Bras de fer pour l’accès aux données automobiles

Les véhicules consomment de l’énergie mais produisent des données, qui sont de plus en plus utilisées aussi bien par les constructeurs que par les services de location, les spécialistes de la réparation ou encore les gestionnaires de flotte. Néanmoins, les règles d’accès à cette ressource n’ont pas encore été établies, ce qui entraîne une intense campagne de lobbying auprès de l’UE.

La numérisation de l’économie et des modes de vie bouleverse le secteur de l’automobile. De la même façon que les smartphones ont remplacé les téléphones, les véhicules connectés vont progressivement devenir majoritaires sur les routes. Ceux-ci génèrent des données qui peuvent renseigner sur la quantité d’énergie nécessaire au chargement des véhicules électriques ou répondre à des exigences de sécurité (comme l’obligation, effective depuis l’été 2022, d’équiper une voiture d’enregistreurs d’événements qui indiqueront les circonstances d’un accident).

Ces données sont accessibles grâce au port OBD (On Board Diagnostic) situé dans l’habitacle. On peut y brancher soit une valise de diagnostic pour obtenir des informations sur l’état d’usure d’un véhicule ou bien un tracker qui communique à un système informatique de gestion de flotte sa localisation, la distance parcourue ou encore la fréquence d’accélération ou de freinage pendant la conduite. En plus d’obtenir des données, certaines opérations deviennent possibles comme le déverrouillage du véhicule, l’envoi de rapports de maintenance ou encore la prise en compte du style de conduite pour personnaliser le tarif d’une assurance automobile.

Des voitures connectées… au profit des constructeurs

L’accès à ces données est un enjeu économique. Elles constituent une source d’informations à partir desquelles des entreprises appartenant au marché de « l’après-vente » (c’est-à-dire intervenant après l’achat du véhicule comme les assurances, les centres d’entretiens ou les spécialistes de la gestion de flotte) ont élaboré tout ou partie de leur modèle d’affaires. Un marché de ces données a vu le jour.

La Commission européenne l’a régulé à partir de 2007 mais c’est depuis 2018 qu’un règlement communautaire détermine formellement l’équilibre entre l’offre et la demande. Il prévoyait que les constructeurs fournissent un accès illimité et non discriminatoire aux « in-vehicle data ». Il précisait toutefois qu’il leur était loisible de demander en contrepartie des frais « raisonnables et proportionnés ».

Cette législation entérine un modèle d’affaires résumé par le concept « d’extended vehicle », un standard selon lequel une automobile comprend des éléments embarqués, mais aussi des éléments débarqués et une interface-utilisateur. Les informations issues des éléments embarqués et de l’utilisation de l’interface sont acheminées vers des serveurs faisant office d’éléments débarqués appartenant aux constructeurs. Les constructeurs peuvent choisir de confier ces data à des prestataires externes qui les stockent dans des data hub.

Ce modèle est néanmoins controversé. Dès 2018, le risque de déséquilibre de ce marché a été souligné dans un rapport remis par des experts travaillant pour la Commission Européenne. Les entreprises du secteur de l’après-vente y sont opposées à cause de la dépendance économique qu’il occasionne, du risque de rétention de données et de l’avantage commercial indu dont bénéficient les constructeurs automobiles proposant leurs propres services de location ou d’assurance. Les centres de réparation et d’entretien automobiles sont les plus actifs à exposer l’incidence de ce règlement sur leurs activités via l’AFCAR (Alliance for the Freedom of Car Repair).

Un marché que le Data Act fait évoluer

Cet antagonisme commercial a été ravivé en février 2020 lors de la présentation de la Stratégie Européenne de la Donnée. Cette stratégie prévoit l’instauration d’un marché de la donnée dans lequel seul l’utilisateur de produits ou de services qui en génèrent choisit qui peut les obtenir et dans quelles conditions.

Elle se concrétise grâce à deux règlements : le Data Governance Act, entré en application en septembre 2023 et le Data Act, en vigueur depuis le 27 janvier 2024. Ce second règlement prévoit néanmoins de « s’appuyer sur les évolutions récentes survenues dans certains secteurs, telles que le code de conduite pour le partage des données agricoles par contrat ». Une réglementation supplémentaire l’adapterait ainsi aux spécificités techniques de certains marchés comme celui de la construction d’automobiles.

Le bien-fondé de cette régulation supplémentaire fait l’objet d’un dissensus entre les constructeurs et les membres de l’AFCAR. Les premiers estiment que le Data Governance Act et le Data Act suffisent au fonctionnement du marché des données et jugent superflue toute régulation supplémentaire. Ils précisent ne pas être opposés aux partages de données, mais demandent que les organisations qui les obtiennent contribuent financièrement aux efforts qui ont été nécessaires pour les obtenir.

Pour les seconds, le Data Act ne met pas fin au désavantage commercial dont ils souffrent. Les constructeurs ont toujours selon eux la possibilité de verrouiller l’accès aux données de leurs modèles connectés, en « imposant » la signature d’un contrat faisant d’eux les seuls destinataires des données du véhicules pour accéder à son interface, et plus généralement d’imposer leurs conditions dans ce marché.

Une campagne de lobbying auprès de l’UE

Une campagne de lobbying de l’AFCAR a démarré lors de l’adoption du Data Act. Entre septembre 2023 et la fin du mois de janvier 2024, ses membres ont écrit à quatre reprises aux dirigeants de la Commission Européenne pour lui demander l’adoption d’une réglementation complémentaire pour les données automobiles. Elle prévoirait la mise à disposition des fonctions, ressources et données à des organisations tiers ainsi que le contrôle par un arbitre indépendant de l’accès effectif à ces informations.

Plusieurs événements justifient cette requête. Des représentants d’autres secteurs de l’automobile se sont joints à cette campagne, comme celui de l’assurance. Deux décisions récentes de la Cour de Justice de l’Union Européenne ont ensuite confirmé le besoin d’un règlement supplémentaire. Dans le premier cas, qui opposait Carglass à Fiat, il fut décidé le 5 octobre 2023 que l’accès au port OBD devait être accordé par les constructeurs aux réparateurs et spécialistes de la maintenance. Dans la seconde affaire opposant le constructeur Scania à l’association allemande Gesamtverband Autoteile-Handel, le jugement émis le 9 novembre 2023 a estimé que les données provenant d’un véhicule ne peuvent pas être considérées comme des données personnelles et peuvent donc être communiquées à des garages et des centres d’entretien indépendants.

Enfin, la Fondation Mozilla a révélé dans un rapport publié au mois de septembre 2023 que les constructeurs automobiles avaient les pires pratiques en matière de confidentialité des données qu’elle n’ait jamais découvertes.

La Commission Européenne a présenté en 2022 une initiative législative pour autoriser l’accès aux données, aux fonctions et aux ressources des véhicules et les parties prenantes de ce marché ont été consultées pendant l’été de cette année. Le Commissaire Européen Didier Reynders a confirmé le travail de rédaction de ce règlement par la Commission en décembre 2023. Néanmoins, son contenu est encore inconnu.

Son adoption reste toutefois plus que prioritaire pour les spécialistes de l’après-vente. En juillet 2024, le nouvelle norme internationale UNECE 156 entrera en vigueur. Elle rendra obsolètes les composants susceptibles de favoriser les cyberattaques, dont les ports OBD. Passé ce délai, et sans nouveau règlement, les constructeurs automobiles seraient les seuls à contrôler l’accès aux data de véhicules appartenant à des particuliers.