10 minute read
Voitures connectées : tout n’est pas permis
from link2fleet 243 - FR
by link2fleet
1 » Le traitement des données de localisation nécessite la mise en place de protections particulières afin d'éviter la surveillance des personnes et l'utilisation abusive des données.
Voitures connectées géolocalisées et GDPR
Tout n’est pas permis !
Bien que souvent vue comme nécessaire pour assurer une meilleure gestion des véhicules, la géolocalisation pose parfois question. Il y a d'ailleurs quelques règles à respecter et à bien connaître avant d'installer des boitiers de géolocalisation dans vos véhicules. Le cabinet Koan Law Firm nous éclaire sur le sujet. (1)
par Stéphane Willemart & Laurent Willemart (Koan Law Firm)
(2). » L’automobile est devenue une machine ultraconnectée générant et transportant une quantité astronomique de données. Les conducteurs et passagers sont de plus en plus connectés, les environnements (villes, chaussées, parkings) dans lesquels évoluent les véhicules le sont également, et les derniers modèles mis sur le marché, voitures connectées pour la plupart, peuvent désormais collecter et enregistrer, entre autres, les performances du moteur, les habitudes de conduite, les lieux visités, voire les mouvements des yeux du conducteur, son pouls ou des données biométriques dans le but d'identifier une personne physique de manière unique.
Le RGPD (2)
Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est d’application. De telle sorte que l’ensemble des données qui répondent à la notion de données personnelles - à savoir, toute information relative à une personne physique
QUICK-CATCH
• Les données collectées par une voiture connectée répondent à la notion de données personnelles, même si elles ne sont qu’indirectement liées à un individu. • Les éventuelles fuites de ces données sont condamnées par le RGPD. • Le traitement des données de localisation nécessite la mise en place de protections afin d'éviter la surveillance des personnes et l'utilisation abusive des données. • Les données de localisation ne peuvent être collectées que si cela est absolument nécessaire. • La géolocalisation des véhicules professionnels doit répondre à quatre principes pour être acceptée : légalité, légitimité, proportionnalité et transparence.
(3).
(4). identifiée ou identifiable, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres - qui feraient l’objet d’un traitement (une opération) doivent être protégées par le responsable du traitement. Ledit traitement doit être fondé sur une des bases juridiques prévues dans le RGPD et doit viser une finalité, un objectif particulier. Même si les données collectées par une voiture connectée ne sont pas directement liées à un individu, mais à des aspects techniques et/ou à des caractéristiques du véhicule, elles concernent directement ou indirectement le conducteur ou les passagers de la voiture qui peuvent être identifiés et répondent de ce fait à la notion de données personnelles. Les technologies embarquées dans les automobiles actuelles et la masse d’informations générées par celles-ci exposent les individus à des fuites de données qui ne seraient pas protégées, lesquelles fuites sont, à certaines conditions, condamnées par le RGPD. Parmi les technologies visées, la géolocalisation des véhicules prend une place importante dans la protection des données personnelles.(3)
La géolocalisation
Le 9 mars 2021, le Comité Européen de la Protection des Données (CEPD) publiait ses lignes directrices amandées sur le traitement des données personnelles dans le contexte des véhicules connectés et des applications liées à la mobilité (4). Dans ces lignes directrices, le CEPD rappelle que le traitement des données de localisation, dont la nature de plus en plus intrusive peut mettre à mal les possibilités actuelles de rester anonyme (droit à la vie privée), nécessite la mise en place de protections particulières afin d'éviter la surveillance des personnes et l'utilisation abusive des données. De fait, lors de la collecte de données à caractère personnel, les responsables du traitement (constructeurs, prestataires de services, assureurs …) des données doivent garder à l'esprit que les données de localisation sont particulièrement révélatrices des habitudes de vie des personnes concernées. Tout trajet est susceptible de faire apparaître une donnée personnelle au sens du RGPD en ce qu'il permet de déduire le lieu de travail ou de résidence ainsi que les centres d'intérêt d'un conducteur. Les trajets peuvent également, éventuellement, révéler des données sensibles au sens du RGPD comme la religion, via le lieu de culte auquel se rend le conducteur, ou l'orientation sexuelle, par la liste des lieux visités ou la fréquence de ces visites.
