Mobilité Connectée : enjeux juridiques

« Supprimer la distance, c’est augmenter la durée du temps. Désormais, on ne vivra pas plus longtemps ; seulement, on vivra plus vite » Alexandre Dumas.

Selon une étude réalisée par PWC[i], la valeur intégrée par les véhicules connectés serait répartie aujourd’hui entre 90 % pour la partie consacrée à l’infrastructure du véhicule et à 10% pour les aspects logiciels. Selon l’Institut national de recherche en sciences et technologies du numériques, ces derniers aspects devraient représenter plus de la moitié des coûts de développement du véhicule d’ici quelques années et le logiciel embarqué comptera alors pour la majeure partie de sa valeur ajoutée[ii].

Une telle redistribution de la chaine de valeur constitue ainsi un risque pour les constructeurs automobiles et une opportunité pour les éditeurs de logiciels de redistribution des revenus de l’industrie automobile. Avec un enjeu pour développer une offre attractive de véhicules connectés et de logiciels afférents. De plus l’attrait exercé par la masse de données collectée par les véhicules connectés constitue aussi un enjeu considérable, qu’il s’agisse de données personnelles ou non.

Le lien entre véhicule connecté et données personnelles connaît une très forte actualité. Ainsi et selon l’EDPB, un véhicule connecté peut être défini comme « un véhicule équipé de nombreuses unités de contrôle électronique qui sont reliées entre elles par un réseau embarqué, ainsi que de moyens de connectivité lui permettant de partager des informations avec d’autres dispositifs à l’intérieur et à l’extérieur du véhicule. »[iii]

Un véhicule connecté traitant de données personnelles suppose donc :

  • des données à caractère personnel recueillies par le véhicule
  • que ces données soient issues des dispositifs internes aux véhicules ou des appareils personnels qui lui sont connectés (par exemple, le smartphone de l’utilisateur)
  • que ces données soient exportées vers des  intermédiaires externes (par exemple, les constructeurs automobiles, les éditeurs de logiciels, les compagnies d’assurance, les garagistes) en vue d’un traitement ultérieur.

Il faut encore souligner que le nombre de données échangées par un véhicule connecté va croissant avec le degré d’autonomie dudit véhicule puisqu’un degré d’automatisation avancé suppose pour le véhicule d’interagir avec son environnement.

6 niveaux d’autonomie peuvent être distingués notamment en reprenant les critères de la NHSTA[iv] (National Highway Traffic Safety Administration) :

  • Niveau 0 : Le conducteur conduit sans aucune assistance.
  • Niveau 1 : Un système avancé d’aide à la conduite installé sur le véhicule peut parfois aider le conducteur à diriger ou à freiner/accélérer, mais pas les deux simultanément.
  • Niveau 2 : Un système avancé d’assistance au conducteur sur le véhicule peut lui-même, dans certaines circonstances, contrôler simultanément la direction et le freinage/l’accélération. Le conducteur doit continuer à être pleinement attentif à tout moment et conduire seul.
  • Niveau 3 : Un système de conduite automatisé installé sur le véhicule peut lui-même, dans certaines circonstances, assurer tous les aspects de la conduite. Dans ces circonstances, le conducteur doit être prêt à reprendre le contrôle du véhicule à tout moment lorsque le système le lui demande.
  • Niveau 4 : Un système de conduite automatisé installé sur le véhicule peut lui-même effectuer toutes les tâches de conduite et prendre en considération l’environnement extérieur dans certaines circonstances. Le conducteur n’a pas besoin d’y prêter attention dans cette situation.
  • Niveau 5 : Un système de conduite automatisé installé sur le véhicule peut effectuer toute la conduite dans toute circonstance. Le conducteur n’est qu’un passager et n’a pas besoin de participer à la conduite.

Au regard des différents éléments présentés, de nombreuses questions se posent en termes de cybersécurité et de traitement de données personnelles appliqués aux véhicules connectés. En plus de la problématique de la réparation du dommage causé par un véhicule connecté. Les nouvelles architectures technologiques ne cessent pas non plus de modifier le champ des possibles en matière d’objets connectés et perturbent l’encadrement juridique de ces véhicules.


