Le 25 mars 2025, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation publique portant sur un projet de recommandation relatif à l’usage des données de localisation des véhicules connectés.
À l’heure où les voitures deviennent de véritables « objets intelligents » capables de collecter, stocker et transmettre des données en temps réel, la question de la protection de la vie privée des conducteurs prend une toute nouvelle dimension.
Cette initiative s’inscrit dans une volonté d’encadrer ces traitements, souvent massifs et invisibles pour l’usager, tout en assurant un équilibre entre innovation technologique et respect des droits fondamentaux.
🟠 1 – Des données de localisation à forte sensibilité
Les véhicules connectés génèrent une quantité importante de données techniques, dont les données de localisation occupent une place centrale. Utilisées à des fins diverses, telles que la navigation, l’entretien, l’assurance, l’optimisation du trafic ou encore les services personnalisés, ces données permettent de suivre les déplacements d’un véhicule, et par extension, de son conducteur.
La CNIL rappelle que ces informations, dès lors qu’elles peuvent être rattachées à une personne physique identifiable, constituent des données à caractère personnel au sens du RGPD. Elles peuvent, en certaines circonstances, révéler des habitudes de vie, des opinions politiques ou religieuses, ou encore des problématiques de santé, et sont donc particulièrement sensibles.
🟠 2 – Un périmètre ciblé : les véhicules utilisés par des particuliers
Le projet de recommandation se concentre exclusivement sur les usages des véhicules connectés par des particuliers, qu’ils en soient propriétaires ou locataires. L’objectif est de cadrer les pratiques des constructeurs, des fournisseurs de services ou encore des applications embarquées dans un contexte strictement privé.
En revanche, l’utilisation de véhicules de fonction mis à disposition par des employeurs à leurs salariés n’entre pas dans le champ de cette consultation. Sur ce point, la CNIL rappelle qu’elle a déjà publié des lignes directrices spécifiques encadrant ce type d’usage, notamment en matière de géolocalisation à des fins de contrôle de l’activité des salariés.
🟠 3 – Un projet de recommandation en construction
La consultation publique ouverte par la CNIL vise à nourrir un projet de recommandation encadrant le traitement des données de localisation. Ce projet porte notamment sur :
- La détermination claire des finalités des traitements : navigation, maintenance, lutte contre le vol, etc. ;
- La limitation de la durée de conservation des données à ce qui est strictement nécessaire ;
- L’information des personnes concernées, qui doit être claire, transparente et accessible ;
- Le respect du principe de minimisation, afin de ne pas collecter plus de données que nécessaire ;
- Les modalités d’exercice des droits, notamment le droit d’opposition ou le droit à l’effacement.
Le cadre proposé s’appliquerait à l’ensemble des acteurs de l’écosystème : constructeurs automobiles, fournisseurs de services tiers, assureurs, etc.
🟠 4 – Une volonté d’associé les parties prenantes
Conformément à sa démarche de régulation ouverte, la CNIL invite l’ensemble des parties prenantes (industriels, associations, usagers, etc.) à faire part de leurs observations et propositions. Les contributions sont attendues jusqu’au 20 mai 2025.
Cette consultation vise à élaborer un texte équilibré, prenant en compte les réalités économiques et technologiques du secteur tout en garantissant une protection effective des droits des personnes.
🟠 5 – Un enjeu croisé entre RGPD et innovation
L’encadrement des données de localisation soulève plusieurs enjeux juridiques majeurs. En effet, les traitements mis en œuvre doivent être conformes aux principes du RGPD, et notamment :
- Licéité, loyauté et transparence (article 5.1.a du RGPD) ;
- Limitation des finalités (article 5.1.b) ;
- Minimisation des données (article 5.1.c) ;
- Limitation de la durée de conservation (article 5.1.e) ;
- Sécurité des données (article 32).
Dans certains cas, les responsables de traitement devront également procéder à une analyse d’impact sur la protection des données (AIPD), notamment si les données sont croisées avec d’autres informations.
🟠 Conclusion
En lançant cette consultation, la CNIL affirme sa volonté d’accompagner les évolutions technologiques sans renoncer aux exigences du RGPD. Les véhicules connectés représentent un progrès indéniable, mais ils ne doivent pas devenir des outils de surveillance invisibles.
La publication prochaine de recommandations sur les données de localisation marquera une étape importante dans la construction d’un cadre de confiance numérique dans le secteur automobile.
Pour en savoir plus / sources : |
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur …
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.