La Directive 2022/2464 CSRD (Corporate Sustainability Reporting Directive), qui est entrée en vigueur en 2023, établit une obligation de reporting des entreprises en matière de durabilité.
Ce dispositif incitera les entreprises à adopter ou à renforcer l’usage de services connectés pour optimiser la gestion de leur flotte : traçabilité des véhicules, respect des échéances d’entretien, amélioration des comportements des conducteurs et réduction de la consommation et des émissions de CO₂.
Toutefois, il y a un important débat sur l’utilisation de ces données dans le cadre de la réglementation générale sur la protection des données RGPD. Un véhicule moderne compte en moyenne plus de 800 capteurs, et les données émises par le véhicule rentrent dans le champ de cette réglementation.
En effet, le législateur estime que ces données, qui pourraient être reliées aux profils personnels des propriétaires ou utilisateurs, sont des données privées.
Par exemple, un employé n’a pas le droit de refuser que son véhicule de société soit géolocalisé, mais une série de conditions doivent être respectées par l’employeur : l’obligation d’informer les employés au préalable (Car Policy), l’usage des données doit être limité à l’optimisation de la gestion de la flotte, il faut accorder un droit à la rectification des données, et une déconnexion doit être possible.
Récemment, un problème de configuration a rendu publiques des informations sensibles de centaines de milliers de véhicules électriques de la marque Volkswagen, notamment des données relatives à la géolocalisation (Der Spiegel).
Rien n’indique que les données divulguées en ligne soient tombées entre de mauvaises mains ou aient été utilisées à mauvais escient, mais il s’agit d’un coup dur pour la marque.
Il est essentiel que l’ensemble des acteurs concernés (constructeurs automobiles, importateurs, loueurs, employeurs…) mettent en place un système de sécurité adapté et efficace, prévoyant des accès limités et se prémunissant contre des attaques évolutives, de plus en plus fréquentes.
Si vous souhaitez en savoir plus sur la réglementation relative aux services connectés et le cadre de l’utilisation de ces données, veuillez contacter Guido Savi chez EuroFleet Consult (g.savi@eurofleet-consult.com).