«Les voitures modernes sont un cauchemar pour la confidentialité», selon des chercheurs

Saviez-vous que votre voiture espionnait vos préférences sexuelles ou collectait des informations génétiques sur vous et tous vos passagers ? Les chercheurs en protection des données de Mozilla ont découvert ces informations et d’autres tout aussi inquiétantes chez 25 constructeurs automobiles sélectionnés.

Mozilla n’est généralement connue que pour son navigateur web Firefox et son client de messagerie Thunderbird. Mais la fondation à but non lucratif fait plus et examine régulièrement des produits sous l’angle de la protection des données ou de ce qu’il en reste dans le cadre de son dernier guide intitulé « Confidentialité non incluse » (guide d’achat axé sur la confidentialité). Dans son dernier article, elle s’est penchée sur 25 grandes marques de voitures les plus vendus et est arrivée à la conclusion suivante : aucun fabricant ne répond aux exigences de Mozilla en matière de protection des données.

En outre, un seul fabricant, un Allemand, a répondu à la demande des chercheurs concernant le cryptage des données collectées. Pour la première fois en sept ans d’existence de « Confidentialité non incluse », aucun produit n’a donc reçu une évaluation positive.

Sur le site web de Mozilla, il est possible de trier les résultats soit par ordre alphabétique, soit par « effrayant ». Les jugements vont ainsi de « le moins problématique » (Renault) à « malheureusement pas si génial » (Audi) en passant par « sacré non de dieu, c’est terrible » (Nissan).

Toutes les autres marques étudiées, américaines, allemandes, japonaises, françaises et sud-coréennes, y compris Jeep, Lexus, Subaru, Honda, Fiat, Kia et 15 autres, se situent entre les deux.

Le top 25 des mouchards roulants – aux yeux de Mozilla

Jen Caltrider, directrice du programme « Confidentialité non incluse », a résumé après plus de 600 heures de recherche :

En matière de protection de la vie privée, toutes les nouvelles voitures sont de véritables cauchemars sur roues qui collectent d’énormes quantités de données personnelles

Elle a poursuivi : »Beaucoup considèrent leur véhicule comme un espace privé, où ils peuvent appeler leur médecin, avoir des conversations confidentielles avec leurs enfants en allant à l’école, exprimer leurs émotions après une rupture ou se rendre dans des lieux qu’ils préfèrent garder secrets. Cette perception n’est plus d’actualité. Les voitures neuves d’aujourd’hui sont de véritables espions en matière de confidentialité, collectant d’énormes quantités de données personnelles ».

Son collègue, Misha Rykov, chercheur au sein du programme, ajoute : « Ce n’est pas la première fois que Mozilla révèle les pratiques souterraines d’une industrie en matière de confidentialité des données. Mais l’industrie automobile est particulièrement préoccupante. Les failles en matière de confidentialité ne touchent pas seulement les conducteurs, mais aussi les passagers, voire les piétons à proximité. Les voitures sont devenues des observatrices silencieuses, capables de vous écouter, de vous observer et de vous suivre. Aujourd’hui, monter dans une voiture revient à confier son téléphone au constructeur automobile ».

Ainsi, toutes les marques de voitures que Mozilla a testées en matière de protection des données ont déclenché la sonnette d’alarme des chercheurs dans au moins deux des cinq catégories. Leur évaluation est donc identique : « protection des données non intégrée ».

Sur la base des catégories – Utilisation des données, Contrôle des données, Historique (fuites de données, piratages et violation), de sécurité et d’intelligence artificielle – Mozilla a néanmoins réussi à établir un classement – « du mauvais au pire » :

Le top 25 des mouchards roulants – aux yeux des internautes

Les utilisateurs du site web de Mozilla portent un jugement globalement similaire. Tesla obtient toutefois une surprenante deuxième place et gagne 23 places dans l’évaluation. Une explication possible est que les utilisateurs attribuent en général aux voitures électriques plus de violations de la protection des données ou que les problèmes parfois flagrants ne sont ni nouveaux ni imprévisibles pour la plupart des utilisateurs en raison des articles parus dans la presse.

