Votre voiture est devenue un ordinateur sur roues. En 2026, un véhicule moderne collecte en moyenne 25 gigaoctets de données par heure de conduite selon une étude McKinsey citée par la Commission Nationale Informatique et Libertés. Ces données comprennent votre localisation précise, vos habitudes de conduite, vos conversations via Bluetooth, vos contacts téléphoniques synchronisés, et même vos données biométriques si votre véhicule est équipé d'un système de surveillance de fatigue. Qui accède à ces informations ? À quoi servent-elles ? Et surtout : pouvez-vous les protéger ?
Un volume de données qui donne le vertige
Pour comprendre l'ampleur du phénomène, voici ce que votre voiture connectée typique de 2026 enregistre en une seule journée de conduite normale :
- Localisation GPS en continu : chaque arrêt prolongé (+ de 5 minutes) est catégorisé — lieu de travail, domicile, lieux de culte, établissements de santé, bars...
- Données comportementales : vitesses, accélérations, freinages, temps de trajet, habitudes horaires
- Contenus multimédias : historique des stations radio écoutées, podcasts, recherches vocales, musiques
- Données de communication : contacts Bluetooth synchronisés, durée des appels, numéros composés (pas le contenu)
- Données physiologiques sur certains modèles premium : fréquence cardiaque (sièges connectés), niveau de fatigue (caméra iris), pression artérielle
- Données financières sur les systèmes de paiement intégrés : péages, carburant, parking
Persona 1 : Antoine, 41 ans, directeur commercial, Paris
Antoine conduit une BMW Série 5 de 2025 avec ConnectedDrive actif. Il n'a jamais lu les 47 pages des conditions d'utilisation du service. Un jour, en passant devant une clinique spécialisée en addictologie, il réalise soudainement que ce détour — effectué pour accompagner un ami — est enregistré dans le journal de bord numérique de son véhicule, synchronisé avec les serveurs BMW en Allemagne.
Cette anecdote illustre un problème systémique : les données de localisation peuvent révéler des informations extrêmement sensibles — santé, religion, vie amoureuse, opinions politiques — sans que leur collecte soit perçue comme intrusive par le conducteur. Une visite régulière à une mosquée, une clinique d'IVG, un cabinet d'avocat spécialisé divorce : votre voiture sait tout.
Qui a accès à vos données automobiles ?
La chaîne d'accès aux données est plus longue que vous ne l'imaginez. En 2026, pour un véhicule connecté européen typique, vos données transitent par :
- Le constructeur : BMW, Renault, Stellantis, Toyota... Ils collectent les données de télémétrie, diagnostics, mises à jour OTA (Over The Air), et services connectés.
- Les sous-traitants technologiques : Google (Android Automotive), Apple (CarPlay intégration), HERE Technologies (cartes), Harman (audio connecté). Chacun a sa propre politique de données.
- Les concessionnaires : lors des révisions, l'accès au port OBD2 permet une extraction massive de données. Une enquête du magazine Que Choisir de 2025 a révélé que 67% des concessionnaires n'informent pas clairement les clients sur les données récupérées.
- Les assureurs (avec votre consentement, en théorie) : pour la télématique et la gestion des sinistres.
- Les forces de l'ordre : sur réquisition judiciaire, les données de localisation et comportementales peuvent être transmises dans le cadre d'enquêtes pénales.
- Les data brokers : une pratique encore peu régulée où certains constructeurs revendent des données anonymisées (mais souvent ré-identifiables) à des entreprises tierces — publicitaires, urbanistes, fonds de placement.
Le scandale Toyota-Lexus : quand la confidentialité devient illusion
En août 2025, Toyota a annoncé avoir exposé les données de localisation de 2,15 millions de clients japonais pendant 10 ans, de 2013 à 2023, en raison d'un paramètre de confidentialité mal configuré. Les données incluaient l'identifiant du véhicule et la localisation GPS toutes les 30 secondes. Un audit ultérieur a révélé que le problème était potentiellement généralisable à d'autres marchés, dont l'Europe.
Ce n'est pas un cas isolé. En 2024, la FTC américaine a sanctionné General Motors pour avoir vendu des données de conduite (collectées via le programme OnStar Smart Driver) à des assureurs sans consentement explicite des conducteurs, résultant en des hausses de primes non expliquées pour des milliers de clients. Amende : 52 millions de dollars.
