Téléchargez la pièce jointe originale
(PDF file)

Ceci est une version HTML d'une pièce jointe à la demande d'accès à l'information 'Demande de communication dossier de séance plénière - recommandation géolocalisation'.


 
 
 
Rapport présenté en séance plénière le 30 janvier 2025 
 
 
 
 
Projet de recommandation relative à l’utilisation des données de 
localisation des véhicules connectés 
 
 
 
 
 
 
Rapporteur : M. Didier Kling 
 
 
 
 
 
 
 
 
 
 
 
Avec le concours de : 
Mme. Margaux Schaeffer, juriste au service de l’économie numérique et du 
secteur financier 
M. Thomas Moreau, juriste au service des affaires sociales, des collectivités 
territoriales, du sport et de l’environnement 
M. Vincent Rasneur, anciennement ingénieur expert au service de l’expertise 
technologique (désormais responsable de la sécurité des systèmes 
d’information à la mission qualité, performance, risques) 
M. Benjamin POILVE, ingénieur expert au service de l’expertise technologique 
 
 
  

 
 
Table des matières 
Table des matières .................................................................................. 1 
Résumé ................................................................................................... 3 
I.  Contexte, périmètre et structure du projet de recommandation ........ 4 
A. 
Données de localisation : enjeux et actions de la CNIL ................................... 4 
1. Les enjeux du traitement des données de localisation des véhicules connectés 4 
2. Les actions de la CNIL pour se saisir de ces enjeux............................................ 5 
B. 
Un projet de recommandation, fruit de la concertation avec le secteur .......... 6 
C. 
Périmètre du projet de recommandation ......................................................... 7 
1. Le projet de recommandation va au-delà des précédents travaux de la CNIL et 
du CEPD : l’ajout du cas de la location de véhicules connectés ............................. 7 
2. Le projet de recommandation vise la chaîne de traitement des données .......... 7 
D. 
La structure du projet de recommandation ..................................................... 7 
II.  Nouveautés doctrinales des recommandations ................................. 9 
A. 
Application de l’article 82 de la loi « informatique et libertés » dans le contexte 
du véhicule connecté ................................................................................................... 9 
1.  . Sur le principe d’applicabilité de l’article 82 de la loi « informatique et 
libertés » aux traitements de données de localisation............................................ 9 
2. 
Sur les conséquences de l’application de l’article 82 de la loi « informatique 
et libertés » aux traitements de données de localisation ...................................... 10 
B. 
L’étendue des obligations du responsable du traitement à l’égard des différents 
utilisateurs d’un véhicule connecté ........................................................................... 13 
C. 
La question de la minimisation et la conservation des données de localisation : 
préciser une doctrine consacrée par le Conseil d’Etat .............................................. 15 
D. 
La base légale des traitements de données à des fins d’optimisation et 
d’amélioration des produits et services ..................................................................... 17 
1. Le traitement de données à caractère personnel à des fins d’optimisation et 
d’amélioration des produits  et services va nécessiter le consentement des 
personnes .............................................................................................................. 18 
2. Le traitement d’anonymisation de données à des fins d’optimisation et 
d’amélioration des produits et services .................................................................19 
Conclusion ............................................................................................ 21 
Liste des annexes .................................................................................. 22 
ANNEXE 1 :  Projet de recommandation relative à l’utilisation des données de 
localisation des véhicules connectés ......................................................................... 22 
  

 
Résumé 
Au regard de l’évolution des modes de transport, qui génèrent une quantité toujours croissante 
de données, et des enjeux que les traitements de ces données soulèvent, la CNIL a lancé, en 
2023, un « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité.  
 
Ce club conformité, qui a vocation à constituer un lieu d’échanges réguliers avec les acteurs du 
secteur, s’inscrit dans la démarche d’accompagnement sectorielle de la CNIL et a vocation à 
permettre d’identifier les problématiques juridiques rencontrées par les acteurs et d’y répondre 
de manière opérationnelle dans le cadre de l’élaboration de normes de droit souple. 
 