En revanche, Mozilla écrit : « Tesla n’est que le deuxième produit que nous avons examiné à avoir obtenu tous les signaux d’alerte de protection des données de notre part – le premier était un chatbot d’IA que nous avons examiné au début de cette année. Il est significatif que Tesla ait reçu le prix de ‘l’IA non fiable’. Le pilote automatique de la marque, piloté par l’IA, aurait été impliqué dans 17 accidents mortels et 736 accidents ; plusieurs procédures d’enquête sont actuellement en cours de la part des gouvernements ».

GMC (+16), suivi de Mercedes-Benz (+10), Acura (+9) et Audi (+7) ont également progressé dans le classement des utilisateurs. Les reculs les plus importants sont actuellement enregistrés par Fiat et Dodge avec douze places chacun, suivis de Subaru (-11), Lincoln (-8) et Jeep (-6).

Des catégories susmentionnées, une mesure domine nettement les autres : le « caractère effrayant » des données collectées. L’enquête en ligne a permis d’établir le classement suivant :

Les constructeurs automobiles en savent plus sur nous que nous-mêmes

La liste des informations collectées est considérablement plus longue que celle affichées par les 25 constructeurs. Buick, un constructeur automobile américain appartenant aujourd’hui à General Motors, collecte par exemple les données suivantes auprès de ses clients, selon Mozilla :

« Nom, adresse, données de géolocalisation, âge, appartenance ethnique, couleur [de peau], religion, handicaps médicaux, handicaps physiques ou mentaux, sexe, identité de genre, grossesse, conditions médicales, orientation sexuelle ; les caractéristiques génétiques, physiologiques, comportementales et biologiques, telles que les empreintes digitales, les empreintes faciales et vocales, les scans de l’iris ou de la rétine, les frappes au clavier, la démarche ou tout autre modèle physique, y compris les données relatives au sommeil, à la santé ou au mouvement, les informations audio, électroniques, visuelles, thermiques, olfactives [odeurs] ou similaires.  »

S’y ajoutent « des informations sur le véhicule telles que la plaque d’immatriculation, le numéro d’identification du véhicule (NIV), la géolocalisation, l’itinéraire, l’horaire, la vitesse, la direction du véhicule (son cap), des informations audio ou vidéo ainsi que des informations collectées à partir d’images de caméras et de données de capteurs, des informations sur les commandes vocales et le système d’infodivertissement (y compris la radio et l’infodivertissement à l’arrière) et l’utilisation des données Wi-Fi ».

A partir de toutes ces données, ce fabricant (et presque tous les autres) s’autorise à en retirer des synthèses, qui reflètent vos préférences, caractéristiques, tendances psychologiques, prédispositions, comportements, attitudes, intelligence ou capacités

La liste des informations collectées par Fiat (y compris Jeep, Dodge et Chrysler) est plus de deux fois plus longue. Celle de Tesla est environ deux fois plus courte, mais son contenu n’est pas moins riche.

Informations génétiques de tous les occupants

Si cela n’est pas encore assez effrayant, en lisant la politique de confidentialité d’une Nissan, Mozilla y a trouvé la formulation suivante :

« Données personnelles sensibles, y compris le numéro de permis de conduire, le numéro d’identification national ou gouvernemental, le statut de citoyenneté, le statut d’immigration, la race, l’origine nationale, les croyances religieuses ou philosophiques, l’orientation sexuelle, l’activité sexuelle, la géolocalisation précise, les données de diagnostic de santé et les données génétiques ».

Nissan n’est pas seul dans ce cas, Kia collecte également des données sur la « vie sexuelle » de ses conducteurs.

Dans le cas de Nissan, tout cela est collecté « afin de pouvoir proposer des services de véhicules connectés qui utilisent ou s’appuient sur des données de géolocalisation pour permettre un marketing plus ciblé, ainsi qu’à des fins de rapport et d’analyse internes, … ».

La question est notamment de savoir comment Nissan peut collecter ces données. Le constructeur ne donne aucune information à ce sujet.

