Comment les constructeurs auto collectent puis revendent vos informations

Devinez lequel de vos biens collecte le plus activement vos informations personnelles à des fins d’analyse et de revente ?

Votre véhicule. D’après les experts de Mozilla Foundation, ni les montres connectées, ni les haut-parleurs intelligents, ni les caméras de surveillance ni aucun autre gadget analysé par le projet Confidentialité non incluse n’égalent les volumes de collecte de données des automobiles modernes. Dans le cadre de ce projet, des experts examinent les contrats d’utilisation et les politiques de confidentialité afin de comprendre comment les appareils utilisent les données personnelles de leurs propriétaires.

Pour la première fois dans l’histoire du projet, absolument toutes les marques automobiles (25 sur 25) ont reçu un « carton rouge » en raison de l’ampleur inacceptable de la collecte d’informations personnelles, du manque de transparence dans leur utilisation et des pratiques de transmission et de stockage des données mal documentées (par exemple, on ne sait pas si un système de chiffrement est utilisé). Pire encore, 19 marques sur 25 déclarent officiellement pouvoir revendre les informations qu’elles collectent. Cerise sur le gâteau de ces atteintes à la vie privée, les propriétaires d’une voiture n’ont pratiquement pas la possibilité de refuser la collecte et la transmission des données : seules deux marques, Renault et Dacia, offrent à leur propriétaire le droit de supprimer les données personnelles collectées ; cependant, il n’est pas si facile de savoir si vous devez exercer ce droit.

Écris en petites lettres dans les contrats de licence que les acheteurs de voitures acceptent généralement sans même lire, ils contiennent des violations tout à fait scandaleuses des droits à la vie privée. Par exemple, le consentement du propriétaire pour le partage de ses préférences sexuelles et de ses informations génétiques (Nissan), la divulgation d’informations à la demande informelle des forces de l’ordre (Hyundai), et la collecte de données sur le niveau de stress, le tout en plus des 160 autres catégories de données aux intitulés délibérément vagues, comme « informations démographiques », « images », « informations de paiement », « géolocalisation », etc.

La marque la plus mal notée est Tesla, ce qui lui vaut, en plus de tous les autres points de pénalité possibles, de recevoir une mention spéciale : « IA indigne de confiance ».

Comment les voitures collectent des informations

Les voitures modernes regorgent littéralement de capteurs, allant des capteurs du moteur et du châssis qui mesurent la température du moteur, l’angle du volant ou la pression des pneus à d’autres plus intéressants, comme les caméras périmétrique et intérieure, les microphones et les capteurs de présence des mains sur le volant.

Le tout étant connecté sur un même réseau, l’ordinateur principal de la voiture reçoit toutes ces informations de manière centralisée. De plus, toutes les voitures modernes sont équipées de modules GPS et de communication cellulaire, mais également Bluetooth et Wi-Fi. La présence des communications cellulaires et du GPS dans de nombreux pays est imposée par la loi (pour appeler automatiquement les secours en cas d’accident), mais les fabricants utilisent volontiers cette fonctionnalité aussi bien pour le confort du conducteur que pour eux-mêmes. Vous pouvez planifier un parcours sur l’écran de la voiture, diagnostiquer les pannes à distance, démarrer la voiture à l’avance… Et bien sûr, le pont « capteurs et caméras → ordinateur de bord → réseau mobile » crée un canal permanent de collecte d’informations : où vous allez, où et combien de temps vous restez garé, à quelle vitesse vous tournez le volant et accélérez, si vous utilisez la ceinture de sécurité, etc.

D’autres informations sont collectées à partir du smartphone du conducteur lorsqu’il est connecté à la voiture pour passer des appels, écouter de la musique, naviguer, etc. Et si le smartphone est équipé d’une application mobile du constructeur automobile permettant de contrôler les fonctionnalités de la voiture, les données peuvent être collectées même lorsque le conducteur n’est pas dans la voiture.

À leur tour, les informations sur les passagers peuvent être recueillies à l’aide des appareils photo, des microphones, des points d’accès Wi-Fi et des fonctionnalités Bluetooth. Grâce à elles, il est facile de savoir qui voyage régulièrement avec le conducteur, quand et où il monte et sort, quel smartphone il utilise, etc.

Pourquoi les constructeurs automobiles ont-ils besoin de ces informations ?

Pour gagner plus d’argent. Outre l’analyse visant à « l’amélioration de la qualité des produits et des services », les données peuvent être revendues, et les fonctionnalités de la voiture adaptées afin d’accroître les bénéfices du constructeur.

Par exemple, les compagnies d’assurance achètent des informations sur le style de conduite d’un conducteur particulier afin de prévoir avec plus d’exactitude la probabilité d’un accident et d’ajuster leurs tarifs d’assurance. Déjà en 2020, 62 % des voitures étaient équipées de cette fonctionnalité controversée en usine, et ce chiffre devrait atteindre les 91 % en 2025.

Les entreprises de marketing sont également désireuses d’utiliser ces données pour cibler leurs annonces en fonction des revenus, de l’état civil et de la situation sociale du propriétaire.