Parmi  les données  issues  des véhicules connectés, la localisation apparait comme étant 
particulièrement prisée par la plupart des acteurs de l’écosystème, qu’ils soient constructeurs 
de véhicules, fabricants d’équipements, gestionnaire de flottes, réparateurs de véhicules 
automobiles, prestataires de services, gestionnaires d’infrastructures routières, 
concessionnaires automobiles, etc.  
 
Or, les données de localisation sont considérées comme des données hautement personnelles, 
particulièrement intrusives pour la vie privée des personnes, puisqu’elles sont susceptibles de 
révéler leurs déplacements, leurs lieux de fréquentation ou encore, leurs centres d’intérêts.  
 
C’est pourquoi, en concertation avec les acteurs du secteur, il a été décidé de consacrer les 
premiers travaux du club conformité à l’élaboration d’un projet de recommandation 
relative à l’utilisation des données de localisation, qui est aujourd’hui soumise à 
l’adoption du collège.  
 
Le projet de recommandation est donc le fruit des travaux du club conformité dédié aux 
véhicules connectés, qui se sont déroulés du début de l’année 2023 à juin 2024. Il sera publié, 
prochainement, sur le site de la CNIL pour consultation publique. 
 
Il s’inscrit dans la continuité de  la  recommandation relative à la mise en  œuvre, par les 
compagnies d’assurance et les constructeurs automobiles, de dispositifs  de  localisation 
embarqués dans les véhicules adopté par la CNIL en 2010, du pack de conformité « véhicules 
connectés » publié par la CNIL en 2017 et des lignes directrices du Comité européen de la 
protection des données (CEPD) sur les véhicules connectés et les applications liées à la mobilité 
de 2021, qui traitaient plus largement des traitements de données des véhicules connectés. Il 
a vocation à préciser les règles applicables en ce qui concerne, plus spécifiquement, les données 
de localisation, traitées dans le cadre de la location de véhicules ainsi que dans certains cas 
d’usage propriétaires.  
 
Dans la mesure où il apporte des nouvelles précisions concernant le traitement des données de 
localisation, le projet de recommandation a vocation à remplacer la recommandation de 2010, 
qui devra donc être abrogée.  
 
Les recommandations qui y figurent ont vocation à apporter des clarifications aux acteurs, en 
leur fournissant des solutions concrètes, notamment en ce qui concerne certains points sur 
lesquels ni la CNIL, ni le CEPD, ne se sont prononcés. Ses points, qui constituent des 
nouveautés doctrinales, sont détaillés dans le présent rapport. 
 
La question de l’application de l’article 82 de la loi « informatique et libertés » est le point le 
plus attendu par les acteurs -  mais aussi celui qui nécessite le plus d’arbitrages, dont les 
conséquences ne sont pas neutres.    
 

 

 
I. 
Contexte, périmètre et structure du projet de recommandation 
A. Données de localisation : enjeux et actions de la CNIL  
1. Les enjeux du traitement des données de localisation des véhicules connectés  
 
Les modes de transport (voitures, scooters, vélos, etc.) et leurs utilisateurs génèrent une 
quantité toujours croissante de données. Elles peuvent être produites directement par  les 
équipements et systèmes du véhicule, mais également par des équipements embarqués (le plus 
souvent des boîtiers télématiques) ou les appareils connectés du conducteur et des passagers 
(téléphone mobile multifonctions, tablette, etc.).  
 
L’exploitation de ces données permet, par exemple, de proposer des services innovants pour 
les usagers des transports pouvant permettre des gains de sécurité, une amélioration de 
l’expérience du déplacement (info-divertissement, confort, maintenance, etc.) ou encore une 
optimisation de l’organisation du déplacement. Dans le même temps, la connectivité des 
véhicules implique le recueil de données susceptibles de toucher à la vie privée de l’individu 
(déplacements, comportement au volant, etc.). Leur utilisation pose des questions 
structurantes en matière de protection des données à caractère personnel et de 
respect des droits et libertés fondamentaux.  
 