76% affirment être en mesure de vendre vos données personnelles – 56% disent pouvoir partager vos données personnelles avec le gouvernement ou représentant de la loi en réponse à une simple demande informelle

Il s’y ajoute que les données de tous les passagers et occupants – y compris les enfants – sont également enregistrées. Ce n’est pas illégal, car l’achat et l’utilisation impliquent l’acceptation des conditions générales. Dans celles-ci, Mozilla a également découvert que le conducteur d’une Nissan doit en informer tous ses passagers. Concrètement, cela se lit comme suit :

« Vous vous engagez à expliquer et à informer tous les utilisateurs[…] et les passagers de votre véhicule sur les services et les fonctions et restrictions du système, les conditions du contrat, y compris les conditions relatives à la collecte et à l’utilisation des données et à la protection des données, et la politique de confidentialité de Nissan. »

Alerte chez Nissan et d’autres

Comme Buick, Nissan utilise « les synthèses tirées des données personnelles collectées pour créer un profil sur un consommateur qui reflète ses préférences, ses caractéristiques, ses tendances psychologiques, ses prédispositions, son comportement, ses attitudes, son intelligence, ses capacités et ses aptitudes ».

Mozilla traduit cela comme suit : le fabricant peut en déduire « à quel niveau se situe votre intelligence en fonction de votre tendance à boire, à être dépressif et à bien savoir jouer aux échecs ». Nissan affirme en outre « qu’il est possible de gagner autant d’argent qu’on le souhaite avec ces données très personnelles ».

La plupart des (92%) constructeurs donnent aux conducteurs peu ou pas de contrôle sur leurs données personnelles.

Il faut toutefois reconnaître à Nissan le mérite d’admettre tout cela, écrit Mozilla. Nissan explique qu’ils « peuvent collecter, partager et même, dans certains cas, vendre ces données personnelles très intimes ». Mais le problème est différent : « Il est assez probable que d’autres constructeurs automobiles collectent, partagent et vendent exactement le même contenu. Ils ne sont juste pas aussi transparents et honnêtes dans leur politique de confidentialité ».

D’autres marques ne sont pas en reste. Volkswagen collecterait des données démographiques ainsi que des comportements routiers pour affiner le ciblage de ses campagnes marketing.

Au lieu d’informations concrètes, on y lit souvent « par exemple », « pourrait inclure » et « ainsi que d’autres informations ». De même, « etc. » est une formulation appréciée des constructeurs automobiles, que les responsables de la protection des données réprouvent. La raison en est que les personnes intéressées « ne reçoivent qu’un extrait et non une liste complète ». En tant que chercheurs en matière de protection des données, leur travail consiste toutefois à être « sacrément curieux ».

Pourquoi ne pas vérifier par vous-même ?

La curiosité des chercheurs en matière de vie privée ne s’est pas seulement portée sur les données collectées, mais aussi sur la manière dont elles sont transmises. Mozilla explique qu’il est difficile d’affirmer si les marques chiffrent ou non les données qu’elles collectent.

Mozilla s’est renseigné à ce sujet auprès des 25 constructeurs automobiles. 24 constructeurs n’ont pas fait de commentaires. Seul Mercedes a répondu – de manière superficielle :

« Étant donné que les produits et les services évoluent au fil du temps, […] il n’est pas possible de donner des réponses universelles à vos questions. Nous nous efforçons de rendre le fonctionnement de nos produits et services transparent par le biais de publications telles que notre site web et nos manuels d’utilisation, et nous vous encourageons donc à examiner ces documents […] ».

« Bonne chance » commente Mozilla, car même eux auraient eu du mal à le faire. En comparaison avec d’autres produits examinés par Mozilla, Nissan fait à peu près aussi mal que le Halo Band d’Amazon, la Watch Kids 4 Pro de Huawei. Seul le portail Facebook de Meta est plus mauvais que Buick et Nissan.

En ce qui concerne Mercedes-Benz, les voitures intelligentes sont livrées avec TikTok préinstallé sur le système d’infodivertissement. Mais c’est l’application elle-même qui suscite des inquiétudes en termes de confidentialité de données.

Suite au test de sécurité et de confidentialité, les chercheurs ont constaté que de nombreuses marques automobiles pratiquent ce que l’on appelle un lavage de la vie privée. Cette pratique consiste à fournir aux consommateurs des informations rappelant qu’ils n’ont pas à se préoccuper de la confidentialité. Ce qui n’est pas vrai compte tenu de la réalité.

