Exigences générales pour le traitement des données relatives aux véhicules à moteur

Les véhicules à moteur sont de plus en plus nombreux à être équipés de technologies modernes (GPS, puces) ayant en mémoire des informations sur les itinéraires et les habitudes de conduite. On peut à ce propos émettre des réserves du point de vue de la protection des données. Il convient en premier lieu de déterminer s’il s’agit en l’occurrence de données personnelles. Dans l’affirmative, la question se pose de savoir quelles données sont sauvegardées, quelle est l’étendue et la finalité du traitement. Enfin, il est également important de savoir comment les données sauvegardées sont protégées contre un accès non autorisé.

Selon la définition de l’art. 3 de la loi sur la protection des données (LPD), toutes les informations qui se rapportent à une personne identifiée ou identifiable sont des données personnelles. Une personne est identifiable lorsque l’on peut lui attribuer une information sans mettre en œuvre des moyens excessifs. Etant donné que le détenteur- en règle générale aussi le conducteur- d’un véhicule immatriculé est de toute manière identifiable, les informations concernant le véhicule doivent être en principe considérées comme des données personnelles. Pour ce qui est des données relatives au moteur et à l’exploitation d’un véhicule, il convient de faire la distinction entre les informations qui se rapportent aux habitudes de conduite ou qui permettent de tirer des conclusions à ce propos (par ex. les données concernant la vitesse, le nombre de tours, la manière de passer les vitesses) et les informations qui ne concernent que l’état technique du véhicule (niveau d’huile, pression des pneus, etc.). Dans le dernier cas, il ne semble pas y avoir de rapport suffisamment étroit avec une personne déterminée. Par contre, les enregistrements de données géographiques de navigation (par ex. les coordonnées GPS) doivent être considérées comme des données personnelles.

La LDP est applicable lorsque les données relatives au moteur et l’exploitation du véhicule sont considérées comme des données personnelles. Dans ce cas, la collecte et le traitement réguliers de ces données ne sont permis que s’ils sont licites et les principes fondamentaux de la protection des données doivent être respectés.

Tout traitement de données doit reposer sur un motif justificatif. Dans le présent contexte, le consentement des personnes concernées ou l’exécution du contrat peuvent servir de motif justificatif. Mais indépendamment de cela, le contrat doit indiquer de manière suffisamment précise les traitements prévus, comme l’exige le principe de transparence. Il convient en conséquence d’informer le détenteur du véhicule du but dans lequel les données sont enregistrées, de quelles données il s’agit, du lieu où elles sont enregistrées ou rendues accessibles et par qui, et enfin de l’analyse des données qui sera faite.

Sous l’angle de la protection des données, les traitements de données qui sont effectués dans le cadre de travaux d’entretien ou de réparation à des fins de prestation de garantie ou de service ne posent pas de problèmes. Mais si le traitement va plus loin (si par exemple plus de données que nécessaire sont traitées ou qu’elles le sont dans un autre but que celui indiqué) il n’est licite que si les personnes concernées en sont informées et ont donné leur consentement. Dans toute la mesure du possible, les données doivent être traitées après avoir été rendues anonymes, conformément au principe de proportionnalité.

Les personnes procédant au traitement sont en outre tenues de garantir la sécurité des données en prenant des mesures techniques et organisationnelles appropriées. Citons par exemple le contrôle des utilisateurs et des accès, ainsi que le cryptage des données.

Il convient de tenir compte des exigences légales que doit remplir une transmission à l’étranger des données relatives au moteur et à l’exploitation. Rappelons à cet égard que les exigences en matière de protection des données en vigueur dans les pays de l’UE sont en général similaires à celles en vigueur en Suisse.

Si l’analyse de données relatives au moteur, à l’exploitation ou encore de données géographiques de navigation concerne une voiture de service ou d’entreprise, il convient de veiller aussi, selon les circonstances, au respect des exigences légales relatives à la surveillance des collaborateurs à leur poste de travail. Cela pourrait par exemple être le cas lorsque l’exploitation de ces données concerne certains collaborateurs qui ont besoin de ce véhicule pour accomplir une part essentielle de leur activité (par ex. les collaborateurs des services extérieurs); ce genre de surveillance n’est licite qu’exceptionnellement et dans certaines conditions.

La police et les autorités de poursuite pénale peuvent, dans le cadre des bases légales applicables - consulter les données relatives au moteur et à l’exploitation du véhicule. Par contre, si une assurance responsabilité civile entend utiliser les données concernant le moteur et l’exploitation du véhicule, elle doit pouvoir se fonder sur le consentement de la personne lésée ou sur un intérêt public ou privé prépondérant.

De plus en plus, des données déjà collectées sont utilisées dans des buts non déclarés, par exemple dans le cadre de campagnes de marketing. Pour cette raison également, il convient de ne pas enregistrer de données si cela n’est pas absolument nécessaire ou d’effacer périodiquement les données enregistrées. Du point de vue de la protection des données, cela correspond également au principe de la proportionnalité dont on déduit, entre autres, la règle voulant que l'on évite la collecte de données et que l’on diminue leur utilisation (Prinzip der Datenvermeidung und -sparsamkeit). Pour les mêmes raisons, le traitement doit avoir lieu, si possible, sous une forme anonyme ou au moins pseudonymisée. L’établissement du diagnostic au garage ou chez le fabricant peut sans problème être fait sous forme pseudonymisée et le détenteur du véhicule est seulement identifié lorsque cela est vraiment indispensable, par exemple dans le cadre de prestations de garantie.

En principe, il est important que les clients soient clairement informés des données relatives à l’exploitation et au véhicule qui sont enregistrées dans le véhicule, quelles sont les données qui sont rendues accessibles à des fins d’entretien, par qui (garagiste, fabricant, tiers) et quels sont les traitements supplémentaires qui sont entrepris (par ex. à des fins de marketing). En effet, ce n’est qu’ainsi que les clients ont la possibilité de décider quels traitement ils acceptent.

[juillet 2005]

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/12e-rapport-d-activites-2004-2005/exigences-generales-pour-le-traitement-des-donnees-relatives-aux.html