Parmi ces données,  la localisation apparait comme étant particulièrement prisée 
par la plupart des acteurs de l’écosystème du véhicule connecté, qu’ils soient 
constructeurs de véhicules, fabricants d’équipements, gestionnaire de flottes, réparateurs de 
véhicules automobiles, prestataires de services, gestionnaires d’infrastructures routières, 
concessionnaires automobiles, etc.  
 
Or, les données de localisation sont considérées comme des données hautement 
personnelles 1 , particulièrement intrusives pour la vie privée des personnes, 
puisqu’elles sont susceptibles de révéler leurs déplacements, leurs lieux de fréquentation ou 
encore, leurs centres d’intérêts.  
 
Tel que souligné par le comité européen de la protection des données (CEPD)2, l’utilisation 
de technologies de localisation appelle la mise en œuvre de garanties spécifiques 
afin de prévenir le risque que des personnes soient surveillées et des données exploitées 
abusivement.  
 
L’actualité témoigne, d’ailleurs, du besoin de recommandations pour assurer une protection 
efficace de ces données. A titre d’exemple, le magazine allemand « Der Spiegel » révélait 
récemment dans ses colonnes, une importante fuite de données touchant plus de 800 000 
propriétaires de véhicules électriques des marques Volkswagen, Audi, Seat et Skoda qui ont vu 
leurs données personnelles exposées sur un serveur Amazon mal configuré (ces informations, 
                                                   
1 Le Comité européen de la protection des données (CEPD) dans ses lignes directrices du 4 octobre 20171, considère 
les données de  localisation  comme étant des « données à caractère hautement personnel ». Il estime que ces 
données sont considérées comme sensibles, au sens commun du terme, dans la mesure où elles ont un impact sur 
l’exercice d’un droit fondamental. En effet, la collecte des données de  localisation  met en cause la liberté de 
circulation. 
2 Lignes directrices 01/2020 sur le traitement des données à caractère personnel dans le contexte des véhicules 
connectés et des applications liées à la mobilité, voir en ce sens le point 45. 
 
 

 








 
C.  Périmètre du projet de recommandation 
1. Le projet de recommandation va au-delà des précédents travaux de la CNIL et 
du CEPD : l’ajout du cas de la location de véhicules connectés   
 
Le projet de recommandation a pour objectif de rappeler les règles applicables en matière de 
traitement des données de localisation dans le contexte du véhicule connecté et d’émettre des 
recommandations concrètes pour s’y conformer. 
 
Il se concentre sur les données de localisation  et  couvre, en plus de l’usage 
propriétaire du véhicule, la gestion d’une flotte commerciale. Ce dernier cas d’usage  
avait été exclu du pack de conformité « véhicules connectés » de 2017 et des lignes directrices 
du CEPD sur les véhicules connectés et les applications liées à la mobilité de 2021. 
 
En outre, le projet de recommandation, dans la continuité des lignes directrices du CEPD, 
intègre l’application de la directive 2002/58/CE (dite « ePrivacy ») aux véhicules 
connectés contrairement au pack de conformité « véhicules connectés » de 2017 qui n’en 
faisait pas mention. En effet, les dispositions ePrivacy étaient, à l’époque, traditionnellement 
appliquées aux cookies et autres traceurs » en ligne. 
2. Le projet de recommandation vise la chaîne de traitement des données 
 
Le projet de recommandation s’adresse aux acteurs suivants :  
 
  constructeurs ;  
  gestionnaires de flottes, c’est-à-dire les acteurs privés ou publics, qui proposent des 
véhicules (voitures, scooters, cycles, trottinettes etc.) en location courte12 ou en location 
longue durée13 à des particuliers ;  
  fournisseurs  d’outils de télématiques, tels que notamment des boîtiers, qui sont 
installés sur les véhicules ;  
  agrégateurs et intégrateurs de données, qui peuvent notamment intervenir 
comme intermédiaires entre les constructeurs de véhicules et d’autres acteurs afin 
d’organiser la transmission des données liées aux véhicules.  
 
