à des fins autres que l’utilisation de votre véhicule et la gestion de sa relation avec vous. Pour le contexte, 63 % des applications de santé mentale (une autre catégorie de produits qui s'en sort mal en termes de respect de la vie privée) que nous avons examinées cette année ont reçu ce « ding ».

Et les constructeurs automobiles disposent de bien plus d’opportunités de collecte de données que les autres produits et applications que nous utilisons – plus que même les appareils intelligents dans nos maisons ou les téléphones portables que nous emportons partout où nous allons. Ils peuvent collecter des informations personnelles sur la façon dont vous interagissez avec votre voiture, les services connectés que vous utilisez dans votre voiture, l'application de la voiture (qui fournit une passerelle vers les informations sur votre téléphone), et peuvent recueillir encore plus d'informations sur vous à partir de sources tierces comme SiriusXM ou Google Maps. C'est le bordel. Les façons dont les constructeurs automobiles collectent et partagent vos données sont si vastes et compliquées que nous avons écrit un article entier sur la façon dont cela fonctionne. L'essentiel est le suivant : ils peuvent collecter des informations très intimes sur vous - depuis vos informations médicales, vos informations génétiques, jusqu'à votre "vie sexuelle" (sérieusement), jusqu'à la vitesse à laquelle vous conduisez, où vous conduisez et quelles chansons vous jouez dans votre voiture – en quantités énormes. Ils l’utilisent ensuite pour inventer davantage de données sur vous grâce à des « déductions » sur des éléments tels que votre intelligence, vos capacités et vos intérêts.

La plupart des constructeurs de véhicules (84%) partagent vos données

Selon Mozilla, les voitures peuvent collecter au moins certaines de ces informations sur les conducteurs et les passagers à l'aide de capteurs, de microphones, de caméras, de téléphones et d'autres appareils que les gens connectent à leurs voitures connectées au réseau. Et ils collectent encore plus d’informations auprès des applications automobiles – telles que Sirius XM ou Google Maps – ainsi que des concessionnaires et de la télématique des véhicules.

Certaines marques automobiles peuvent alors partager ou vendre ces informations à des tiers. Mozilla a découvert que 21 des 25 constructeurs automobiles examinés déclarent pouvoir partager des informations sur leurs clients avec des fournisseurs de services, des courtiers en données, etc., et 19 sur 25 déclarent pouvoir vendre des données personnelles.

Et certains, comme Nissan, peuvent également utiliser ces données privées pour développer des profils de clients décrivant « les préférences, les caractéristiques, les tendances psychologiques, les prédispositions, le comportement, les attitudes, l'intelligence, les capacités et les aptitudes » des conducteurs. Oui, vous avez bien lu. Selon les chercheurs de Mozilla en matière de protection de la vie privée, Nissan affirme pouvoir déduire votre intelligence, puis vendre cette évaluation à des tiers.

Les autres marques ne s’en sortent pas beaucoup mieux. Volkswagen, par exemple, collecte vos comportements de conduite tels que votre ceinture de sécurité et vos habitudes de freinage et les associe à des détails tels que l'âge et le sexe pour une publicité ciblée. La politique de confidentialité de Kia se réserve le droit de surveiller votre « vie sexuelle » et Mercedes-Benz expédie des voitures avec TikTok préinstallé sur le système d’infodivertissement, une application qui a son propre lot de problèmes de confidentialité.

C’est déjà assez grave pour les sociétés géantes qui possèdent les marques automobiles d’avoir toutes ces informations personnelles en leur possession, pour les utiliser à des fins de recherche, de marketing ou à des « fins commerciales » ultra vagues. Mais la plupart (84 %) des marques automobiles que nous avons étudiées déclarent pouvoir partager vos données personnelles – avec des fournisseurs de services, des courtiers en données et d’autres entreprises que nous connaissons peu ou pas du tout. Pire encore, dix-neuf (76 %) déclarent pouvoir vendre vos données personnelles.

Un nombre surprenant (56 %) déclarent également pouvoir partager vos informations avec le gouvernement ou les forces de l'ordre en réponse à une « demande ». Il ne s’agit pas d’une ordonnance d’un tribunal de grande instance, mais de quelque chose d’aussi simple qu’une « demande informelle ». Aïe, c'est une barre très basse ! Une réécriture de Thelma & Louise en 2023 placerait les dames en détention avant que vous ayez eu la chance de manger votre pop-corn. Mais sérieusement, la volonté des constructeurs automobiles de partager vos données est plus qu'effrayante. Cela a le potentiel de causer de réels dommages et a inspiré nos pires cauchemars en matière de voitures et de vie privée.

Et gardez à l’esprit que nous ne savons ce que les entreprises font avec les données personnelles qu’en raison des lois sur la confidentialité qui interdisent de ne pas divulguer ces informations (allez au California Consumer Privacy Act !). Les données dites anonymisées et agrégées peuvent être (et sont probablement) également partagées avec les centres de données des véhicules (les courtiers en données de l'industrie automobile) et d'autres. Ainsi, pendant que vous vous déplacez d’un point A à un point B, vous financez également l’activité parallèle florissante de votre voiture dans le secteur des données de plusieurs manières.

