La Commission nationale de l'informatique et des libertés,
Vu la convention no 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à
l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/47/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection
des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement
de données à caractère personnel et la protection de la vie privée dans le secteur des communications
électroniques ;
Vu le code des postes et des communications électroniques, et notamment en son article L. 34-1 ;
Vu le code des assurances ;
Vu le code de la consommation ;
Vu le code pénal ;
Vu le code de la route ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi
no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de
données à caractère personnel ;
Vu le décret no 2005-1309 du 20 octobre 2005 pris pour l'application de la loi no 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004 ;
Vu la délibération no 2006-066 du 16 mars 2006 portant adoption d'une recommandation relative à la mise
en oeuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d'organismes
privés ou publics ;
Vu l'avis du groupe de travail dit de l'« article 29 » en date du 26 septembre 2006 sur la protection des
données et le respect de la vie privée dans l'initiative e-call ;
Vu l'avis du Contrôleur européen de la protection des données en date du 22 juillet 2009 sur le déploiement
des systèmes de transport intelligent en Europe ;
Après avoir entendu M. Didier Gasse, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du
Gouvernement, en ses observations,
Formule les observations suivantes :
A la suite du développement des traitements de géolocalisation permettant aux employeurs privés ou publics
de prendre connaissance de la position géographique de leurs employés par la localisation des véhicules qui
leur sont confiés, la commission avait été conduite à encadrer leur mise en oeuvre, compte tenu de dérives qu'il
convenait de prévenir. Ce fut l'objet de sa délibération no 2006-066 du 16 mars 2006 portant adoption d'une
recommandation relative à la mise en oeuvre de dispositifs destinés à géolocaliser les véhicules automobiles
utilisés par les employés d'un organisme public ou privé.
Parallèlement, mais avec un certain décalage dans le temps, des dispositifs utilisant la géolocalisation des
véhicules ont été proposés aux utilisateurs de véhicules automobiles par les assureurs et les constructeurs.
En premier lieu, les dispositifs dénommés sous le terme anglais générique de Pay As You Drive (PAYD)
n'ont pas la géolocalisation pour but, mais utilisent cette technique pour vérifier le kilométrage, la durée de
temps de conduite, les périodes de conduite, voire la vitesse des véhicules. Ils peuvent, en outre, être couplés
avec des capteurs renseignant notamment sur la façon de conduire. Les offres actuellement disponibles sur le
marché concernent majoritairement les particuliers mais une offre commerciale adaptée aux professionnels est
également parfois proposée. La finalité poursuivie par le traitement est de contrôler les conditions d'utilisation
du véhicule assuré en vue d'adapter le calcul de la prime d'assurance. Le calcul de la prime varie en fonction
de certains risques identifiés, la prime diminuant si ces risques sont effectivement amoindris ou évités : pour ce
faire, le traitement peut vérifier par exemple le kilométrage parcouru, la durée des périodes de conduite sans
pause, les horaires de conduite, la vitesse. Les résultats ainsi obtenus sont comparés aux engagements figurant
dans le contrat, selon lesquels les conducteurs acceptent par exemple de limiter leur kilométrage, ou de
respecter une pause toutes les deux heures, ou de s'abstenir de conduire la nuit lors des week-ends. L'équilibre
économique attendu de tels contrats résulterait de la diminution des accidents de la route, en particulier chez les
jeunes conducteurs.
En second lieu, en complément ou indépendamment du PAYD, des services tels que la lutte contre le vol
des véhicules, dénommé également « tracking », ou l'appel d'urgence, parfois dénommé « eCall », sont
fréquemment proposés par les assureurs et les constructeurs automobiles, couplés souvent avec d'autres
services, tels que l'aide à la navigation. Le tracking et l'eCall ont tous les deux pour objet de géolocaliser le
véhicule soit en vue de pouvoir le suivre ou le retrouver en cas de vol, soit en vue d'apporter une assistance ou
un secours d'urgence en cas d'incident ou d'accident.
Dans la suite logique de la recommandation précitée de 2006, la présente recommandation vise à la fois les
dispositifs dits de PAYD, d'appel d'urgence et de lutte contre le vol.
A titre préliminaire, la commission rappelle que ce sont les dispositifs de PAYD qui appellent le plus de
précautions ou de réserves en termes « informatique et libertés ». Ainsi, par une délibération no 2005-278 du
17 novembre 2005, la commission avait refusé d'autoriser la mise en oeuvre d'un traitement basé sur la
géolocalisation des véhicules dans la mesure où il supposait le traitement, par l'assureur, d'infractions relatives
aux violations des limitations de vitesse, ce que ne permet pas l'article 9 de la loi de 1978, qui réserve ce type
de traitement à des personnes morales gérant un service public. Par ailleurs, la commission avait considéré que
la collecte et la conservation systématiques de données relatives à la localisation des véhicules utilisés à titre
privé à des fins de modulation de tarifs d'assurance automobile était de nature à porter atteinte à la liberté
d'aller et venir anonymement dans des proportions injustifiées.