Edge computing et véhicules connectés

Un premier défi consiste à concevoir et à déployer les réseaux de communication et l’écosystème informatique nécessaires pour fournir et traiter efficacement les données générées par les véhicules connectés. En effet, pour être autonome, un véhicule doit prendre des renseignements quant à son environnement. Cela suppose que des capteurs liés à un véhicule puissent identifier des signaux et s’informer via des relais d’information extérieurs au véhicule. C’est ce que l’edge computing et l’arrivée de la 5G vont notamment faciliter.

En effet, le déploiement de la 5G, qui est le cinquième réseau de télécommunication mobile et dont la rapidité a pour but de répondre à l’extension des échanges de données, va favoriser l’edge computing. Cette notion peut être définie comme « une architecture informatique distribuée ouverte qui présente une puissance de traitement décentralisée »[v] permettant le déploiement des technologies de l’informatique mobile et de l’IoT. A l’inverse du cloud qui nécessite une centralisation des données, le traitement est réalisé par l’appareil lui-même ou par un serveur local.

L’utilisation de l’edge computing a du sens concernant les objets connectés puisque chacun de ces objets génère des données, souvent en grande quantité. Avec cette architecture, les systèmes de traitement et de stockage se trouvent également en périphérie, aussi près que possible de l’objet connecté, de l’application ou de l’utilisateur qui produit les données traitées. Une application de conduite contrôlée d’une flotte de véhicules nécessitera une latence ultra-faible de bout en bout pour des signaux d’avertissement, et des débits de données plus élevés pour partager des informations vidéo entre les véhicules et les infrastructures.[vi]

A titre d’exemple, des applications de sécurité avancées permettront d’atténuer les accidents de la route, d’améliorer l’efficacité du trafic et favoriser la mobilité des véhicules d’urgence (ambulances, pompiers, police). Un autre exemple est celui de la collecte intelligente de déchets, en recourant à une application de gestion des déchets qui surveille le niveau de remplissage et l’état des conteneurs en temps réel, permettant ainsi une programmation et un acheminement dynamique des camions à ordure dans les villes[vii].

Ces applications prévoient non seulement une communication de véhicule à véhicule ou de véhicule à infrastructure, mais aussi la communication avec les usagers de la route vulnérables tels que les piétons et les cyclistes. Le V2X[viii]vehicule to everything – recouvre ainsi toutes les situations suivantes, de communication d’un véhicule vers son environnement :

  • le V2I – vehicule to infrastructure – priorité, feu rouge, etc.
  • le V2V – vehicule to vehicule – prévision des collisions, etc.
  • le V2N – vehicule to network – trafic en temps réel, routage, connexion au cloud ou edge computing, etc.
  • le V2P – vehicule to pedestrian – alertes de sécurité pour les piétons ou cyclistes, etc.

Ainsi « les logiciels pour la détection des risques, le stockage, la collecte, l’analyse et la transmission des données sont déployés sur des plateformes informatiques mobiles (edge computing). En raison de leur répartition géographique, de leur proximité avec les véhicules et de la légèreté de leur mise en œuvre, le système fonctionne en temps réel, ce qui garantit des services IoT centrés sur le consommateur. La combinaison de toutes les phases résout le principal défi (de l’intégration de véhicules connectés dans l’IoT) et fait des plateformes d’informatique périphérique une alternative appropriée à la plateforme en cloud pour les véhicules connectés. »

Pour autant, cette nouvelle architecture apporte certaines complexités que l’AECC (Automotive Edge Computing Consortium) cherche notamment à résoudre et aborde dans son rapport « Driving Data to the Edge ».[ix]

L’AECC a ainsi identifié un ensemble de questions clés et notamment la problématique de « l’edge data offloading » lorsque les réseaux de télécommunications doivent permettre le transfert de données de manière efficace et souple vers le point de relais décentralisé de traitement de données. De plus, les ressources informatiques doivent être sélectionnées et allouées de manière dynamique ainsi que la capacité de rediriger le trafic de données afin de satisfaire à l’exigence de continuité des services. Se pose à cet égard la question de l’identification du véhicule lorsque ce dernier transite entre différents réseaux d’accès.

