Le 25 mars 2025, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation publique portant sur un projet de recommandation relatif à l’usage des données de localisation des véhicules connectés.
À l’heure où les voitures deviennent de véritables « objets intelligents » capables de collecter, stocker et transmettre des données en temps réel, la question de la protection de la vie privée des conducteurs prend une toute nouvelle dimension.
Cette initiative s’inscrit dans une volonté d’encadrer ces traitements, souvent massifs et invisibles pour l’usager, tout en assurant un équilibre entre innovation technologique et respect des droits fondamentaux.
🟠 1 – Des données de localisation à forte sensibilité
Les véhicules connectés génèrent une quantité importante de données techniques, dont les données de localisation occupent une place centrale. Utilisées à des fins diverses, telles que la navigation, l’entretien, l’assurance, l’optimisation du trafic ou encore les services personnalisés, ces données permettent de suivre les déplacements d’un véhicule, et par extension, de son conducteur.
La CNIL rappelle que ces informations, dès lors qu’elles peuvent être rattachées à une personne physique identifiable, constituent des données à caractère personnel au sens du RGPD. Elles peuvent, en certaines circonstances, révéler des habitudes de vie, des opinions politiques ou religieuses, ou encore des problématiques de santé, et sont donc particulièrement sensibles.
🟠 2 – Un périmètre ciblé : les véhicules utilisés par des particuliers
Le projet de recommandation se concentre exclusivement sur les usages des véhicules connectés par des particuliers, qu’ils en soient propriétaires ou locataires. L’objectif est de cadrer les pratiques des constructeurs, des fournisseurs de services ou encore des applications embarquées dans un contexte strictement privé.
En revanche, l’utilisation de véhicules de fonction mis à disposition par des employeurs à leurs salariés n’entre pas dans le champ de cette consultation. Sur ce point, la CNIL rappelle qu’elle a déjà publié des lignes directrices spécifiques encadrant ce type d’usage, notamment en matière de géolocalisation à des fins de contrôle de l’activité des salariés.
🟠 3 – Un projet de recommandation en construction
La consultation publique ouverte par la CNIL vise à nourrir un projet de recommandation encadrant le traitement des données de localisation. Ce projet porte notamment sur :
- La détermination claire des finalités des traitements : navigation, maintenance, lutte contre le vol, etc. ;
- La limitation de la durée de conservation des données à ce qui est strictement nécessaire ;
- L’information des personnes concernées, qui doit être claire, transparente et accessible ;
- Le respect du principe de minimisation, afin de ne pas collecter plus de données que nécessaire ;
- Les modalités d’exercice des droits, notamment le droit d’opposition ou le droit à l’effacement.
Le cadre proposé s’appliquerait à l’ensemble des acteurs de l’écosystème : constructeurs automobiles, fournisseurs de services tiers, assureurs, etc.
🟠 4 – Une volonté d’associé les parties prenantes
Conformément à sa démarche de régulation ouverte, la CNIL invite l’ensemble des parties prenantes (industriels, associations, usagers, etc.) à faire part de leurs observations et propositions. Les contributions sont attendues jusqu’au 20 mai 2025.
Cette consultation vise à élaborer un texte équilibré, prenant en compte les réalités économiques et technologiques du secteur tout en garantissant une protection effective des droits des personnes.
🟠 5 – Un enjeu croisé entre RGPD et innovation
L’encadrement des données de localisation soulève plusieurs enjeux juridiques majeurs. En effet, les traitements mis en œuvre doivent être conformes aux principes du RGPD, et notamment :
- Licéité, loyauté et transparence (article 5.1.a du RGPD) ;
- Limitation des finalités (article 5.1.b) ;
- Minimisation des données (article 5.1.c) ;
- Limitation de la durée de conservation (article 5.1.e) ;
- Sécurité des données (article 32).
Dans certains cas, les responsables de traitement devront également procéder à une analyse d’impact sur la protection des données (AIPD), notamment si les données sont croisées avec d’autres informations.
🟠 Conclusion
En lançant cette consultation, la CNIL affirme sa volonté d’accompagner les évolutions technologiques sans renoncer aux exigences du RGPD. Les véhicules connectés représentent un progrès indéniable, mais ils ne doivent pas devenir des outils de surveillance invisibles.
La publication prochaine de recommandations sur les données de localisation marquera une étape importante dans la construction d’un cadre de confiance numérique dans le secteur automobile.
Pour en savoir plus / sources : |
Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.
Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.
Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.
Dans un arrêt du 9 avril 2025, la Cour de cassation a apporté une précision importante sur le régime juridique applicable à l’exploitation des fichiers de journalisation informatiques (logs), et notamment aux adresses IP des salariés, dans le cadre d’une procédure disciplinaire. Une décision qui interpelle les employeurs : faut-il désormais obtenir le consentement du salarié pour pouvoir utiliser son adresse IP à des fins de contrôle ?