Cependant, même sans revente de données personnelles, il existe de nombreux autres scénarios de monétisation désagréables, comme l’activation ou la désactivation de fonctionnalités supplémentaires de la voiture via des abonnements, comme BMW a essayé en vain de le faire avec les sièges chauffants, ou la vente de voitures chères à crédit avec verrouillage forcé du véhicule en cas de défaut de paiement.

Quel est le problème avec la collecte de données et la télématique ?

Même si vous pensez « qu’il n’y a rien de mal à diffuser des annonces » et « qu’il n’y a rien d’intéressant à apprendre sur vous », tenez compte des risques supplémentaires auxquels vous et votre voiture êtes exposés en raison des technologies décrites ci-dessus.

Fuites de données. Les fabricants collectent activement vos informations et les stockent de manière permanente, sans protection suffisante. Tout récemment, Toyota a admis avoir divulgué 10 ans de données, toutes recueillies auprès de millions de véhicules compatibles avec le cloud. Audi a fait l’objet d’une fuite d’informations concernant 3,3 millions de clients. D’autres constructeurs automobiles ont également été victimes de violation des données et de cyberattaques. Si autant de données personnelles tombent entre les mains de vrais criminels et d’escrocs, et pas seulement de spécialistes du marketing, le résultat peut être catastrophique.

Vol. En 2014, nous avons exploré la possibilité de voler un véhicule via les fonctionnalités dans le cloud. Depuis 2015, il est clair que la prise de contrôle à distance d’une voiture par des malfaiteurs n’est pas une fantaisie futuriste, mais une dure réalité. Ces dernières années, les vols de voitures ont souvent exploité la transmission à distance de signaux provenant d’un porte-clés légitime, mais l’épidémie de « détournements TikTok » de KIA et Hyundai de l’année dernière était basée sur les fonctionnalités intelligentes de la voiture et ne nécessitait que l’insertion d’une clé USB par le voleur.

Surveillance des proches. Lorsque la voiture ne vous appartient pas, mais est celle d’un parent ou de l’employeur, le propriétaire peut suivre la position de la voiture, définir les limites géographiques d’utilisation, les limites de vitesse et la durée de conduite autorisée, et même régler le volume du système audio ! De nombreuses marques de voitures, comme Volkswagen et BMW, proposent de telles fonctionnalités. Comme nous le savons grâce à nos recherches sur les stalkerwares et aux récents scandales de pistage AirTag, de telles capacités ne demandent qu’à être utilisées à mauvais escient.

Comment réduire les risques ?

En raison de l’ampleur du problème, il n’existe pas de solutions simples. Par conséquent, voici quelques mesures de protection par ordre décroissant de degré de radicalité :

1. Déplacez-vous à pied ou à vélo.
2. Achetez un ancien modèle de voiture. Presque toutes les voitures fabriquées avant 2012 ont des capacités de collecte et de transmission de données très limitées.
3. Achetez une voiture avec un minimum de capteurs « intelligents » et/ou sans module de communication. Certains fabricants proposent des configurations de base aux capacités limitées, mais pour cela, il faut lire attentivement le manuel de l’utilisateur. L’absence de module de communication dédié (GSM/3G/4G) dans la voiture est un signe fiable de ses capacités limitées. Notez que de plus en plus de voitures sont équipées de fonctionnalités intelligentes, même dans les configurations de base (cette voie a déjà été pavée par les téléviseurs intelligents – ils gagnent de l’argent en collectant et en vendant des données).
4. N’installez pas l’application mobile de la voiture sur votre téléphone. Bien sûr, démarrer la voiture depuis son smartphone ou la faire chauffer avant de monter est souvent pratique, mais faut-il payer pour ces fonctionnalités avec des informations strictement personnelles, en plus de l’argent que vous dépensez ? C’est très discutable.
5. N’activez pas les fonctionnalités d’appairage Apple CarPlay ou Android Auto. Lorsque ces fonctionnalités sont activées, le fabricant du système d’exploitation du smartphone reçoit toutes sortes d’informations de la voiture, et la voiture, à son tour, reçoit les informations du téléphone.
6. Ne connectez pas la voiture à votre téléphone via Bluetooth ou Wi-Fi. De cette manière, vous perdez de nouveau certaines fonctionnalités, mais au moins la voiture n’enverra pas d’informations au fabricant via le téléphone, et elle ne téléchargera pas non plus le carnet d’adresses du téléphone et d’autres données personnelles. Vous pouvez trouver un compromis en établissant une connexion Bluetooth uniquement pour les protocoles « casque » et « écouteurs » : vous pourrez écouter la musique de votre téléphone sur les haut-parleurs de la voiture, mais la transmission d’autres types de données (comme le carnet d’adresses) ne sera pas possible.
7. Un conseil bonus, qui n’exclut pas les précédents : Mozilla suggère de signer une pétition collective aux constructeurs automobiles, les exhortant à modifier leur modèle économique et à cesser de gagner de l’argent en espionnant les clients. Le pouvoir aux pétitionnaires !