L’une des raisons du développement de la 5G est sa flexibilité permettant un déploiement à peu onéreux. Assurer la connectivité de toutes les zones concernées de manière viable requière cependant des infrastructures réseau, des dispositifs, un fonctionnement et une maintenance à très faible coût.[x] Ces avantages expliquent bien pourquoi l’edge computing pourrait se développer avec le déploiement de la 5G.

Il faut noter à ce titre le lien clairement établi par l’Union européenne entre le développement de la 5G et celui des véhicules connectés, comme en témoigne le projet de corridors 5G transfrontières[xi].

Un second défi réside dans la question de l’interopérabilité[xii] entre les objets connectés et plus particulièrement entre les véhicules connectés. Le département des transports américain a souligné ce point dans son plan stratégique 2020-2025 sur les systèmes de transports intelligents et insisté sur la nécessite suivante[xiii]: « Aider à éliminer les cloisonnements de données et à établir des interfaces interopérables entre les propriétaires et les exploitants d’infrastructures, les fabricants d’équipements et les responsables de données sur des éléments clés tels que les cartes numériques ou les données opérationnelles à l’échelle du système ».

Dans la mesure où les différents véhicules ont et auront des impératifs de communication entre eux, mais aussi avec des bases de données locales en edge computing ou à des data centers, le choix des canaux de communication est primordial pour le développement d’objets connectés et l’interopérabilité fait partie des questions stratégiques en termes de gouvernance des données.

Aussi, la convergence des technologies de communication V2X avec des capteurs avancés à l’intérieur du véhicule, combinée à une connectivité de réseau omniprésente et de données disponibles sur le trafic permettent une conduite coopérative automatisée. Pour autant, cette automatisation ne doit pas se faire au détriment du respect de la vie privée des utilisateurs.


Données, véhicules connectés et vie privée

En France, la loi du 24 décembre 2019 d’orientation des mobilités a notamment pour objet de favoriser le développement des véhicules connectés[xiv] en consacrant l’open data des données de mobilités. Sont concernées les données statiques (arrêts, horaires, tarifs…) et en temps réel (perturbations, disponibilités…) des transports en commun ou à la demande et les données des réseaux routiers et de stationnements. La loi LOM autorise également le Gouvernement à rendre accessible, par voie d’ordonnance, toutes les données pertinentes des systèmes intégrés aux véhicules, nécessaires aux gestionnaires d’infrastructures routières, aux forces de l’ordre et aux services d’incendie et de secours[xv]. Le Gouvernement peut aussi rendre accessibles, en cas d’accident de la route, les données des dispositifs d’enregistrement de données d’accident et les données d’état de délégation de conduite enregistrées dans la période qui a précédé l’accident aux officiers et agents de police judiciaire aux fins de détermination des responsabilités. Ces données peuvent aussi être transférées aux assurances qui garantissent les véhicules impliqués dans l’accident. De plus, pourront être disponibles, les données strictement nécessaires pour déterminer l’activation ou non de la délégation de conduite du véhicule aux fins d’indemniser les victimes en application de la loi Badinter du 5 juillet 1985. Pourront également avoir accès aux données, les autorités organisatrices de la mobilité, pour leur mission d’organisation de la mobilité, et les gestionnaires d’infrastructures routières à des fins de connaissance du trafic routier, les données produites par les services numériques d’assistance au déplacement.

Il s’agit de permettre que 100% des informations sur les solutions de transports disponibles soient accessibles en un clic. Aucune mesure réglementaire prévue par cette loi n’a été prise par le Gouvernement pour le moment mais l’entrée en vigueur est prévue au plus tard pour 2021.

L’ouverture des données va dès lors favoriser l’essor des véhicules connectés car, « le partage de l’information d’une voiture connectée est un facteur de sécurité sur la route, d’optimisation des coûts, d’amélioration de l’expérience client. Cependant c’est aussi un sujet de confidentialité qui devra faire l’objet de règles sur le respect de la confidentialité et la construction de scénarios d’usage de la donnée (donnée d’intérêt général versus donnée confidentielle). »[xvi]

La CNIL a publié un pack de conformité relatif aux véhicules connectés et aux données personnelles[xvii] avant même l’entrée en vigueur du RGPD. L’EDPB a plus récemment approfondi le sujet en publiant des lignes directrices sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité[xviii].

