Le 25 mars 2025, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation publique portant sur un projet de recommandation relatif à l’usage des données de localisation des véhicules connectés.
À l’heure où les voitures deviennent de véritables « objets intelligents » capables de collecter, stocker et transmettre des données en temps réel, la question de la protection de la vie privée des conducteurs prend une toute nouvelle dimension.
Cette initiative s’inscrit dans une volonté d’encadrer ces traitements, souvent massifs et invisibles pour l’usager, tout en assurant un équilibre entre innovation technologique et respect des droits fondamentaux.
🟠 1 – Des données de localisation à forte sensibilité
Les véhicules connectés génèrent une quantité importante de données techniques, dont les données de localisation occupent une place centrale. Utilisées à des fins diverses, telles que la navigation, l’entretien, l’assurance, l’optimisation du trafic ou encore les services personnalisés, ces données permettent de suivre les déplacements d’un véhicule, et par extension, de son conducteur.
La CNIL rappelle que ces informations, dès lors qu’elles peuvent être rattachées à une personne physique identifiable, constituent des données à caractère personnel au sens du RGPD. Elles peuvent, en certaines circonstances, révéler des habitudes de vie, des opinions politiques ou religieuses, ou encore des problématiques de santé, et sont donc particulièrement sensibles.
🟠 2 – Un périmètre ciblé : les véhicules utilisés par des particuliers
Le projet de recommandation se concentre exclusivement sur les usages des véhicules connectés par des particuliers, qu’ils en soient propriétaires ou locataires. L’objectif est de cadrer les pratiques des constructeurs, des fournisseurs de services ou encore des applications embarquées dans un contexte strictement privé.
En revanche, l’utilisation de véhicules de fonction mis à disposition par des employeurs à leurs salariés n’entre pas dans le champ de cette consultation. Sur ce point, la CNIL rappelle qu’elle a déjà publié des lignes directrices spécifiques encadrant ce type d’usage, notamment en matière de géolocalisation à des fins de contrôle de l’activité des salariés.
🟠 3 – Un projet de recommandation en construction
La consultation publique ouverte par la CNIL vise à nourrir un projet de recommandation encadrant le traitement des données de localisation. Ce projet porte notamment sur :
- La détermination claire des finalités des traitements : navigation, maintenance, lutte contre le vol, etc. ;
- La limitation de la durée de conservation des données à ce qui est strictement nécessaire ;
- L’information des personnes concernées, qui doit être claire, transparente et accessible ;
- Le respect du principe de minimisation, afin de ne pas collecter plus de données que nécessaire ;
- Les modalités d’exercice des droits, notamment le droit d’opposition ou le droit à l’effacement.
Le cadre proposé s’appliquerait à l’ensemble des acteurs de l’écosystème : constructeurs automobiles, fournisseurs de services tiers, assureurs, etc.
🟠 4 – Une volonté d’associé les parties prenantes
Conformément à sa démarche de régulation ouverte, la CNIL invite l’ensemble des parties prenantes (industriels, associations, usagers, etc.) à faire part de leurs observations et propositions. Les contributions sont attendues jusqu’au 20 mai 2025.
Cette consultation vise à élaborer un texte équilibré, prenant en compte les réalités économiques et technologiques du secteur tout en garantissant une protection effective des droits des personnes.
🟠 5 – Un enjeu croisé entre RGPD et innovation
L’encadrement des données de localisation soulève plusieurs enjeux juridiques majeurs. En effet, les traitements mis en œuvre doivent être conformes aux principes du RGPD, et notamment :
- Licéité, loyauté et transparence (article 5.1.a du RGPD) ;
- Limitation des finalités (article 5.1.b) ;
- Minimisation des données (article 5.1.c) ;
- Limitation de la durée de conservation (article 5.1.e) ;
- Sécurité des données (article 32).
Dans certains cas, les responsables de traitement devront également procéder à une analyse d’impact sur la protection des données (AIPD), notamment si les données sont croisées avec d’autres informations.
🟠 Conclusion
En lançant cette consultation, la CNIL affirme sa volonté d’accompagner les évolutions technologiques sans renoncer aux exigences du RGPD. Les véhicules connectés représentent un progrès indéniable, mais ils ne doivent pas devenir des outils de surveillance invisibles.
La publication prochaine de recommandations sur les données de localisation marquera une étape importante dans la construction d’un cadre de confiance numérique dans le secteur automobile.
Pour en savoir plus / sources : |
Loi anti-narcotrafic du 13 juin 2025 : une ambition freinée par la censure constitutionnelle. Adoptée dans un contexte d’urgence face à l’essor du narcotrafic en France, la loi du 13 juin 2025 visait à doter les autorités judiciaires et administratives de nouveaux outils pour lutter contre les réseaux criminels(I). Mais, si le texte a été promulgué, il n’a pas échappé au contrôle du Conseil constitutionnel, qui a censuré six de ses dispositions, dont les articles 5 et 15 (II).
L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)
Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.
Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.