Le 1er janvier dernier, une camionnette Cybertruck de la compagnie Tesla explosait à Las Vegas devant l’hôtel Trump International. Rapidement, Elon Musk, PDG de la compagnie, a annoncé sur sa plateforme X que l’explosion n’était pas due à un défaut de la camionnette, citant des informations obtenues via la télémétrie du véhicule. Tesla a également coopéré avec les autorités en fournissant diverses informations, notamment des enregistrements vidéo capturés aux stations de recharge de la compagnie. Les véhicules Tesla ayant plusieurs caméras, les services de police ont cherché d'autres propriétaires de Tesla présents à la station pour obtenir des images de leurs voitures. Kevin McMahill, shérif de Las Vegas, a souligné que les informations fournies par Tesla et ses véhicules avait été très utiles pour le déroulement de l’enquête.
Les véhicules sont maintenant munis d’une myriade de capteurs et dispositifs de communication. Ces capteurs et la connectivité offrent de nombreux bénéfices potentiels pour la résolution de crimes ou autres atteintes à la sécurité publique. Les caméras et microphones peuvent permettre d’identifier les auteurs d’actes de vandalisme ou de crimes haineux. Les connectivités GPS et cellulaire permettent aux fabricants automobiles de localiser les véhicules en temps réel et même, dans certains cas et en coordination avec les services de police, de les immobiliser. En Europe, tous les nouveaux véhicules depuis le 1er juillet 2024 sont équipés d’un limiteur de vitesse qui fonctionne à partir d’une combinaison de caméras et de connectivité GPS. Les technologies de communication des véhicules avec leur environnement intéressent notamment les États pour la réduction des collisions.
Le côté obscur de la connectivité
S’il est à première vue désirable de pouvoir obtenir des informations concernant des crimes ou autres atteintes à la sécurité publique, les données recueillies et transmises par les véhicules peuvent mener à de nouvelles pratiques ou faits troublants. Par exemple :
- On a révélé que des employés de Tesla ont eu accès sans en avoir l’autorisation à des images confidentielles.
- Des services de police commencent à obtenir des mandats pour obtenir les images recueillies par des véhicules, utilisant de facto ceux-ci comme un réseau de caméras de sécurité.
- La localisation GPS des véhicules est utilisée par des auteurs de violence conjugale.[1]
- Les chaînes d’approvisionnement des équipements électroniques ou logiciels liés à la connectivité poseraient des risques pour la sécurité nationale, comme l’espionnage ou les cyberattaques.[2]
La liste de faits troublants associés aux véhicules connectés est longue. Dans un rapport publié à l’automne 2023, la fondation Mozilla qualifiait les automobiles comme étant la « pire » catégorie de produits qu’elle n’ait jamais évaluée en termes de vie privée. Ce rapport révèle notamment que les fabricants procèdent à une collecte massive de renseignements personnels et de données qu’ils partagent ensuite de manière opaque avec une variété de tierces parties.
Le jeu en vaut-il la chandelle?
Dans un supplément d’avis sur l’Internet des objets, la CEST identifiait des principes permettant d’évaluer leur désirabilité ou acceptabilité telles que l’utilité collective ou la proportionnalité. Alors que l’utilité collective implique que les objets connectés doivent minimalement procurer un bénéfice net, la proportionnalité est l’idée selon laquelle les moyens utilisés pour atteindre certaines fins doivent être équilibrés et justifiés par rapport aux objectifs poursuivis.
Les données recueillies par les fabricants ou fournisseurs de service peuvent être compromises. Par exemple, on apprenait récemment qu’une faille de sécurité a permis de suivre la localisation de centaines de milliers de véhicules électriques Volkswagen pendant des mois. Or, les données de localisation sont extrêmement sensibles.