Quelles sont les données personnelles concernées ? Ces données personnelles comprennent l’ensemble des données associées ou pouvant l’être à une personne physique (conducteur, titulaire de la carte grise, passager, etc.), notamment via le numéro de série du véhicule. Selon la CNIL, il peut s’agir de données directement identifiantes (état civil) comme de données indirectement identifiantes. Constituent des données indirectement identifiante, les données recoupées avec d’autres informations et qui permettent ainsi de déterminer l’identité d’une personne. Par exemple, une adresse IP du système du véhicule peut très bien constituer une donne personnelle dans la mesure où celle-ci serait recoupée avec d’autres informations telles que des données relatives aux trajets réguliers, immatriculation, au nombre de kilomètres parcourus, au lieu d’achat, au lieu de réparation habituel ou à des habitudes de consommation etc.

Les données de géolocalisation sont par ailleurs des données qui proviennent de la fonction même du véhicule. Pour autant, les responsables de traitements et sous-traitants doivent garder à l’esprit que les données de géolocalisation peuvent également révéler des habitudes personnelles des personnes concernées. Ainsi, les trajets effectués peuvent permettre de déduire le lieu de travail et de résidence, les centres d’intérêt d’un conducteur. A ce titre, l’EDPB souligne que des informations sensibles peuvent être déduites des données de géolocalisation, telles que la religion à travers le lieu de culte. En conséquence, le fabricant de véhicules et d’équipements, le prestataire de services et les autres responsables du traitement des données doivent respecter le principe de minimisation des données. À titre d’exemple, lorsque le traitement consiste à détecter le mouvement du véhicule, le gyroscope est suffisant pour remplir cette fonction, sans qu’il soit nécessaire de collecter des données de localisation.

L’EDPB a apporté dans ses lignes directrices des directives concrètes aux responsables de traitement en les invitant notamment à : 

  • informer systématiquement les utilisateurs sur les finalités du recueil des données de géolocalisation
  • obtenir le consentement des utilisateurs spécifiquement pour la question de la géolocalisation et en fonction de la finalité envisagée
  • ne pas recueillir les données de géolocalisation en continue
  • favoriser l’utilisation d’icônes pour signaler à l’utilisateur les situations où sa position est géolocalisée
  • ne pas configurer par défaut la géolocalisation
  • prévoir la possibilité de désactiver la géolocalisation à tout moment
  • limiter la durée de conservation des données de géolocalisation.

Au titre de la mise en œuvre du principe de privacy-by-design, il est par ailleurs recommandé d’utiliser des procédés qui ne transfèrent pas de données à caractère personnel à l’extérieur du véhicule (c’est-à-dire que les données sont traitées en interne par le système du véhicule). Ce scénario présente l’avantage de garantir à l’utilisateur le contrôle complet de ses données personnelles. Avec cette conception, c’est l’architecture même de l’objet connecté qui prend en compte et intègre le principe de privacy-by-design. Notamment en interdisant tout traitement de données par des tiers à l’insu de l’utilisateur. Cette architecture permet également de traiter des données sensibles telles que des données biométriques ou des données relatives à des infractions, ainsi que des données de localisation détaillées tout en présentant moins de risques en matière de cybersécurité. Le recours à l’edge computing semble à ce titre plus adapté aux véhicules connectés que le recours au cloud. En plus d’être plus efficace, une telle architecture permet de garantir une meilleure sécurité et un traitement de données conforme au respect de la vie privée des personnes. Ceci d’autant plus que l’edge computing permet de ne pas faire transiter de données personnelles par un cloud parfois situé en dehors de l’Union européenne et qui peut poser alors la question des garanties liées à ces transferts.  

Au regard des transferts de données personnelles hors du système interne au véhicule, l’EDPB souligne qu’il est probable qu’une telle pratique ait pour conséquence de créer un risque pour les droits des utilisateurs. Dès lors, il sera probablement nécessaire de procéder à une analyse d’impact pour déterminer quels droits sont potentiellement touchés et quelles garanties mettre en place pour contrebalancer cette atteinte éventuelle.

Par ailleurs, il est recommandé le cas échéant de procéder à l’anonymisation des données qui auraient vocation à quitter le système du véhicule, sous réserve de disposer d’un processus d’anonymisation efficace et effectif.

