Les véhicules connectés circulant sur les routes génèrent de plus en plus de données favorisant la création de services innovants (accès en temps réel aux données générées par les véhicules, réparation sur un taux d’usure, recharge intelligente, etc.). Un enjeu auquel le règlement général sur la protection des données (RGPD) a commencé à répondre. En effet, la notion de donnée à caractère personnel répond à une définition très large énoncée par le RGPD disposant que constitue une donnée à caractère personnel :
« toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement, notamment par référence à un identifiant ».
La jurisprudence applique de manière stricte le RGPD qui, afin de déterminer si une donnée est personnelle ou pas, précise ce que l’on doit entendre par « personne identifiable » en exigeant que soit pris en compte « l’ensemble des moyens » en vue de permettre son identification dont disposent ou auxquels peuvent avoir accès les responsables de traitement. Le RGPD n’apporte toutefois pas d’illustration des moyens techniques ou juridiques permettant une identification des personnes. La jurisprudence n’apporte pas grand-chose à ce sujet non plus, tout en adoptant une position rigoriste.
Par exemple, s’agissant du VIN (vehicule identification number) attribué au véhicule par son constructeur afin d’assurer l’identification adéquate de ce véhicule et utilisé par de nombreux acteurs comme un identifiant technique dépourvu en tant que tel de caractère personnel, la jurisprudence considère que le VIN constitue néanmoins une donnée à caractère personnel qu’un constructeur automobile est tenu de communiquer aux opérateurs indépendants pour les besoins de la réparation et de l’entretien du véhicule, « même si le VIN n’est pas en soi [pour les constructeurs] une donnée à caractère personnel et ne l’est pas, en particulier, lorsque le véhicule auquel ce VIN a été attribué n’appartient pas à une personne physique » (CJUE 9 nov. 2023 Gesamtverband Autoteile-Handel C-319/22 points 46-50).
Toute donnée purement technique dépourvue en tant que telle de caractère « personnel » (identifiant de la batterie du véhicule ou celui de la station de charge, etc.) doit-elle pour autant être considérée comme permettant une identification indirecte d’une personne et donc être soumise au RGPD ?
Dans la mesure où le RGPD ne définit pas les « moyens » permettant l’identification d’une personne, la qualification de données peut être retenue même lorsque l’identification de la personne concernée est très difficile ou improbable. Toute information est donc potentiellement une donnée à caractère personnel soumise au RGPD. Il suffit pour ce faire que le constructeur automobile ait les moyens légaux l’autorisant à faire identifier la personne concernée.
Quelles évolutions attendre ?
Un périmètre des données personnelles entendu aussi largement aura des conséquences économiques, en ce qu’il permet le transfert des données vers d’autres acteurs, et doit donc être circonscrit à la consultation manuelle des données. En effet, le RGPD prévoit que le droit de recevoir des données à caractère personnel « ne devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles », notamment pas d’obligation de mettre en place des interfaces API, ajoute le juge (CJUE C-319/22).
La prudence, que dicte la position de la jurisprudence, est donc de considérer que toutes les données, même techniques, revêtent un caractère personnel et les traiter comme telles. Toutefois, le nouveau règlement européen Data Act, entré en vigueur en janvier 2024 et applicable en septembre 2025, dont la finalité est d’imposer aux détenteurs de données (ex. constructeurs automobiles) de les transmettre à des prestataires de services tiers (ex. opérateurs indépendants), est l’occasion de faire évoluer le sujet. Affaire à suivre.