A la suite de ce refus et dans le souci de déterminer les conditions dans lesquelles des traitements de PAYD
pouvaient être proposés aux assurés tout en garantissant le respect de leur vie privée, une large concertation a
été menée avec les assureurs. La présente recommandation, qui en est le fruit, rappelle les principes qu'il
conviendrait de respecter pour permettre ce type de traitement dans le respect des principes de la loi de 1978,
c'est-à-dire en évitant notamment un traçage des déplacements des conducteurs. Toutefois, la commission
appelle à la vigilance pour que le système du PAYD n'évolue pas vers un traitement d'exclusion du fait du
profilage des conducteurs. Enfin, elle souhaite que le développement du PAYD ne se résume pas à un recul de
la mutualisation des risques.
Recommande :
Sur les finalités des traitements :
La loi « informatique et libertés » subordonne la mise en oeuvre d'un traitement automatisé de données à
caractère personnel à l'existence d'une finalité légitime. Compte tenu du caractère intrusif des dispositifs
traitant les données de localisation des véhicules et des informations qui peuvent y être associées, la
commission estime que, selon les traitements envisagés, les finalités devraient être définies ainsi qu'il suit :
La modulation des tarifs d'assurance automobile (PAYD).
Le but poursuivi par les dispositifs de PAYD est d'ajuster le calcul des primes d'assurance au vu d'éléments
objectifs constatés et, partant, d'inciter les conducteurs à minorer les risques, notamment en s'abstenant de
conduire lors de période dangereuses, en limitant le kilométrage parcouru, en modérant leur vitesse, etc. La
finalité poursuivie par le traitement est donc de vérifier le respect de leurs engagements par les assurés, en
matière de période de conduite, kilométrage parcouru, voire de façon de conduire, en vue de moduler le
montant de l'assurance automobile.
La lutte contre le vol (Tracking).
Le but poursuivi par les dispositifs de Tracking est de géolocaliser un véhicule, dont le vol a été déclaré, à
fin de pouvoir le retrouver. La finalité poursuivie par le traitement est donc seulement de permettre de
retrouver le véhicule grâce à la géolocalisation.
L'appel d'urgence ou eCall.
Les dispositifs d'appel d'urgence permettent, à la suite d'incident ou d'un accident subi par un véhicule,
d'être mis en communication de façon manuelle ou automatique avec le centre de secours le plus proche et de
lui transférer les informations essentielles sur le véhicule et en particulier sa géolocalisation. Ils contribuent
ainsi à la sauvegarde des vies humaines et la sécurisation des voies de circulation. La finalité du traitement est
donc de mettre en communication un véhicule avec un centre d'assistance ou de secours et de lui transférer la
géolocalisation du véhicule et les éléments techniques disponibles. Les informations ainsi transmises ne doivent
être utilisées qu'aux fins de faire venir les secours sur le lieu de l'accident le plus rapidement possible.
Sur les données collectées :
Les données collectées dans le cadre de la mise en oeuvre d'un dispositif de géolocalisation des véhicules par
les compagnies d'assurance et les constructeurs automobiles doivent être adéquates, pertinentes et non
excessives au regard des finalités pour lesquelles le traitement est mis en oeuvre.
Concernant la géolocalisation :
Les trois catégories de dispositifs collectent des données de géolocalisation, mais ce n'est que dans le cas du
PAYD qu'il y a une véritable sensibilité en matière de vie privée.
En effet, dans le cas du Tracking et de l'eCall, la géolocalisation, en vue de retrouver ou porter assistance à
un véhicule, est effectuée de façon exceptionnelle et ponctuelle à la demande de la personne concernée.
En revanche, pour le PAYD, la géolocalisation, qui n'est que l'accessoire d'un traitement plus complexe, est
effectuée de façon permanente pendant tout le temps de la conduite du véhicule. En l'occurrence, elle n'est pas
activée par la personne concernée.
Concernant les autres données collectées dans le cadre du PAYD.
Concernant la vitesse, le traitement est susceptible de permettre la constatation d'éventuels dépassements de
limitations de vitesse, qui constituent des infractions au code de la route. Or l'article 9 de la loi du
6 janvier 1978, modifiée en août 2004, énumère limitativement les catégories de personnes autorisées à mettre
en oeuvre des traitements visant à faire apparaître directement des données relatives aux infractions, au nombre
desquelles ne figurent pas les compagnies d'assurance et les constructeurs automobiles.
Dès lors, sans faire obstacle aux règles spécifiques actuelles ou à venir, propres aux transports routiers, la
commission rappelle que les infractions éventuelles ne doivent pas être identifiées et que seul le traitement de
la vitesse moyenne peut être, le cas échéant, réalisé.
Concernant les autres items collectés, la commission recommande de ne pas les multiplier et de s'en tenir à
des dispositifs simples : la multiplication des données contrôlées serait en effet de nature à engendrer pour les
conducteurs un sentiment de pression et de surveillance constante aboutissant à l'inverse du but poursuivi. Elle
relève notamment que si la collecte des données relatives à la façon de conduire (par exemple, le recueil des
accélérations ou décélérations du véhicule, généralement utilisé pour d'autres finalités comme l'écoconduite)
est possible techniquement, leur traitement afin de les traduire en termes de conduite à risque soulève de
difficiles problèmes d'interprétation et de proportionnalité.
Sur la durée de conservation des données de géolocalisation :
Les données relatives à la localisation d'un véhicule ne peuvent être conservées que pour une durée
pertinente au regard de la finalité du traitement qui a justifié cette géolocalisation.
La modulation des tarifs d'assurance automobile (PAYD).
Dans la mesure où la collecte systématique associée à la conservation des données relatives à la localisation
des véhicules n'apparaît pas proportionnée par rapport au but poursuivi, les données de géolocalisation ne
devront être conservées que pendant le temps nécessaire pour caractériser chaque item utile au calcul de la
prime d'assurance. En effet, si de telles données devaient être conservées, celles-ci porteraient atteinte à la vie
privée des personnes concernées et contreviendraient à la liberté d'aller et venir anonymement.
La lutte contre le vol (Tracking).
La commission préconise que les données de localisation du véhicule ne remontent qu'à partir de la
déclaration de vol et que la conservation de ces données soit ensuite limitée aux strictes nécessités de l'enquête
et de l'instruction du dossier par les autorités judiciaires compétentes. Les données à caractère personnel seront
en tout état de cause supprimées à la demande de l'assuré ou à la demande de toute personne autorisée par ce
dernier, à l'issue d'une procédure de levée de doute n'aboutissant pas à la confirmation du vol du véhicule ou,
à défaut, à l'issue de la relation contractuelle.
L'appel d'urgence (eCall).
Les données de localisation du véhicule ne remontent qu'une fois l'appel déclenché. Ces données doivent
ensuite être effacées du traitement à l'issue de leur utilisation à des fins d'assistance ou de secours sous réserve
des nécessités résultant de l'application des réglementations et normes en vigueur.
Sur les personnes pouvant avoir accès aux informations :
Sont destinataires des informations les personnes qui, dans le cadre de leur fonction, peuvent légitimement
en avoir connaissance au regard des finalités. Il en est ainsi :
pour la finalité modulation des tarifs d'assurance automobile (PAYD), des personnes habilitées des
compagnies d'assurance et/ou de leur prestataire ;
pour la finalité de lutte contre le vol, des agents habilités de la plate-forme de télésurveillance et les
autorités judiciaires compétentes ; la commission estime que les abonnés à ce service personnes
physiques ou morales ne doivent pas avoir accès aux informations relatives à la localisation de leur
véhicule ;
pour la finalité de secours aux personnes (appel d'urgence), du centre d'appel d'urgence, des équipes de
secours, des personnes habilitées des compagnies d'assurance et/ou des constructeurs automobiles et des
laboratoires d'étude en accidentologie.
Sur les mesures de sécurité :
Le responsable de traitement doit en tout état de cause prendre toutes les précautions utiles pour préserver la
sécurité et la confidentialité des données traitées et pour empêcher qu'elles soient déformées, endommagées ou
que des tiers non autorisés puissent en prendre connaissance.
A cette fin, la commission invite les compagnies d'assurance et les constructeurs automobiles à faire appel à
des prestataires de services dans le cadre de l'utilisation de ces dispositifs de géolocalisation. Ces relations
devront, conformément à l'article 35 de la loi 6 janvier 1978, modifiée en août 2004, être encadrées par un
contrat comportant des clauses de confidentialité et de sécurité.
En particulier, le responsable de traitement s'assure d'une gestion rigoureuse des contrôles d'accès. Ainsi, la
CNIL recommande que les accès aux traitements de données s'effectuent par un identifiant et un mot de passe
individuels, régulièrement renouvelés, ou par tout autre moyen d'identification garantissant, a minima, un
même niveau de sécurité.
Le responsable de traitement établit un état journalier des accès afin de pouvoir en assurer le contrôle. Il doit
également disposer de moyens humains suffisants et formés. La commission préconise d'interdire l'extraction
locale des données de localisation provenant du boîtier embarqué.
Pour le PAYD et la lutte contre le vol, la commission recommande que la consultation à distance ou que la
transmission des données via un réseau de communications électroniques soit assurée par des protocoles
sécurisés (chiffrement des communications) permettant notamment au responsable de traitement de se prémunir
contre les risques d'intrusion et contre le détournement de finalité.
