Les Chaires Valeurs et Politiques des Informations Personnelles (VP-IP) et Connected Cars and Cyber Security (C3S)  organisent le 18 novembre 2021 une conférence commune consacrée au traitement des données personnelles dans le contexte des véhicules connectés. Un rapport de recherche sur l’Analyse d’Impact pour la Protection des Données (AIPD) : le cas des voitures connectées sera présenté, et ses conclusions discutées.

Pour participer à l'évènement

Douzième chaire d’enseignement et de recherche de Télécom Paris financée par des entreprises et seconde chaire traitant de cybersécurité, la Chaire Connected Cars & Cyber Security, en partenariat avec Nokia, Renault, Thales, Valeo et Wavestone, conduit ses travaux selon cinq grands axes :

1. L’analyse de risques et sûreté de fonctionnement ;
2. La protection des données et de leurs flux en temps réel, cryptographie et agilité ;
3. L’authentification, l’identité et l’empreinte comportementale ;
4. La résilience « by design» ;
5. La protection des données personnelles impliquées dans le véhicule connecté (aspects juridiques et sociétaux).

Sur ce cinquième axe, la Chaire C3S travaille de façon rapprochée avec la Chaire VP-IP sous la coordination de Claire Levallois-Barth (IMT). C’est dans ce cadre que Jonathan Keller, ingénieur de recherches dans la Chaire C3S et chercheur associé à la Chaire VP-IP, et Claire Levallois-Barth ont mené une étude approfondie sur l’Analyse d’Impact relative à la Protection des Données (AIPD) dans les voitures connectées. Un premier article intitulé « Approche critique des lignes directrices sur les véhicules connectés du CEPD soumises à consultation » avait été ainsi publié en avril 2020 dans la lettre n°17, à l’occasion de la sortie de la première version des lignes directrices du Comité européen pour la Protection des Données (CEPD) sur le « traitement de données personnelles dans le contexte des véhicules connectés et des applications relatives à la mobilité ».

Ces travaux ont fait depuis l’objet d’un Rapport de Recherche complet (voir sommaire plus bas), et d’un document compagnon accessible à un plus large public. Ils seront rendus publics à l’occasion de la conférence commune des deux chaires VP-IP et C3S du 18 novembre matin (voir modalités plus bas).

Les AIPD au prisme d’un cas pratique

La numérisation du véhicule automobile, voire son autonomisation, constitue une source d’espoirs, mais aussi d’inquiétudes. Parmi ces dernières, la crainte d’un panopticon numérique élaboré à l’insu des conducteurs et des passagers, voire des constructeurs, via la collecte et l’utilisation de leurs données personnelles se dessine.

La prévention d’une telle crainte est anticipée par le Règlement Général pour la Protection des Données (RGPD), dont l’article 35 impose au responsable du traitement, dans certaines circonstances, une concertation avec les parties prenantes (sous-traitants et fournisseurs de technologie notamment) préalablement à la mise en œuvre d’un traitement de données personnelles susceptible de comporter un risque pour les droits et libertés des personnes concernées.

Par principe, l’AIPD est obligatoire pour certains types de traitements de données prévus par le RGPD. A cet égard, le texte européen prévoit explicitement une liste de cinq critères distincts : l’évaluation ou la notation d’aspects personnels, la prise de décision automatique, la surveillance systématique à grande échelle d'une zone accessible au public, le traitements à grande échelle de données sensibles ou de données à caractère hautement personnel, les données à grande échelle. Dans ses lignes directrices 1/2020 interprétatives de l’article 35 du RGPD, le CEPD ajoute quatre nouveaux critères alternatifs : le croisement ou la combinaison d’ensembles de données, les données concernant les personnes vulnérables, l’utilisation innovante ou l’application de nouvelles solutions organisationnelles, les traitements empêchant les personnes concernées de bénéficier d’un service ou d’un contrat.

Préalable à la mise en œuvre du traitement, l’obligation de réaliser une AIPD doit être considérée comme remplissant deux fonctions distinctes :

• Définir et évaluer les risques en matière de données personnelles traitées par le responsable du traitement préalablement au déploiement d’un traitement pour identifier et réduire les risques inhérents, et
• Disposer d’un outil de gestion d’appréciation pour la prise de risques afin de prioriser les mesures adéquates à déployer et à paramétrer.

Ces deux fonctions doivent permettre au responsable du traitement de démontrer la conformité de son traitement de données, en soulignant l’existence d’une prévention active afin d’atténuer les effets dommageables du traitement.