Les risques intrinsèques à la géolocalisation et leur gestion
Le CEPD insiste dès lors sur l’importance de voir les responsables du traitement être particulièrement vigilants à ne pas collecter de données de localisation sauf si cela est absolument nécessaire à la finalité du traitement. Ainsi, à titre d’exemple, lorsque le traitement consiste à détecter si le véhicule est en déplacement ou non, les données du gyroscope sont suffisantes pour assurer cette finalité sans qu'il soit nécessaire de collecter des données de localisation, lesquelles sont plus précises et de ce fait, plus sensibles. Pour le bon ordre, la collecte des données de localisation est généralement soumise au respect des principes suivants : • La configuration adéquate de la fréquence d'accès aux données de localisation collectées et de leur niveau de détail par rapport à la finalité du traitement. Par exemple, une application météo ne devrait pas pouvoir accéder à la localisation du véhicule toutes les secondes, même avec le consentement de la personne concernée, parce que la finalité (indiquer la météo au conducteur) ne nécessite pas une localisation précise en temps réel et continu pour être effectuée correctement. • Plus généralement, la localisation ne doit être activée que lorsque l'utilisateur lance une fonctionnalité qui nécessite de connaître l'emplacement exact du véhicule, et non par défaut et en permanence au démarrage de la voiture. • La finalité du traitement doit faire l’objet d’une information précise auprès des individus. Ainsi, si
l’historique des localisations est enregistré, la finalité doit être précisément renseignée à la personne concernée, de même que la période de stockage (limitée). La personne concernée devra également être informée que la localisation a été activée, notamment par l'utilisation d'icônes sur le tableau de bord. • Lorsque le traitement est fondé sur le consentement (une des 6 bases juridiques prévues par le
RGPD), celui-ci doit être valable (libre, spécifique et éclairé) et distinct des conditions générales de vente ou d'utilisation. • Enfin, il faut prévoir la possibilité pour les personnes concernées de désactiver la localisation à tout moment. Par ailleurs, les services de géolocalisation impactent également les relations professionnelles en ce qu’elles offrent à l’employeur des informations importantes sur les membres du personnel. Les travailleurs ou leurs véhicules sont ainsi susceptibles d’être tracés dans l’espace et dans le temps, et les données révélées constituent à cet effet des données à caractère personnel plus ou moins sensibles selon leur utilisation. L’Autorité de Protection des Données (5) (APD) rappelle à cet égard que la géolocalisation des véhicules professionnels doit répondre, pour être acceptée, à quatre principes : légalité, légitimité, proportionnalité et transparence. En tout état de cause, le dispositif de géolocalisation installé dans le véhicule d’un employé ne peut pas servir à le contrôler en permanence (a
2 » Le dispositif de géolocalisation ne peut pas servir à contrôler en permanence l'employé, ni à contrôler le respect des limitations de vitesse.
(5).
2
2
3
3 » La conservation des données des véhicules connectées dans les systèmes de gestion est limitée dans le temps.
(6).
(7). fortiori en dehors du temps de travail) ni à contrôler le respect des limitations de vitesse. À cet égard, le CEPD relève une dernière situation critique concernant les données de géolocalisation lorsque celles-ci révèlent des infractions pénales ou d'autres infractions (lesquelles sont considérées comme sensibles dans le RGPD). De fait, certaines catégories de données à caractère personnel provenant de véhicules connectés pourraient révéler qu'une infraction pénale ou une autre infraction a été ou est en train d'être commise (par exemple, les données indiquant que le véhicule a franchi une ligne blanche, la vitesse instantanée d'un véhicule combinée à des données de localisation précises). À quelques exceptions près (comme les études d’accidentologie auxquelles les personnes concernées prendraient volontairement part ou le traitement de ces données par les autorités publiques), le traitement externe de données révélant des infractions pénales ou d'autres infractions est interdit (art. 10 RGPD). Les données personnelles relatives et/ou révélées par la géolocalisation constituent un risque réel pour les responsables du traitement, a fortiori au regard de la quantité de données générées par ce type de technologies. Il est dès lors primordial pour les responsables du traitement d’adopter toutes les mesures de sécurité requises aux finalités auxquelles ces données sont dévouées.