Quelques faits pas si amusants sur ces classements listés par Mozilla

• Tesla n'est que le deuxième produit que nous ayons jamais examiné à recevoir toutes nos critiques en matière de confidentialité. (Le premier était un chatbot IA que nous avons examiné plus tôt cette année.) Ce qui les distinguait, c'était de gagner le label « IA non fiable ». Autopilot alimenté par l’IA de la marque aurait été impliqué dans 17 décès et 736 accidents et fait actuellement l’objet de plusieurs enquêtes gouvernementales.
• Nissan a gagné son avant-dernière place en collectant certaines des catégories de données les plus effrayantes que nous ayons jamais vues. Cela vaut la peine de lire la critique dans son intégralité, mais sachez qu’elle inclut votre « activité sexuelle ». Pour ne pas être en reste, Kia mentionne également qu'elle peut collecter des informations sur votre « vie sexuelle » dans sa politique de confidentialité. Oh, et six constructeurs automobiles affirment qu'ils peuvent collecter vos « informations génétiques » ou vos « caractéristiques génétiques ». Oui, lire les politiques de confidentialité des voitures est une entreprise effrayante.
• Aucune des marques automobiles n'utilise un langage qui répond aux normes de confidentialité de Mozilla concernant le partage d'informations avec le gouvernement ou les forces de l'ordre, mais Hyundai va au-delà. Dans leur politique de confidentialité, il est indiqué qu’ils se conformeront aux « demandes légales, qu’elles soient formelles ou informelles ». C’est un sérieux signal d’alarme.
• Toutes les marques automobiles de cette liste, à l'exception de Tesla, Renault et Dacia, ont adhéré à une liste de principes de protection des consommateurs du groupe américain de l'industrie automobile ALLIANCE FOR AUTOMOTIVE INNOVATION, INC. Cette liste inclut minimisation », « transparence » et « choix ». Mais combien de marques automobiles suivent ces principes ? Zéro. C’est intéressant, ne serait-ce que parce que cela signifie que les constructeurs automobiles savent clairement ce qu’ils doivent faire pour respecter votre vie privée, même s’ils ne le font absolument pas.

Nissan, selon l'étude, est « probablement le pire constructeur automobile que nous ayons examiné, et cela en dit long, car tous les constructeurs automobiles sont vraiment mauvais en matière de confidentialité ». « S'il vous plaît, si vous vous souciez ne serait-ce qu'un peu de la vie privée, restez aussi loin que possible des voitures, des applications et des services connectés de Nissan », poursuit-elle.

Selon l'avis de confidentialité de Nissan USA, le constructeur automobile peut collecter et partager une tonne de données à des fins de marketing ciblées, notamment :

Des informations personnelles sensibles, notamment le numéro de permis de conduire, le numéro d'identification national ou d'État, le statut de citoyenneté, le statut d'immigration, l'origine ethnique, l'origine nationale, les croyances religieuses ou philosophiques, l'orientation sexuelle, l'activité sexuelle, la géolocalisation précise, les données de diagnostic de santé et les informations génétiques.

La réaction de certains constructeurs

Les constructeurs ont réagi à l'étude de Mozilla. BMW par exemple a déclaré :

Par souci de transparence, BMW NA fournit à nos clients des avis complets sur la confidentialité des données concernant la collecte de leurs informations personnelles. Pour un contrôle individuel, BMW NA permet aux conducteurs de véhicules de faire des choix précis concernant la collecte et le traitement de leurs informations personnelles. Nous nous conformons volontairement aux demandes de confidentialité des données d'un client (par exemple, demande d'accès, de suppression, de correction) même dans les États où nous ne sommes pas tenus de le faire. De plus, nous permettons à nos clients de supprimer leurs données que ce soit sur leurs applications, leurs véhicules ou en ligne.

BMW NA ne vend pas les informations personnelles de nos clients à bord du véhicule.

BMW NA offre à nos clients la possibilité de se désinscrire de la publicité comportementale ciblée BMW sur Internet. En ce qui concerne la sécurité des données, nous prenons des mesures complètes pour protéger les données de nos clients. Veuillez comprendre que nous ne pouvons pas commenter davantage sans avoir vu l'enquête ou ses résultats.

Mais la Fondation Mozilla a également dénoncé le consentement, le considérant comme un problème que certains constructeurs automobiles ont placé dans un angle mort.

Tesla, par exemple, semble donner aux utilisateurs le choix entre protéger leurs données ou protéger leur voiture. Sa politique de confidentialité permet aux utilisateurs de se désinscrire de la collecte de données, mais, comme le souligne Mozilla, Tesla avertit ses clients : « Si vous choisissez de vous désinscrire de la collecte de données sur le véhicule (à l'exception des préférences de partage de données dans la voiture), nous ne serons plus en mesure de vous connaître ou de vous informer des problèmes applicables à votre véhicule en temps réel. Cela peut entraîner une fonctionnalité réduite, des dommages graves ou une inopérabilité de votre véhicule.

Source : Mozilla

Et vous ?

Quelle lecture faites-vous de ce rapport de Mozilla ? Êtes-vous surpris ?
Que pensez-vous de la collecte et de la vente des données personnelles des utilisateurs par les marques de voitures ?
Quels sont les risques et les bénéfices potentiels de cette pratique pour les conducteurs, les constructeurs automobiles et la société en général ?
Quelles mesures devraient être prises pour protéger la vie privée et la sécurité des utilisateurs de voitures connectées ?
Quel est le rôle des gouvernements et des régulateurs dans ce domaine ?
Quelles sont vos expériences personnelles avec les voitures connectées ? Avez-vous déjà eu des problèmes ou des avantages liés à vos données ?