La Fondation Mozilla prévient que les constructeurs automobiles ne parviennent pas à donner aux conducteurs un contrôle suffisant sur la confidentialité de leurs données.
Les chercheurs préviennent que les voitures modernes sont des « écoutes téléphoniques sur roues », les constructeurs ne parvenant pas à donner aux conducteurs le contrôle de la confidentialité de leurs données.
Dans son enquête « Privacy Not Included », la Fondation Mozilla a déclaré que la plupart des grands fabricants admettent qu’ils pourraient vendre des informations personnelles sur les conducteurs, la moitié d’entre eux déclarant qu’ils les partageraient avec les gouvernements ou les forces de l’ordre sans ordonnance du tribunal.
La multiplication des capteurs dans les automobiles – de la télématique aux consoles de commande entièrement numérisées – en a fait de prodigieux centres de collecte de données.
Les chercheurs affirment que les conducteurs n’ont que peu ou pas de contrôle sur les données personnelles collectées par leurs véhicules. Ils avertissent également que les normes de sécurité sont vagues, ce qui constitue une grande préoccupation étant donné les antécédents de vulnérabilité des constructeurs automobiles au piratage.
« Les voitures semblent être vraiment passées sous le radar de la protection de la vie privée et j’espère vraiment que nous pourrons aider à remédier à cela car elles sont vraiment horribles », a déclaré Jen Caltrider, responsable de la recherche de l’étude. « Les voitures sont équipées de microphones et les gens y ont toutes sortes de conversations sensibles. Les voitures ont des caméras tournées vers l’intérieur et l’extérieur.
À moins d’opter pour un modèle d’occasion pré-numérique, les acheteurs de voitures « n’ont tout simplement pas beaucoup d’options », a déclaré Caltrider.
Les voitures ont obtenu les pires résultats en matière de confidentialité parmi plus d’une douzaine de catégories de produits – y compris les trackers de fitness, les applications de santé reproductive, les haut-parleurs intelligents et autres appareils électroménagers connectés – que Mozilla étudie depuis 2017.
Vingt-cinq marques automobiles – choisies pour leur popularité en Europe et en Amérique du Nord – ont vu leurs déclarations de confidentialité révisées. Aucun d’entre eux ne répondait aux normes minimales de confidentialité de Mozilla, qui promeut les technologies open source d’intérêt public et gère le navigateur Firefox. En revanche, 37 % des applications de santé mentale examinées par l’organisation à but non lucratif cette année l’ont fait.
Les constructeurs automobiles vendent vos données personnelles
Dix-neuf constructeurs automobiles déclarent pouvoir vendre vos données personnelles, révèlent leurs avis. La moitié partagera vos informations avec le gouvernement ou les forces de l’ordre en réponse à une « demande », plutôt que d’exiger une ordonnance du tribunal. Seulement deux, Renault et Dacia, qui ne sont pas vendus en Amérique du Nord, offrent aux conducteurs la possibilité de faire supprimer leurs données.
« De plus en plus, la plupart des voitures sont mises sur écoute », a déclaré Albert Fox Cahn, chercheur en technologie et droits de l’homme au Carr Center for Human Rights Policy de Harvard. « Les appareils électroniques pour lesquels les conducteurs paient de plus en plus d’argent collectent de plus en plus de données sur eux et leurs passagers. »
« Il y a quelque chose de particulièrement envahissant dans le fait de transformer l’intimité de sa voiture en un espace de surveillance d’entreprise », a-t-il ajouté.
Un groupe commercial représentant les constructeurs de la plupart des voitures et camions légers vendus aux États-Unis, l’Alliance pour l’innovation automobile, a contesté cette caractérisation. Dans une lettre envoyée mardi aux dirigeants de la Chambre des représentants et du Sénat américain, l’entreprise déclare partager « l’objectif de protéger la vie privée des consommateurs ».
Il a appelé à une loi fédérale sur la protection de la vie privée, affirmant qu’un « patchwork de lois nationales sur la protection de la vie privée crée une confusion parmi les consommateurs quant à leurs droits à la vie privée et rend inutilement difficile leur conformité ». L’absence d’une telle loi permet aux appareils connectés et aux smartphones d’accumuler des données pour un ciblage publicitaire personnalisé et d’autres activités de marketing – tout en augmentant les risques de vol massif d’informations dû à des failles de cybersécurité.
L’Associated Press a demandé à l’Alliance, qui a résisté aux efforts visant à fournir aux propriétaires de voitures et aux ateliers de réparation indépendants un accès aux données embarquées, si elle soutenait le fait de permettre aux acheteurs de voitures de se désinscrire automatiquement de la collecte de données – et de leur accorder la possibilité de supprimer les données collectées. Le porte-parole Brian Weiss a déclaré que, pour des raisons de sécurité, le groupe « s’inquiète » de laisser les clients se désinscrire complètement, mais il est favorable à leur donner un plus grand contrôle sur la manière dont les données sont utilisées à des fins de marketing et par des tiers.
Dans une enquête Pew Research de 2020, 52 % des Américains ont déclaré qu’ils avaient choisi de ne pas utiliser un produit ou un service parce qu’ils s’inquiétaient de la quantité d’informations personnelles qu’il collecterait à leur sujet.
Les chercheurs de Mozilla ont déclaré que la plupart des marques automobiles ignoraient leurs questions envoyées par courrier électronique à ce sujet, celles qui le faisaient offrant des réponses partielles et insatisfaisantes.
La société japonaise Nissan a stupéfié les chercheurs par le niveau d’honnêteté et la ventilation détaillée de la collecte de données fournie par son avis de confidentialité, un contraste frappant avec les grandes entreprises technologiques telles que Facebook ou Google. Les « informations personnelles sensibles » collectées comprennent les numéros de permis de conduire, le statut d’immigration, la race, l’orientation sexuelle et les diagnostics de santé.
En outre, Nissan affirme pouvoir partager des « inférences » tirées des données pour créer des profils « reflétant les préférences, les caractéristiques, les tendances psychologiques, les prédispositions, le comportement, les attitudes, l’intelligence, les capacités et les aptitudes du consommateur ».
C’était l’un des six constructeurs automobiles qui ont déclaré pouvoir collecter des « informations génétiques » ou des « caractéristiques génétiques », ont découvert les chercheurs.
Nissan a également déclaré avoir collecté des informations sur « l’activité sexuelle ». Sans expliquer comment.
La marque entièrement électrique Tesla a obtenu un score élevé sur l’indice « effrayant » de Mozilla. Si un propriétaire se désengage de la collecte de données, l’avis de confidentialité de Tesla indique que l’entreprise pourrait ne pas être en mesure d’informer les conducteurs « en temps réel » des problèmes qui pourraient entraîner « une fonctionnalité réduite, des dommages graves ou une inopérabilité ».
Ni Nissan ni Tesla n’ont immédiatement répondu aux questions sur leurs pratiques.
Mozilla a crédité des lois telles que le règlement général sur la protection des données de l’Union européenne des 27 pays et la loi californienne sur la protection de la vie privée des consommateurs pour avoir obligé les constructeurs automobiles à fournir les informations de collecte de données existantes.