Les sanctions
Dans le cas contraire, le RGPD prévoit des sanctions importantes pour toute violation des règles qui y sont édictées (art. 13 et 14 ainsi que 37 à 39 du RGPD). Ainsi, en juin 2019, le Conseil d’État français a confirmé la décision de la CNIL (6) (autorité pour la protection des données en France) condamnant Google à une amende de 50 millions d’euros pour violation des règles européennes en matière de protection des données au motif que « le niveau d’information proposé aux utilisateurs [lors de leur inscription à Android] apparaît excessivement général eu égard à l’ampleur des traitements opérés par la société, au degré d’intrusion dans la vie privée qu’ils impliquent et au volume et à la nature des données collectées ». (7) Nul doute que l’ampleur des traitements opérés, le degré d’intrusion dans la vie privée et le volume ainsi que la nature des données collectées par les technologies de géolocalisation des personnes concernées via leurs voitures connectées doit inciter les acteurs du secteur automobile à informer précisément ces personnes et à mettre en place l’ensemble des mesures techniques de sécurité pour éviter semblable condamnation. n
Stéphane Willemart (Koan Law Firm) Laurent Willemart (Koan Law Firm)
Avant-gardiste. Comme vous.
La nouvelle Audi Q4 e-tron 100% électrique
Toujours aller de l’avant et se lancer de nouveaux défis… c’est tellement vous. Et aussi, tellement la nouvelle Audi Q4 e-tron. Ce SUV compact et spacieux à la fois offre une autonomie allant jusqu’à 520 km (WLTP), l’affichage tête haute en réalité augmentée, le système audio SONOS qui transforme l’écoute en une expérience acoustique... Ces technologies innovantes la propulsent au rang des avant-gardistes. Tout comme vous. 100% électrique, 100% déductible fiscalement, 100% vous.
Découvrez-la maintenant.
Plus d’infos
Il y a déjà une Audi Q4 e-tron à partir de 535€/mois HTVA en Location Long Terme «Full Service».1
17,0-20,0kWh/100KM ◆ 0G CO2/KM (WLTP)
Contactez votre distributeur Audi pour toute information relative à la fiscalité de votre véhicule.
1. Audi Q4 35 e-tron 170 ch. Prix catalogue TVAC: 41990€. Loyer TVAC: 647,35€. Offre en Location Long Terme «Full Service» Audi Financial Services calculée sur base de 60 mois et 100000 kilomètres sous condition d’un score bonus-malus de 0. La Location Long Terme «Full Service» comprend les entretiens et les réparations, les assurances, le véhicule de remplacement, l’assistance routière, les pneus et les taxes. Offre réservée aux professionnels. Prix au 26/05/2021 et valables jusqu’au 30/07/2021 inclus. Sous réserve d’acceptation du dossier par D’Ieteren Lease s.a. (filiale et agent de crédit lié de Volkswagen D’Ieteren Finance s.a.) dont Audi Financial Services est une dénomination commerciale. Siège social: Leuvensesteenweg 679, 3071 Kortenberg – RPM: Leuven 0402623937. D’Ieteren Lease s.a. est un agent d’assurances de P&V Assurance (code 0058). Sous réserve d’erreurs et de changements de prix. 2. Le produit «3 ans de garantie» est un produit proposé par Audi Import Belgique. Veuillez consulter www.audi.be pour les conditions de cette garantie. Modèle présenté avec options payantes. E.R./Annonceur: D’Ieteren Automotive s.a., Audi Import Belgique, rue du Mail 50, 1050 Ixelles - BCE n° 0403.448.140, numéro de compte IBAN BE 0466 909 993.
GUIDE DE LA FISCALITÉ AUTOMOBILE 2021
Economisez des milliers d’euros chaque année sur vos voitures de sociétés !
La méconnaissance des mécanismes scaux peut conduire à des surcoûts importants à la fois pour l’employeur et pour l’employé lors du choix de véhicules de société.
link2 eet, en partenariat avec la société de consultance et d’audit BDO Belgium, a résumé pour vous toutes les matières scales au sein d’un guide clair, précis et facile à consulter : ATN, dépenses non admises, frais déductibles, TVA et déductibilité, carte carburant, cotisation CO2 ...
Recevez les mises à jour scales directement dans votre boîte e-mail (pendant un an) et soyez les premiers informés ! Ces alertes scales sont réservées aux personnes ayant acheté le Taxation Guide.