Bien qu’il ne s’adresse pas directement aux particuliers, le projet de recommandation 
contient également des informations utiles pour les usagers des véhicules 
connectés (notamment en ce qui concerne leurs droits). Une communication sur le site de la 
CNIL pourrait être publiée à leur attention, dans un second temps, sur le site de la CNIL.  
D. La structure du projet de recommandation 
 
Le projet se structure en quatre grandes parties :  
 
  Recommandations générales  sur l’application des principes du RGPD au 
traitement des données de localisation du véhicule connecté (partie 3) ;  
                                                   
12 Pour les besoins de la recommandation, la location courte répond à un besoin ponctuel, pour une durée allant de 
quelques minutes à plusieurs mois, généralement facturée en fonction de cette durée.  
13 Pour les besoins de la recommandation, la location longue s’étale sur une année ou plus, généralement facturée 
sous forme de mensualités.  
 

 






 
II.  Nouveautés doctrinales des recommandations 
A. Application de l’article 82 de la loi « informatique et libertés » dans le 
contexte du véhicule connecté  
1.  .  Sur le principe d’applicabilité  de l’article 82 de la loi « informatique et 
libertés » aux traitements de données de localisation 
 
  Rappel : les critères d’applicabilité de l’article 82 de la loi « informatique 
et libertés » 
 
L’article 82 de la loi « informatique et libertés » transpose  l’article 5, paragraphe 3 de la 
directive ePrivacy » en droit national. 
 
Conformément à l’’article 82 de la loi, lu  à la lumière de  l’article 5.3 de la directive,  le 
stockage d'informations ou l'obtention d'un accès à des informations stockées 
dans l'équipement terminal d'un abonné ou d'un utilisateur n'est, en principe, 
autorisé  que  sous réserve  du consentement.    Selon  les  lignes directrices 1/2020 du 
CEPD  concernant les véhicules connectés, le consentement doit généralement être la base 
légale des traitements mis en œuvre à partir des données récupérées via ces opérations (aussi 
appelés les « traitements subséquents »). 
 
Par exception, le consentement n’est pas requis si :  
 
  l’accès aux données a pour finalité exclusive de permettre ou faciliter la communication 
par voie électronique ; 
  l’accès aux données est strictement nécessaire à la fourniture d'un service 
expressément demandé par l'utilisateur
 
Dans ces hypothèses, une autre des bases légales prévues par l’article 6 (1) du RGPD peut être 
mobilisée pour les traitements. 
 
  L’article 82 de la loi « informatique et libertés » s’applique aux véhicules 
connectés  
 
Ces dispositions sont applicables dès lors que : 
 
  les opérations effectuées portent sur des « informations » (qui peuvent être, mais 
pas exclusivement, des données personnelles).  Les données de localisation constituent 
des « informations » relatives à la localisation d’un objet ou d’une personne.  
 
  les opérations effectuées concernent un « équipement terminal » 15  d'un 
abonné ou d'un utilisateur qui, pour être qualifié de la sorte, doit avoir la capacité 
                                                   
15 La directive 2008/63/Ce de la Commission du 20 juin 2008 relative à la concurrence dans les marchés des 
équipements terminaux de télécommunications définit la notion de terminal à son article 1er : « tout équipement 
qui est connecté directement ou indirectement à l’interface d'un réseau public de télécommunications pour 
transmettre, traiter ou recevoir des informations; dans les deux cas, direct ou indirect, la connexion peut être 
établie par fil, fibre optique ou voie électromagnétique; une connexion est indirecte si un appareil est interposé 
entre l’équipement terminal et l’interface du réseau public ». Voir également les lignes directrices 2/2023 sur le 
champ d’application technique de l’article 5(3) de la directive ePrivacy (paragraphes 13 et suivants).  
 