Plusieurs méthodologies sont disponibles pour aider le responsable du traitement à réaliser une AIPD. Quatre d’entre elles (CNIL, PRIAM, BSI et NIST) ont été évaluées dans le cadre du rapport de recherche, notre critère principal étant basé sur la question suivante : « quelles sont les méthodologies les plus pertinentes pour analyser les risques encourus dans le cadre d’un traitement de données personnelles impliquant une pluralité de responsables de traitement ? ». Chaque méthodologie présente en effet des avantages et des inconvénients, et prend en compte une assiette de risques différents. Bien qu’étant une manifestation du principe de responsabilité, en pratique, la réalisation d’une AIPD souffre de nombreuses lacunes alourdissant ainsi l’effectivité opérationnelle de l’obligation juridique de la réaliser. Le rapport de recherche démontre ainsi les limites juridiques et pratiques des dispositions prévues par l’article 35 du RGPD et de son interprétation par les lignes directrices européennes et françaises. Située entre une obligation de moyens renforcés dans sa réalisation et une obligation de résultat dans la démonstration de sa preuve documentaire, l’AIPD s’avère un instrument pour le moins difficile à mettre en œuvre.

Pour étudier les méthodologies relatives à l’AIPD, un cas pratique (« Biomem ») reprenant différentes hypothèses de traitements de données personnelles par différents acteurs a été défini en collaboration avec les partenaires de la Chaire C3S. Ce cas pratique – la mise en œuvre de services vidéo à la demande dans un véhicule connecté – offre la possibilité d’appliquer quatre méthodologies d’analyse d’impacts pour en déduire leur efficacité dans un tel contexte et définir les mesures d’atténuation du risque adéquates. Trois hypothèses sont étudiées, selon que le service Biomem est fourni par une entité autonome, par le constructeur du véhicule ou par le fournisseur de vidéo à la demande en tant que service ancillaire. Le droit et les dispositions applicables aux données d'inscription, aux données biométriques et aux données de géolocalisation sont examinés. Des entretiens avec des responsables de traitements, tiers à la Chaire, ont été effectués (retours d’expérience).

Dans sa troisième partie, le rapport de recherche effectue un exercice de droit comparé. En effet, les incertitudes, désignées sous la terminologie de « risques », sont principalement appréciées au niveau européen par les deux systèmes juridiques européens, celui du Conseil de l’Europe et celui de l’Union européenne. Cette appréciation est en pratique effectuée par deux cours mises en place par ces systèmes, la Cour européenne des droits de l’homme et la Cour de Justice de l’Union européenne. Par ailleurs, la question de l’appréciation des dommages et intérêts au titre du RGPD nécessite d’étudier la pratique judiciaire dans des États tiers à l’Union européenne. Notamment, des décisions rendues aux États-Unis d’Amérique et au Royaume-Uni prononcent des sanctions pécuniaires et invitent à examiner la notion de préjudice. Les diverses décisions prises par des autorités étrangères permettent d’explorer l’éventuelle transposition en droit français de ces tendances anglo-saxonnes.

Le rapport de recherche et le document compagnon permettent de mieux situer le processus d’Analyse d’Impact relative à la Protection des Données dans le contexte réglementaire, et d’envisager les méthodologies d’AIPD les plus pertinentes en fonction des besoins rencontrés.

Contenu du rapport de recherche "Analyse d’Impact pour la Protection des Données : le cas des voitures connectées"

• Introduction
• Partie 1 : Définition du cas pratique Biomem
  • Chapitre 1 : Présentation des trois hypothèses du cas pratique Biomem
  • Chapitre 2 : Droit applicable aux traitements effectués par Biomem
• Partie 2 : Les méthodologies d’analyse de risque en matière de protection de données personnelles
  • Chapitre 1 : Position du Comité européen de protection des données sur les analyses d’impact relative à la protection des données personnelles (AIPD)
  • Chapitre 2 : Retours des expériences sur les modalités de réalisation de l’AIPD
  • Chapitre 3 : L’analyse des quatre méthodologies retenues sous le prisme des Lignes directrices AIPD du Comité européen de protection des données
• Partie 3 : La Judiciarisation des risques liés aux données personnelles
  • Chapitre 1 : L’appréciation des risques par la Cour européenne des droits de l’Homme et par la Cour de justice de l’Union européenne
  • Chapitre 2 : L’appréciation de la violation des données personnelles par le juge judiciaire
• Conclusion