L’interface utilisateur du véhicule connecté doit également permettre au conducteur et à ses passagers d’aisément comprendre leurs droits lorsqu’ils utilisent le système de bord ou l’un des logiciels embarqués. Un système d’information à deux niveaux est là encore recommandé, c’est-à-dire que l’utilisateur doit pouvoir accepter les conditions générales d’utilisation du système au moment de la mise en service du véhicule mais il doit également être informé en cours d’utilisation du système lorsque de nouveaux logiciels ou services sont utilisés. A chaque fois il sera nécessaire que soient exposés les mentions obligatoires relatives au traitement de données personnelles (contact du responsable de traitement, moyens et finalités du traitement, nature des données personnelles recueillies, durée de conservation des données personnelles, droits de l’utilisateur, etc.)

Il nous semble aussi que la question de la responsabilité conjointe des différents acteurs impliqués sur un projet de véhicule connecté doit être soulevée au regard de la jurisprudence récente de la CJUE[xix] et de l’élargissement de cette notion. En effet, la frontière est parfois complexe entre la qualité de responsable de traitement, de responsable de traitement conjoint et de sous-traitant. Par conséquent, il est conseillé aux constructeurs automobiles de prévenir tout risque, en évaluant et en analysant la nature de chaque partie intervenant et participant au fonctionnement d’un véhicule connecté lorsque des données personnelles sont concernées. Dans le cas d’une responsabilité conjointe, ces responsables de traitement devront contractualiser leurs relations et devront en informer les utilisateurs.


Cybersécurité et véhicules connectés

La question de la sécurité des véhicules connectés est cruciale. L’ENISA a ainsi publié deux guides de bonnes pratiques[xx] à destination des constructeurs et prestataires de logiciels, composants et autres pièces, au sujet de la sécurité des véhicules connectés. Ces deux guides de bonnes pratiques détaillent de façon exhaustive les mesures à mettre en place pour garantir la sécurité des véhicules connectés.

Les constructeurs de véhicules connectés doivent d’abord identifier les risques éventuels, risques qui sont potentiellement très larges[xxi] :

  • la clé connectée du véhicule
  • la prise USB, le Bluetooth, le Wifi, une des puces téléphoniques embarquées
  • un smartphone ou montre connectée reliée au véhicule
  • le point de recharge électrique
  • le boîtier OBD, qui sert de prise de diagnostic pour les réparateurs en fournissant les données sensibles du véhicule (emplacement, informations sur la conduite…) ou par la valise diagnostic que les dépanneurs branchent dessus
  • les dispositifs de connexion d’edge computing
  • le data center du constructeur automobile qui présente un risque pour des millions de véhicules.

Parmi les risques les plus problématiques, l’ENISA  relève notamment les attaques visant à exploiter une vulnérabilité de la console de communication du système de bord (absence de protection contre le relay attack, absence d’authentification, etc.), les attaques directes contre le logiciel de contrôle du véhicule, attaque sur des serveurs de télécommunication pour influencer le comportement des voitures en compromettant les données cartographiques dans le but d’affecter les contrôles de vérification ou même de modifier les données sur les conditions de circulation pour changer l’itinéraire de la voiture…. Il existe aussi l’utilisation de fausses communications pour déployer des microgiciels malveillants avec l’utilisation d’une unité de communication malveillante via l’infrastructure de télécommunication, telle qu’une station émettrice-réceptrice, un routeur Wi-Fi, une Roadsite Unit, dans le but de diffuser un logiciel malveillant ou simplement de perturber les communications de l’infrastructure. Il faut encore citer le déploiement à grande échelle de microgiciels malveillants après le piratage de serveurs de prestataires. Ces quelques attaques ne sont que des façons d’entrer de pénétrer le système du véhicule connecté et les applications n’ont de limite que l’imagination des hackers.