 

 






 
C.  La question de la minimisation et la  conservation des données de 
localisation : préciser une doctrine consacrée par le Conseil d’Etat  
 
Le  pack conformité « véhicules connectés » de 2017  recommande  « l’activation de la 
localisation uniquement lorsque l’usager lance une fonctionnalité qui nécessite de connaître 
la localisation du véhicule, et non par défaut et en continu au démarrage de la voiture » 
(p.25). Il précise, en ce qui concerne plus particulièrement la finalité de lutte contre le vol, que 
« les données de localisation ne peuvent être remontées qu’à partir de la déclaration de vol et 
ne sauraient être collectées en continu le reste du temps » (p.26).  
 
Cette doctrine, portée au niveau européen dans les lignes directrices 1/2020 du CEPD, a 
fait l’objet d’une application concrète par la formation restreinte de la CNIL concernant deux 
gestionnaires de flotte :  
 
•  la société UBEEQO INTERNATIONAL (location de véhicules en autopartage à des 
clients particuliers et à des clients professionnels), sanctionnée le 7 juillet 202223 ;  
•  la société CITYSCOOT (location de scooters en libre-service), sanctionnée le 16 mars 
202324. 
 
Ces acteurs collectaient en effet des données de localisation des véhicules loués, notamment 
pour la prévention et la lutte contre le vol, de manière très rapprochée et conservaient 
l’intégralité de ces données. 
 
La formation restreinte a retenu plusieurs manquements, notamment au regard du principe 
de minimisation25, en considérant que :  
 
•  Le traitement de données de localisation doit être rendu nécessaire à la finalité de lutte 
contre le vol par un fait générateur tel qu’une déclaration de vol ou le 
signalement d’une suspicion de vol. Ces données ne peuvent pas être considérées 
comme strictement nécessaires à la poursuite de cette finalité avant tout fait générateur 
prohibant une collecte en permanence ou de manière très rapprochée26 ; 
•  Cette finalité ne justifie pas la collecte de données de localisation tous les 500 
mètres au cours de la location du véhicule27 ou toutes les 3o secondes au 
cours de la location du scooter28 ; 
•  Les sociétés n’auraient pas dû conserver un historique des données de 
géolocalisation, c’est-à-dire de l’ensemble des trajets des utilisateurs.  
 
                                                   
23
 Délibération SAN-2022-015 du 7 juillet 2022. Disponible ici : 
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046070924?init=true&page=1&query=%2A&s
earchField=ALL&tab selection=cnil  
24
 Délibération SAN-2023-003 du 16 mars 2023. Disponible ici : 
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047346903?isSuggest=true.  
25 L’article 5, paragraphe 1, c) du RGPD prévoit que les données à caractère personnel doivent être 
« adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles 
sont traitées (minimisation des données) ». 
26 Paragraphe 48 de la délibération SAN-2022-015 et paragraphe 49 de la délibération SAN-2023-003. 
27
Délibération SAN-2022-015 du 7 juillet 2022, disponible ici : 
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046070924. 
28
 Délibération SAN-2023-003 du 16 mars 2023, disponible ici : 
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047346903?isSuggest=true 
 
 
15 
 






 
Conclusion 
 
La recommandation est un outil de droit souple attendu par les acteurs du secteur, dès lors 
qu’elle vise à apporter des clarifications sur les traitements de données de localisation, qui 
n’ont pas été abordés en détail par les précédents instruments (pack conformité de la CNIL de 
2017 et lignes directrices du CEPD de 2021). 
 
A ce titre, des précisions sont en effet nécessaires au regard notamment des difficultés 
identifiées par les acteurs concernant l’application de l’article 82 de la loi « informatique et 
libertés », l’étendue des obligations du responsable du traitement, des données pouvant être 
collectées et des durées pendant lesquelles elles peuvent être conservées.  
 
 
 
 
 
 
 
21 
 

 
Liste des annexes 
ANNEXE 1 :  Projet de recommandation relative à l’utilisation des données de 
localisation des véhicules connectés 
 
 
 
 
 
22