À ce titre, une des grandes marques japonaises propose aux conducteurs plus de 10 politiques de confidentialité. Il s’agit de Toyota qui affirme vouloir respecter la confidentialité des données des consommateurs.

De même que Renault et Dacia – appartenant à la même société mère – affirment que « tous les conducteurs ont le droit de voir leurs données personnelles supprimées ». Cependant, « cette marque française ainsi que toutes celles vendues en Europe, doit se conformer au Règlement général sur la protection des données, communément appelé RGPD, régissant la manière dont les données personnelles sont utilisées, traitées et stockées au sein de l’Union européenne », explique Mozilla.

Comment se protéger

Dans son étude, Mozilla a inclus non seulement les véhicules, mais aussi et surtout les applications plus ou moins intelligentes des constructeurs automobiles. Outre les véhicules eux-mêmes, celles-ci ont collecté une quantité non négligeable de données privées via votre smartphone. Les principaux conseils concernant la protection des données en voiture peuvent être résumés en trois catégories :

En cas de location, d’achat ou de vente :

• Réinitialisez toujours votre voiture aux paramètres d’usine avant de la vendre ou de l’échanger afin d’effacer vos données, et déconnectez-vous de l’application.

• Lors de l’achat d’une voiture d’occasion, assurez-vous toujours que l’ancien propriétaire a supprimé son compte associé et rétabli les paramètres d’usine.

À cela s’ajoutent quelques conseils spécifiques à chaque constructeur en fonction de l’application utilisée, par exemple BMW CarData ou FordPass Connect. Chez Ford, il est recommandé d’en tenir compte également si vous louez une voiture ou êtes détenteur d’un leasing.

Il existe également d’autres indications pour les acheteurs et les conducteurs de modèles du groupe General Motors (Cadillac, GMC, Chevrolet, Buick) ainsi que Ford et Lincoln. Il en va de même pour les conducteurs de Tesla. Pour ce dernier, il est certes possible de désactiver le partage des données, mais Tesla avertit que dans ce cas, « votre véhicule pourrait ne fonctionner que de manière limitée, être gravement endommagé ou ne plus être utilisable ».

Lors de l’utilisation :

• Ne donnez pas votre accord pour recevoir des publicités personnalisées.

• Désactivez la vente de vos données personnelles et la publicité comportementale contextuelle.

• Utilisez toujours des mots de passe sûrs et mettez en place une authentification à deux facteurs pour les applications et les services qui se connectent à votre voiture.

• Ne donnez accès à vos données qu’à des tiers de confiance.

• Si vous connectez une application mobile à votre voiture, veillez à minimiser la quantité de données collectées via l’application – vous pouvez utiliser les paramètres iOS ou Android pour limiter les données collectées via un smartphone.

• Pensez à une éventuelle violation de la vie privée si vous donnez à votre véhicule un accès à Apple CarPlay, Android Auto, Google et/ou Alexa Auto. Vous feriez mieux de vous assurer que vous souhaitez vraiment leur donner accès aux données de votre véhicule.

S’applique également à d’autres occasions:

• Désactivez le partage de localisation de votre appareil mobile.

• N’utilisez pas Amazon Alexa dans votre voiture si vous craignez qu’Amazon collecte et utilise ces informations de demande vocale, l’adresse IP et les informations de géolocalisation pour vous envoyer des publicités ciblées.

Ce n’est pas nécessairement la voiture qui est en cause

La manière la plus simple et en même temps la plus efficace d’assurer la sécurité des données dans ce domaine serait de ne pas conduire de voiture. Cette solution peut être possible en se limitant aux transports collectifs, mais elle est souvent impossible à mettre en œuvre au quotidien. De plus, on ne sait pas quelles données sont collectées par les bus et les trains.

Conduire une voiture d’un autre constructeur n’est pas non plus une solution, car ces derniers collectent probablement les mêmes informations sur les clients et les conducteurs.

L’alternative est de conduire une voiture qui n’est pas connectée. L’histoire de l’automobile offre un large choix à cet égard. Il y a quelques années, des constructeurs produisaient également des voitures que l’on pouvait conduire et réparer sans formation informatique.

Mais si l’on emporte constamment son téléphone portable avec soi, on court le risque de divulguer malgré tout ses données personnelles.