La CNIL a publié mardi sa recommandation officielle sur l'utilisation des données de localisation des véhicules connectés. Un texte attendu qui encadre le consentement, la transparence et renforce les droits des conducteurs face aux professionnels du secteur.

La CNIL publie sa recommandation sur les données de localisation des véhicules connectés. © nepool / Shutterstock
La CNIL publie sa recommandation sur les données de localisation des véhicules connectés. © nepool / Shutterstock

Que vous soyez dans une voiture, sur un scooter ou au guidon d'un vélo connecté, vos données de localisation, captées par les capteurs GPS embarqués dans le véhicule, permettent de retracer vos déplacements, et donc de deviner votre domicile, votre lieu de travail ou vos habitudes de vie. Après une consultation publique lancée en mars 2025 auprès des constructeurs, des loueurs de flotte et des fournisseurs de services télématiques, la CNIL, la Commission nationale de l'informatique et des libertés, publie ce mardi 30 juin 2026 sa recommandation définitive sur les véhicules connectés. Elle précise noir sur blanc dans quels cas le consentement du conducteur devient obligatoire, et comment les professionnels du secteur doivent désormais mieux protéger ces données sensibles au quotidien.

Véhicules connectés : pourquoi la CNIL a dû sévir

Si la CNIL a choisi d'agir maintenant, c'est notamment parce que ces dernières années, la presse a révélé d'importantes fuites de données de localisation touchant des propriétaires de véhicules électriques de plusieurs marques. On parle notamment de ces fameux boîtiers connectés qui transmettent en temps réel la position du véhicule à des serveurs distants. De quoi écorner sérieusement la confiance dans ces voitures ultra-connectées. La CNIL a donc voulu poser un cadre clair, qui s'applique à tous les maillons de la chaîne, à savoir les constructeurs, loueurs de flotte, fournisseurs de boîtiers télématiques et intégrateurs de données.

Pourquoi un tel niveau de vigilance ? Parce qu'une donnée de localisation, prise isolément, ne dit pas grand-chose, certes, mais accumulée trajet après trajet, elle dessine une vraie carte de votre vie privée. En recoupant vos déplacements, on devine sans peine votre domicile, votre lieu de travail, vos horaires, voire des informations plus intimes encore, comme une visite régulière chez un médecin ou dans un lieu de culte. C'est ce niveau d'intrusion potentielle que la CNIL ne prend pas à la légère.

Cette recommandation de l'autorité française vient compléter le pack de conformité « véhicules connectés », un guide pratique déjà publié par la CNIL en 2017, ainsi que les lignes directrices du CEPD, l'organisme qui réunit les autorités de protection des données de toute l'Union européenne. On note un bémol toutefois : elle ne s'applique pas aux voitures de fonction fournies par un employeur à ses salariés, un cas différent sur lequel la CNIL avait déjà formulé des préconisations spécifiques.

Des profils utilisateurs authentifiés pour reprendre la main

Que change concrètement cette recommandation pour les conducteurs ? Nous le disions brièvement en débutant notre article, le premier point clé, c'est le consentement. L'utilisateur devra donner son accord explicite, par exemple en validant une case ou un message dédié, avant que ses données de localisation soient utilisées. Il y a une exception à la règle, qui dit que si ces données sont strictement nécessaires à un service qu'il a lui-même activé, comme la navigation GPS, aucun consentement supplémentaire n'est requis. Une nuance essentielle pour les conducteurs.

Autre nouveauté notable, la recommandation pousse vers des profils utilisateurs authentifiés. Concrètement, chaque personne qui conduit un même véhicule pourrait se connecter à son propre compte, ce qui simplifie l'information, la gestion des choix et l'exercice des droits, notamment dans les flottes partagées ou les véhicules familiaux à plusieurs conducteurs. La CNIL va même plus loin : lorsqu'un véhicule peut être relié à un compte personnel à distance, elle recommande que l'utilisateur puisse aussi le déconnecter à distance, un détail technique qui change tout le jour où l'on revend sa voiture ou qu'on cesse de la louer. On peut parler ici d'une vraie avancée pour garder la main sur ses informations.

La CNIL a aussi tenu à aborder un sujet plus épineux, celui de la lutte contre le vol et les abus de confiance. Pas besoin de consentement pour localiser un véhicule loué non restitué, dès lors que cela menace la disponibilité du service. Et en cas de vol avéré, ce même dispositif pourra aider à retrouver le véhicule, un élément d'autant plus sensible que le vol de voitures via piratage informatique a déjà fait l'actualité ces derniers mois.

La CNIL détaille les droits auxquels peuvent prétendre les automobilistes. © wedmoments.stock / Shutterstock
La CNIL détaille les droits auxquels peuvent prétendre les automobilistes. © wedmoments.stock / Shutterstock

Les automobilistes ont des droits sur leurs données, la CNIL les rappelle

Alors quels conseils nous donne la CNIL pour reprendre la main sur nos données ? Le premier réflexe à adopter consiste à limiter ce que vous partagez. La CNIL recommande aux professionnels de ne collecter que le strict nécessaire, par exemple la dernière position connue plutôt que l'historique complet des trajets, sauf si un service précis, clairement expliqué, justifie une conservation plus longue de vos données. Cette logique de minimisation va de pair avec une exigence de sécurité. Les acteurs du secteur doivent aussi limiter l'accès à ces informations sensibles et déployer des mesures techniques adaptées pour éviter qu'elles ne fuitent, leçon tirée des incidents évoqués plus haut. À vous de vérifier que ces principes sont bien respectés.

Autre conseil : épluchez la politique de confidentialité avant d'activer un service connecté. Elle doit préciser quelles données sont collectées, pourquoi, qui y accède et pendant combien de temps. La CNIL encourage d'ailleurs les professionnels à utiliser des pictogrammes ou des QR codes pour rendre ces informations plus accessibles. Elle préconise aussi qu'un mode unique permette de désactiver d'un seul geste l'ensemble des services connectés optionnels, plutôt que de devoir fouiller dans une dizaine de réglages séparés. Un geste simple, mais encore trop souvent ignoré.

Avant de vendre ou de restituer votre véhicule, pensez aussi à effacer vos données personnelles du tableau de bord, trajets, adresses enregistrées, journal d'appels compris. Sinon, le prochain conducteur ou un employé de location pourrait accéder à des informations que vous pensiez disparues depuis longtemps. Un simple réflexe, qui peut s'avérer salvateur.

Et si vous estimez que vos données ont été mal utilisées, sachez que vous disposez de l'ensemble des droits prévus par le RGPD, comprenez donc l'accès, la rectification, l'effacement, la portabilité, ainsi que le droit de retirer votre consentement ou de vous opposer à certains traitements. Aux professionnels désormais d'en faciliter concrètement l'exercice. La CNIL, elle, promet d'accompagner le secteur dans les prochains mois, webinaire à l'appui, histoire que cette recommandation ne finisse pas oubliée dans un tiroir.