La commission recommande également de prévoir une certification des procédures et des boîtiers par des
experts indépendants.
Plus spécifiquement pour le PAYD, la CNIL préconise que les données soient agrégées si possible
directement dans le boîtier afin qu'aucune information détaillée ne remonte ni au prestataire ni à l'assureur. A
défaut, la CNIL préconise que les données soient agrégées par le prestataire, à charge pour ce dernier
d'adresser à l'assureur les données déjà agrégées.
Sur le consentement et l'information des personnes concernées :
L'article L. 34-1 (IV) du code des postes et des communications électroniques (CPCE) pose le principe du
consentement préalable de la personne concernée à l'utilisation de tout service de géolocalisation. Dès lors, les
personnes concernées par les dispositifs de géolocalisation doivent manifester individuellement et par écrit leur
consentement exprès préalablement à la mise en oeuvre du traitement.
A ce titre, la CNIL recommande qu'un document spécifique annexé au contrat ou qu'une clause contractuelle
type, insérée audit contrat, indique que la signature du client vaut consentement à la mise en oeuvre d'un
traitement de géolocalisation.
Cette préconisation s'applique à toutes les finalités, y compris aux dispositifs d'appel d'urgence, quand bien
même tout appel destiné à un service d'urgence vaut consentement de l'utilisateur jusqu'à l'aboutissement de
l'opération de secours qu'il déclenche et seulement pour en permettre la réalisation.
Outre le consentement des automobilistes, une information préalable de ces derniers est obligatoire,
conformément à l'article 32 de la loi du 6 janvier 1978 modifiée et à l'article L. 34-1 (IV) du CPCE. Les
automobilistes doivent être informés individuellement, préalablement à la mise en oeuvre du traitement :
de la finalité ou des finalités poursuivies par le traitement ;
des catégories de données collectées ;
de la durée de conservation des données de géolocalisation les concernant ;
des destinataires ou catégories de destinataires des données ;
de l'existence d'un droit d'accès, de rectification et d'opposition et de leurs modalités d'exercice ;
le cas échant, des transferts de données à caractère personnel envisagés à destination d'un Etat non
membre de l'Union européenne.
A ce titre, la CNIL recommande que l'information des personnes concernées par un dispositif de
géolocalisation puisse se faire notamment lors de la conclusion du contrat, via l'ordinateur de bord des
véhicules dotés d'un dispositif de géolocalisation, par un signal sonore distinctif, par un voyant sur le tableau
de bord du véhicule ou par une mention de rappel apposée sur les factures émises par le responsable de
traitement.
La commission rappelle que chaque automobiliste doit pouvoir avoir accès aux données le concernant en
s'adressant au service ou à la personne qui lui aura été préalablement indiquée.
Sur la présence d'un système de désactivation automatique du dispositif de géolocalisation :
L'article L. 34-1 (IV) précité du CPCE dispose que doit être prévue la possibilité pour la personne concernée
de retirer ou suspendre à tout moment et gratuitement son consentement à être géolocalisée. En matière de
géolocalisation, le retrait du consentement s'effectue généralement par la désactivation du système.
Cette possibilité doit pouvoir s'exercer, pour les systèmes de lutte contre le vol, via un bouton de
désactivation sur le dispositif qui peut être couplé à une demande, auprès de la compagnie d'assurance ou du
constructeur automobile, de retrait du dispositif embarqué.
En revanche, pour le PAYD, la possibilité d'une désactivation est en quelque sorte contradictoire avec le
contrat lui-même, puisqu'elle ne permettrait plus de vérifier les engagements du conducteur.
Concernant l'appel d'urgence, la commission relève que l'installation d'un dispositif de désactivation
instantanée a été recommandée dans le cadre du groupe de travail de l'article 29 de la directive du
24 octobre 1995. Cependant, après plusieurs années de mise en oeuvre de dispositifs d'appel d'urgence en
France, elle a constaté que les risques d'atteinte à la vie privée apparaissent restreints, puisque les données de
géolocalisation ne sont collectées et transmises que dans le cas d'une connexion volontaire ou dans celui d'un
accident impliquant le déclenchement d'un airbag. De plus, la possibilité d'une désactivation manuelle serait
susceptible de créer une insécurité juridique, compte tenu des problèmes de preuves qui se poseraient en cas de
dommages subis suite à un accident non suivi d'un appel. C'est pourquoi la commission considère que
l'implantation d'une désactivation instantanée dans les véhicules équipés d'un système d'appel d'urgence ne
peut être imposée, dès l'instant que ce système aura été acquis librement et en toute connaissance de cause par
le propriétaire du véhicule, et que celui-ci se sera engagé à informer les utilisateurs du véhicule ainsi équipé.
La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 8 avril 2010.
Le président,
A. TÜRK