En termes de sécurité, l’EDPB recommande donc plusieurs préconisations aux acteurs de l’automobile :

  • le cryptage des canaux de communication au moyen d’un algorithme
  • la mise en place d’un système de gestion des clés de cryptage qui soit unique à chaque véhicule, et non à chaque modèle
  • le cryptage des données lorsqu’elles sont stockées à distance, au moyen d’algorithmes
  • le renouvellement régulier des clés de cryptage
  • l’authentification des dispositifs de réception des données
  • une garantie de l’intégrité des données (par exemple, par le hachage)
  • un accès aux données à caractère personnel via des techniques fiables d’authentification des utilisateurs (mot de passe, certificat électronique, etc.).
  • En ce qui concerne plus particulièrement les constructeurs de véhicules, l’EDPB recommande la mise en œuvre des mesures de sécurité suivantes et notamment de :
  • séparer les fonctions vitales du véhicule de celles qui reposent toujours sur les capacités de télécommunication (par exemple, l’infotainment)
  • de permettre aux constructeurs de véhicules de corriger rapidement les vulnérabilités de sécurité pendant toute la durée de vie du véhicule
  • de donner la priorité à l’utilisation de fréquences sécurisées spécifiquement dédiées aux transports
  • mettre en place un système d’alarme en cas d’attaque des systèmes du véhicule, avec la possibilité de fonctionner en mode dégradé
  • conserver un historique de tout accès au système d’information du véhicule, par exemple en remontant jusqu’à six mois au maximum, afin de permettre de comprendre l’origine de toute attaque potentielle et de procéder périodiquement à un examen des informations enregistrées afin de détecter d’éventuelles anomalies.

De plus et afin de garantir la sécurité des données personnelles des utilisateurs, il est aussi recommandé de procéder à une certification des systèmes embarqués dans le véhicule connecté (ISO/TC 204, ISO 26262, ETSI TS 102 940, ETSI TS 102 941, ETSI TS 103 097, etc.)

Ce point est en tout état de cause particulièrement important et a été intégré par la Commission européenne dans son programme ambitieux en matière de véhicules connectés[xxii].


Responsabilité et véhicules connectés

« Une décision prise par un véhicule autonome, sans intervention humaine, n’est en définitive que le résultat de l’exécution d’un programme informatique : qui définira les règles éthiques inscrites dans ce programme ? Qui vérifiera que les bases de données utilisées pour l’apprentissage des intelligences artificielles sont suffisantes et n’induisent pas des biais ? »[xxiii]

Avant de chercher à déterminer toute responsabilité, il est nécessaire de mettre en avant l’opportunité que représente la certification des intelligences artificielles dans ce cadre. En effet et à ce titre, le livre blanc de la Commission européenne sur l’intelligence artificielle rappelle que les données d’entrainements des IA devraient utiliser un ensemble de données suffisamment large pour éviter tout mécanisme de discrimination mais aussi pour que tous les scénarios possibles soient envisagés. La question de la certification des IA va de pair avec celle de la responsabilité civile voire pénale lorsque le conducteur a délégué la conduite à la machine. Une éventuelle certification permettrait de mieux contrôler qui du constructeur, de l’IA ou du conducteur a commis une faute.

En France, la réparation des accidents de la route est encadrée par la loi Badinter sur les véhicules terrestres à moteur du 5 juillet 1985, avec pour principe que les dommages causés par un véhicule sont en principe quasiment toujours imputables au conducteur du véhicule. Quid de son application à des véhicules autonomes connectés ? Ne nécessitant que l’implication d’un véhicule terrestre à moteur dans un accident de la route, la loi Badinter pourrait très bien s’appliquer aux voitures autonomes. En effet, le conducteur n’est envisagé qu’en tant que responsable et son action ne constitue pas une condition d’application de la loi Badinter. Dans une telle situation, le conducteur aurait par la suite la possibilité de se retourner contre le fabricant (constructeur automobile), au moyen de la législation sur les produits défectueux ou encore en invoquant un vice caché.

Pour autant, la convention de Vienne sur la circulation routière[xxiv] à laquelle la France est partie, impose la présence d’un conducteur responsable dans tout véhicule. L’étude d’impact de la loi d’orientation des mobilités souligne qu’il est par conséquent nécessaire de modifier la convention de Vienne, afin de pouvoir recourir aux véhicules connectés sur les voies publiques. Ce préalable de révision s’impose à l’entrée en vigueur de l’ordonnance que le Gouvernement est habilité à prendre avec la loi d’orientation des mobilités, concernant la circulation de véhicules connectés sur les voies publiques. Le Gouvernement aura également à se prononcer par ordonnance pour éventuellement adapter le régime de responsabilité des véhicules, aux véhicules autonomes. A noter toutefois, les dispositions de la loi PACTE[xxv] prévoient en matière d’expérimentation de « véhicules à délégation de conduite », que le conducteur n’est responsable pénalement des dommages causés par le véhicule que lorsqu’il dirige le véhicule ou que le véhicule lui demande de reprendre la main. Lorsque le conducteur a délégué la conduite, c’est – pour le moment et dans le cadre des expérimentations – le titulaire de l’autorisation d’expérimentation qui peut voir sa responsabilité engagée si le véhicule autonome est la cause d’un accident.