Persona 2 : Nathalie, 52 ans, responsable RH, Toulouse
Nathalie utilise son véhicule professionnel (Peugeot 508 de société) pour ses déplacements. Ce qu'elle ignore : son employeur a accès aux données télématiques de la flotte via le système de gestion de flotte Arval. Ses itinéraires précis, ses horaires de départ et d'arrivée, ses arrêts — y compris ses trajets personnels autorisés le week-end — sont visibles dans un tableau de bord administrateur accessible au service RH et à la direction financière.
Un tribunal des prud'hommes de Lyon a statué en novembre 2025 qu'un employeur ne pouvait pas utiliser ces données pour justifier un licenciement sans avoir préalablement informé le salarié de la surveillance et de son périmètre exact. La frontière entre surveillance légitime de la flotte et intrusion dans la vie privée du salarié reste floue juridiquement.
Le cadre réglementaire européen en 2026
L'Europe dispose des règles les plus protectrices au monde sur les données automobiles, mais leur application reste inégale :
- RGPD : s'applique pleinement aux données de véhicules connectés. Droit d'accès, de rectification, d'effacement, de portabilité. En théorie, vous pouvez demander à Toyota l'intégralité de vos données stockées.
- Règlement EU sur les données automobiles (2025) : impose aux constructeurs de proposer un "mode confidentiel" désactivant la collecte non-essentielle sans affecter les fonctions de sécurité obligatoires.
- Directive NIS2 : impose des standards de cybersécurité minimaux aux constructeurs automobiles depuis janvier 2025, incluant la protection des données en transit et au repos.
- Règlement UNECE R155 : standard mondial de cybersécurité automobile, obligatoire pour tous les véhicules vendus en Europe depuis juillet 2024.
Les 7 actions concrètes pour protéger vos données automobiles
- Lisez (au moins) le résumé des CGU lors de l'activation des services connectés. Cherchez les clauses "partage avec des tiers" et "données de localisation".
- Désactivez les services non essentiels dans le menu de confidentialité de votre véhicule. Sur la plupart des modèles récents, il existe un paramètre "Collecte de données de conduite" que vous pouvez désactiver sans perdre la navigation ou la téléphonie.
- Videz l'historique avant revente ou prêt : "remise à zéro d'usine" des systèmes embarqués. En 2025, des chercheurs en sécurité ont récupéré les contacts téléphoniques et l'historique de localisation complet d'un véhicule d'occasion acheté chez un particulier.
- Refusez la synchronisation automatique des contacts Bluetooth. Votre carnet d'adresses complet n'a pas à être sur les serveurs de votre constructeur.
- Exercez votre droit d'accès : envoyez un email à votre constructeur demandant l'intégralité de vos données personnelles (délai légal de réponse : 30 jours).
- Vérifiez les permissions de l'application constructeur sur votre smartphone (accès localisation, contacts, microphone) et limitez-les au minimum nécessaire.
- Portez attention aux dongles OBD2 connectés (certains boîtiers assurance ou diagnostic) : ils transmettent toutes les données du bus CAN de votre véhicule. Lisez impérativement la politique de données avant installation.
L'IA comme protectrice : les outils de privacy-by-design
Paradoxalement, l'IA peut aussi être une solution. Des startups comme Otonomo (Israël), Caruso (Allemagne) et Mobi (États-Unis) développent des plateformes de "souveraineté des données automobiles" qui permettent aux conducteurs de contrôler finement quelles données sont partagées, avec qui, et pour quelle contrepartie (réductions, services premium).
Le concept de Personal Data Store automobile émerge : vos données restent chiffrées dans votre véhicule ou sur votre wallet numérique, et vous choisissez d'en "vendre" ou "prêter" l'accès à des acteurs spécifiques. Cette approche transforme la donnée automobile d'un actif capturé par les constructeurs en un actif appartenant au conducteur.
Conclusion : la voiture connectée réclame un conducteur informé
Votre voiture en sait probablement plus sur vous que votre médecin généraliste. Ce n'est pas une métaphore : localisation, comportement, santé, relations sociales — tout y est. La bonne nouvelle est que le cadre réglementaire européen offre des protections réelles, à condition de les exercer activement.
L'ère de la voiture connectée impose une nouvelle compétence au conducteur : la littératie des données. Savoir ce que votre véhicule collecte, qui y accède et comment le contrôler est désormais aussi important que de savoir changer un pneu. Sauf que pour les pneus, on vous l'apprend au permis de conduire.