Aussi, sans qu’il y ait nécessairement des brèches de sécurité, les transferts transfrontaliers exposent les personnes à une importante perte de contrôle de leurs données. Les fabricants ou fournisseurs, tels que General Motors[3] ou encore la radio SiriusXM[4], traitent ou stockent des données à l’extérieur du Québec et du Canada. Mais lorsque celles-ci sont transférées dans d’autres juridictions, elles sont alors gérées en fonction des cadres normatifs du pays où elles se trouvent, rendant ainsi possible, par exemple, la surveillance étrangère. L’Irlande a mis Meta à l’amende pour un transfert illégal de renseignements personnels vers les États-Unis, la décision citant notamment des préoccupations de surveillance.[5]
La collecte massive de données pose également des risques d’abus ou de dérives sécuritaires, comme on a pu le constater avec diverses technologies. Lorsque des personnes ou organisations obtiennent des données sur des individus, elles acquièrent par le fait même un pouvoir sur eux. Ce pouvoir peut être utilisé à des fins légitimes et appropriées. Cependant, s’il n’est pas strictement encadré, ce pouvoir peut aussi mener à des dérapages. Par exemple, une enquête du Commissariat à la protection de la vie privée du Canada a révélé que la Gendarmerie royale du Canada avait contrevenu à la loi fédérale en collectant certains renseignements personnels en provenance de sources dites ouvertes.
Même si la connectivité des véhicules peut procurer des bénéfices, il est important de prendre en considération ses coûts au regard de ses finalités. Sans quoi, on pourrait être victime du « mirage de la surveillance », soit la sous-estimation systématique de ses coûts moraux. Une société peut avoir beaucoup à perdre même si les individus n’ont rien à cacher.
Les véhicules connectés posent de nombreux risques tant pour les personnes qui les utilisent que pour le public. Selon un sondage, 60% des Canadiennes et Canadiens conducteurs de véhicules connectés s’inquiètent de la confidentialité des données. Aux États-Unis, des organisations comme la Federal Trade Commission ou encore la California Privacy Protection Agency portent de plus en plus attention aux fabricants et à l’écosystème des véhicules connectés. Faudrait-il davantage surveiller ces voitures qui nous observent?
[1] La Californie a d’ailleurs adopté une loi qui ordonne aux fabricants d’implanter certaines mesures afin de mieux protéger les victimes.
[2] Voir l’annonce de janvier 2025 des États-Unis concernant le matériel et les logiciels ayant des liens avec la Chine ou la Russie. Le Canada considère imiter son voisin du sud.
[3] Extrait de la politique de confidentialité de General Motors : « Nous stockons vos renseignements au Canada, aux États-Unis et dans l’Espace économique européen (EEE), ainsi qu’à d’autres endroits où nous ou nos fournisseurs de services conservons des serveurs. […] Les autorités policières, les organismes gouvernementaux ou les tribunaux pourraient avoir accès à vos renseignements dans les pays où les données sont traitées ou stockées par suite d’une demande légitime d’accès à l’information présentée conformément aux lois du territoire. »
[4] Extrait de la politique de confidentialité de SiriusXM : « Les renseignements personnels peuvent être stockés au Canada ou auprès de nos sociétés affiliées et de nos Fournisseurs de services au Canada et aux États-Unis, où ils seront assujettis aux régimes juridiques de ces pays et pourront être communiqués à d’autres si les lois locales l’exigent, notamment au gouvernement, aux organismes d’application de la loi ou aux participants à des procédures judiciaires. Nos Fournisseurs de services peuvent avoir accès aux renseignements personnels dans différents pays, notamment au Canada, aux États-Unis, au Maroc, en Égypte, en Tunisie et aux Philippines. »
[5] En 2023, l’Union européenne et les États-Unis ont adopté le cadre de protection des données UE-États-Unis. L’avenir nous dira si le cadre répond complètement aux enjeux soulevés par la Cour de justice de l'Union européenne.
![[Image] Shutterstock 591685676](https://www.ethique.gouv.qc.ca/wp-content/uploads/ze4f5niv_shutterstock_591685676-scaled.jpg)