Le développement des véhicules connectés constitue ainsi un chantier particulièrement intéressant et susceptible d’entraîner une modification du cadre juridique et réglementaire à court terme.


 Les objets connectés en pratique 

  • Identifiez les parties prenantes à ce projet et leur rôle, ainsi que leurs responsabilités en matière de données personnelles
  • Évaluez l’ensemble des données potentiellement concernées ainsi que les données personnelles et données sensibles
  • Auditez les enjeux de protection des donnée personnelles
  • Recourez à l’anonymisation des données personnelles et mettez en place un processus d’authentification des utilisateur
  • Favorisez une information graphique et en plusieurs niveaux

[i] https://www.pwc.fr/fr/industries/automobile.html

[ii] https://www.inria.fr/sites/default/files/2019-10/inrialivreblancvac-180529073843.pdf

[iii] https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-12020-processing-personal-data_en

[iv] https://www.nhtsa.gov/technology-innovation/automated-vehicles-safety#issue-road-self-driving

[v] https://www.hpe.com/fr/fr/what-is/edge-computing.html

[vi] https://www.ngmn.org/wp-content/uploads/NGMN_5G_White_Paper_V1_0.pdf

[vii] https://access.atis.org/apps/group_public/download.php/51129/ATIS-I-0000075.pdf

[viii] https://www.3gpp.org/news-events/3gpp-news/c-v2x

[ix] https://aecc.org/resources/publications/

[x] https://www.ngmn.org/wp-content/uploads/NGMN_5G_White_Paper_V1_0.pd 

[xi] https://digital-strategy.ec.europa.eu/en/policies/cross-border-corridors

[xii] https://lepoool.tech/acklio-leve-2-millions-deuros-pour-devenir-le-leader-mondial-de-linteroperabilite-et-de-la-securite-des-reseaux-iot/

[xiii] https://www.its.dot.gov/stratplan2020/ITSJPO_StrategicPlan_2020-2025.pdf

[xiv] https://www.senat.fr/dossier-legislatif/pjl18-157.html

[xv] https://www.actualitesdudroit.fr/browse/tech-droit/objets-connectes/25289/lom-et-vehicules-connectes-les-forts-enjeux-de-l-ouverture-des-donnees

[xvi] https://www.pwc.fr/fr/decryptages/mobilite/le-vehicule-connecte-et-la-conduite-autonome.html

[xvii] https://www.cnil.fr/sites/default/files/atoms/files/pack_vehicules_connectes_web.pdf

[xviii] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en

[xix] https://curia.europa.eu/juris/document/document.jsf;jsessionid=6550692C0E28C6A237502B8B1F45ABCA?text=&docid=216555&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=5811351 ; https://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130da9f0ec7f929864a3ba51fde3524183ae3.e34KaxiLc3eQc40LaxqMbN4Pb3iPe0?text=&docid=202543&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=501792 

[xx] https://www.enisa.europa.eu/publications/cyber-security-and-resilience-of-smart-cars ; https://www.enisa.europa.eu/publications/smart-cars

[xxi] https://www.bureauveritas.fr/newsroom/nouveau-guide-bureau-veritas-de-bonnes-pratiques-dedie-la-cyber-securite-des-voitures

[xxii] https://digital-strategy.ec.europa.eu/en/policies/connected-and-automated-mobility

[xxiii] https://www.inria.fr/sites/default/files/2019-10/inrialivreblancvac-180529073843.pdf

[xxiv] https://www.unece.org/fileadmin/DAM/trans/conventn/Conv_road_traffic_FR.pdf

[xxv] https://www.legifrance.gouv.fr/dossierlegislatif/JORFDOLE000037080861/

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille 
+33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36