Véhicules connectés : la CNIL encadre la collecte des données de localisation

4/7/26
👈 les autres actualités

La CNIL vient de publier sa recommandation définitive sur l'utilisation des données de localisation des véhicules connectés, au terme d'une consultation publique lancée en mars 2025. Constructeurs, loueurs de flotte, fournisseurs de boîtiers télématiques et agrégateurs de données automobiles ont désormais un cadre précis pour justifier chaque collecte de position GPS — et pour ne pas se faire épingler à la première fuite de données.

Ce qui s'est passé

Après une phase de concertation au sein de son « club conformité » dédié au véhicule connecté, puis une consultation publique ouverte en mars 2025, la CNIL a publié le 30 juin 2026 sa recommandation relative à l'utilisation des données de localisation des véhicules connectés. Le texte s'adresse à l'ensemble de la chaîne de valeur du secteur : constructeurs automobiles, gestionnaires de flotte publics ou privés, fournisseurs d'outils télématiques et agrégateurs de données qui font le lien entre constructeurs et autres acteurs.

Le périmètre est volontairement circonscrit : la recommandation vise les particuliers, propriétaires ou locataires de leur véhicule. Les véhicules de fonction mis à disposition de salariés restent couverts par des préconisations distinctes de la CNIL — un point que confirme d'ailleurs une sanction récente du Garante italien, qui a condamné une entreprise à 120 000 € pour avoir géolocalisé les véhicules de ses salariés sans base légale valide. Même sujet, deux régimes juridiques différents : c'est tout l'enjeu de bien qualifier la relation entre l'organisation et la personne concernée avant de traiter la moindre donnée de position.

Pourquoi c'est important

Les données de localisation figurent parmi les données les plus sensibles qu'un véhicule connecté puisse générer : elles révèlent les trajets, les lieux fréquentés et, par recoupement, une bonne partie de la vie privée de leurs occupants. La CNIL le rappelle en citant les fuites de données ayant touché plusieurs constructeurs de véhicules électriques ces dernières années.

La recommandation clarifie d'abord l'articulation avec la directive ePrivacy, transposée à l'article 82 de la loi Informatique et Libertés : le consentement de l'utilisateur est requis pour exploiter des données de localisation, sauf lorsque ces données sont strictement nécessaires à un service que l'utilisateur a lui-même demandé. Un raisonnement qui rejoint celui que les organisations appliquent déjà pour construire un recueil de consentement conforme sur d'autres canaux — la logique de finalité et de nécessité prime toujours sur la simple commodité technique.

Le texte s'attaque aussi à un problème très concret : un même véhicule peut être utilisé par plusieurs personnes, avec ou sans profil authentifié. La CNIL recommande donc le recours à des systèmes de gestion de profils permettant à chaque conducteur d'exercer ses droits — en particulier son droit d'accès — sans que les données d'un autre utilisateur ne soient exposées. Un souci de granularité qui rappelle que le choix de la base légale doit toujours être pensé finalité par finalité, et non traitement par traitement au sens large.

Ce que ça change pour les organisations

Concrètement, les acteurs du véhicule connecté doivent revoir leurs traitements à l'aune de plusieurs clarifications apportées par la version définitive du texte. Le consentement n'est plus exigé pour collecter la position d'un véhicule loué afin de prévenir un abus de confiance — c'est-à-dire lorsque la non-restitution du véhicule compromettrait la disponibilité du service — et ce même dispositif peut continuer à fonctionner en cas de vol pour faciliter la recherche du véhicule. À l'inverse, dès qu'un utilisateur peut connecter son véhicule à un compte personnel à distance, il doit pouvoir s'en déconnecter à distance, un point qui a valeur de nouvelle bonne pratique par défaut.

La CNIL insiste également sur les bonnes pratiques à mettre en place pour éviter qu'un tiers — nouveau locataire, employé d'une société de location — n'accède aux données stockées sur le tableau de bord et non supprimées par le précédent utilisateur. Cela suppose des procédures d'effacement fiables, alignées sur les principes classiques de limitation de la durée de conservation que les DPO appliquent déjà à d'autres catégories de données. Sur le plan documentaire, la recommandation vient compléter le pack de conformité « véhicules connectés » publié par la CNIL en 2017 et les lignes directrices 01/2020 du Comité européen de la protection des données, sans les remplacer : les organisations du secteur doivent donc désormais raisonner avec trois textes de référence simultanément.

Ce que Leto pense de cette décision

Cette recommandation confirme une tendance de fond : la CNIL ne se contente plus de rappeler des principes généraux, elle produit des guides sectoriels très opérationnels, construits avec les acteurs concernés via ses « clubs conformité ». C'est une bonne nouvelle pour les DPO du secteur automobile et de la mobilité, qui disposent enfin d'arbitrages concrets sur des zones grises réelles — consentement versus intérêt légitime, gestion multi-utilisateurs, effacement des données du tableau de bord. Le vrai test sera dans les prochains mois, quand la CNIL accompagnera les associations professionnelles dans l'appropriation de ces règles : le sujet mérite d'être suivi de près, car les fuites de données de localisation restent l'un des risques réputationnels les plus lourds pour les constructeurs et loueurs.

Sources :

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo