Connexion
Abonnez-vous

US : un courtier de données attaqué pour avoir vendu les données d’un conducteur à un assureur

Spy how you drive

US : un courtier de données attaqué pour avoir vendu les données d’un conducteur à un assureur

Aux États-Unis, un nombre croissant de conducteurs se plaignent de hausses inexpliquées de leur assurance automobile. L’un d’eux a porté plainte contre le courtier LexisNexis et le constructeur General Motors, alors qu’une enquête du New York Times révèle leurs business de données personnelles.

Le 18 mars à 15h27

Propriétaire d’une Chevrolet Bolt, Kenn Dahl a toujours été un conducteur attentif. Au New York Times, ce soixantenaire explique avoir été surpris, en 2022, lorsqu’il a vu le coût de son assurance automobile grimper de 21 %. Alors qu’il consulte d’autres assureurs, un agent lui explique qu’un rapport du courtier de données LexisNexis, spécialiste des profils de risques, était un facteur important du prix proposé par les entreprises.

Kenn Dahl demande donc à l’entreprise de lui fournir son « rapport d’information au consommateur », comme la loi états-unienne l’y oblige. Il reçoit un document de 258 pages dans lequel sont répertoriés les détails de chacun de ses trajets en voiture sur les six derniers mois. Parmi les informations recueillies : l’heure de départ et celle d’arrivée, la distance parcourue, les accélérations, les accélérations fortes et les freinages brusques. « La seule donnée manquante était l’adresse à laquelle il avait conduit sa voiture », écrit la journaliste Kashmir Hill.

Selon le document, les données en question avaient été fournies par General Motors, le constructeur de la Chevrolet, à LexisNexis. Ce dernier, de son côté, se sert de ces données pour créer des scores de risques. Ceux-ci sont cédés à des assureurs, pour leur permettre de créer des produits « plus personnalisés », selon le porte-parole de la société. Au New York Times, Kenn Dahl explique s’être senti « trahi ».

Comme lui, Romeo Chicco, propriétaire d’une Cadillac, a vu son assurance doubler à la suite de la constitution d’un score de risque similaire par LexisNexis. La semaine dernière, il a porté plainte en Floride contre LexisNexis et General Motors.

Récupérer des données par tous les moyens

Les constructeurs automobiles proposent depuis plusieurs années à leurs clients d’installer des applications sur leurs téléphones ou des capteurs dans leurs voitures pour suivre leurs statistiques de conduite, mais une entreprise comme Ford Motor constate que ceux-ci s’avèrent globalement réticents.

À la place, nombreuses sont celles qui récupèrent des informations depuis les véhicules connectés à Internet. Quand ils proposent des assurances « Pay how you drive » (PHYD), comme le fait Tesla aux États-Unis, ou Direct Assurances avec son offre YouDrive en France, ces récoltes d’informations sont faites avec le consentement des acheteurs/conducteurs. Mais sur les modèles récents de véhicules connectés, elles peuvent aussi se faire de manière détournée.

Ainsi, des constructeurs comme General Motors, Honda, Kia et Hyundai proposent-ils des options permettant de noter la conduite d’un utilisateur sur les applications qui permettent à ces derniers de localiser leur véhicule, de le déverrouiller à distance ou d’accéder à des services d’assistances. Certains ne « réalisent pas forcément que, s’ils actionnent ces options, le constructeur automobile envoie ensuite des informations sur leur conduite à des data brokers comme LexisNexis », indique le New York Times.

Définition inconnue des freinages et accélérations « brusques »

Surtout, certains conducteurs de véhicules General Motors déclarent avoir été suivis quand bien même ils n'avaient pas actionné la fonctionnalité en question, appelée OnStar Smart Driver. Ils déclarent aussi avoir vu le montant de leur assurance grimper. L’entreprise indique que chaque utilisateur peut refuser à son gré de partager ses données de conduite – mais dans les faits, OnStar Driver n’explique pas clairement à ses usagers que les données collectées sont susceptibles d’être partagées avec des tiers.

Sur des forums de conducteurs automobiles, des internautes s’alertent les uns les autres des effets de ces partages de données. Un propriétaire de Corvette se plaint par exemple d’avoir eu des données collectées pendant une journée de roulage sur circuit, où il testait les limites de sa voiture sportive sur un circuit professionnel.

Auprès du New York Times, Romeo Chicco a expliqué de son côté s’être vu refuser son dossier par plusieurs assureurs en décembre 2023. Après avoir récupéré ses informations auprès de LexisNexis, il y a constaté que ses données contenaient plusieurs traces de « freinages brusques ». Mais sans comprendre ce que cela signifie, dans la langue des constructeurs automobiles et des assureurs.

Sur leurs sites respectifs, LexisNexis et son concurrent Verisk indiquent travailler avec des marques aussi variées que Mitsubishi, Subaru, Kia, Ford, Hyundai ou Honda.

Les voitures, pires produits en termes de vie privée

Aux États-Unis, les assureurs doivent demander le consentement de leurs clients pour avoir accès à leurs données. Pour autant, le New York Times rapporte ici au moins un cas d’activation du programme Smart Driver par défaut, sans que les clients ne soient nécessairement mis au courant.

En septembre 2023, un rapport de la Mozilla Foundation soulignait précisément que les voitures étaient « la pire catégorie de produit » qu’elle ait jamais « analysée en matière de vie privée ». Sur les 25 marques contrôlées à l’époque, toutes récupèrent « trop de données personnelles », 84 % les partagent ou les vendent, et seules Renault et Dacia (qui ne sont vendues qu’en Europe, territoire d’application du Règlement Général sur la Protection des données, RGPD) permettaient aux conducteurs de demander que leurs informations soient effacées.

Par ailleurs, aucune ne remplissait les standards minimum de sécurité de la Fondation, ce qui signifie que des produits comme des applications de rencontre ou des sex toys ont de meilleures pratiques en la matière (dans la mesure où leurs constructeurs publient en moyenne plus d’informations sur la sécurité de leurs produits) que l’industrie automobile.

Tesla est la deuxième marque jamais analysée par la Mozilla Foundation à avoir fait sonner toutes ses alertes. Quant à Nissan, deuxième pire marque du classement, elle compte des catégories de données aussi improbables qu’« activité sexuelle » ; dans le même genre, Kia indique collecter des données sur la « vie sexuelle » de ses usagers.

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Comment savent-ils pour l'activité sexuelle ?
Par les capteurs d'assiette, quand on fait comme dans GTA à en faire bouger la voiture dans tous les sens ? 😁
votre avatar
C'est un peu ce que je me dis aussi... 🤣
votre avatar
Maintenant les voitures intègrent des caméras extérieures et intérieures.
votre avatar
Intérieures ?! Pour quoi faire ?
Et surtout, à quel moment la vidéo serait analysée pour en déduire les actes sexuels ? 😱
votre avatar
votre avatar
C'est obligatoire sur tout véhicule neuf vendu en Europe. Ça s'appelle un capteur de vigilance (en gros une caméra qui filme le conducteur et s'assure qu'il a bien les yeux ouverts)
votre avatar
OK, merci, je savais pas.
Effrayant que ce soit obligatoire, et connecté à Internet d'une façon ou d'une autre...
votre avatar
Connecté ça c'est la dérive américaine :) la détection de somnolensce est certainement faite localement (un simple rasperberry suffit pour ce genre d'algo)
votre avatar
Ceux-ci sont cédés à des assureurs, pour leur permettre de créer des produits « plus personnalisés », selon le porte-parole de la société. Au New York Times, Kenn Dahl explique s’être senti « trahi ».
Il se sent trahi, mais a-t-il accepté ou refusé d'être traqué ? Si oui, pourquoi venir s'en plaindre ensuite ? Que lui a-t-on promis pour qu'il accepte ? Une réduction sur sa prime d'assurance ? :windu:
et seules Renault et Dacia (qui ne sont vendues qu’en Europe, territoire d’application du Règlement Général sur la Protection des données, RGPD) permettaient aux conducteurs de demander que leurs informations soient effacée
Avant de parler d'effacement, il serait judicieux de lister les constructeurs qui n'enregistrent rien. Je commence à regarder le marché automobile pour remplacer ma vieille voiture qui approche de la majorité. Et je n'en trouve aucune qui n'a pas un "ordinateur de bord connecté". Déjà que je me supporte pas les voitures qui activent seuls des fonctionnalités (les lumières, les essuie-glaces,...), ça devient impossible de trouver une voiture qui obéit simplement au conducteur sans rien enregistrer :craint:
votre avatar
Il semble que le type ait pas réellement eu le choix. Le problème est le lien entre Constructeur --> assureur. Que l'assureur propose un procédé (avec capteur ou ce que tu veux) à l'assuré pour mesurer la qualité de sa conduite et adapte son coût, c'est déjà limite mais peut-être légal. En tout cas c'est pas le sujet. Le sujet c'est la vente par le constructeur de données identifiable à des brokers. Et si il a accepté en acceptant un contrant de 200 pages de contrat écrit en police 8, alors il a pas vraiment accepté.

L'article précise bien que le type a du aller voir d'autres assureurs pour comprendre ce qu'il se passait c'est donc qu'il a pas accepté grand chose en connaissance de cause. Et encore il a du bol qu'un autre assureur lui ait avoué que sa police d'assurance dépendait d'un truc externe.

Mais à la limite si l'assuré est persuadé qu'il va économiser, pourquoi pas... ça remet juste en cause le principe même de l'assurance qui commonnalise les coûts en étalant les risques. Là tu t'extrais (j'appellerais ça de l'égoîsme) d'un système commun pour ton intérêt personnel. Un peu comme si on avait le droit en tant que salarié de sortir de l'assurance maladie parce que "ça va oh! je suis en bonne santé, moi d'abord".
votre avatar
L'égoïsme ? Pourtant les études sont formelles plus tu roules comme un con plus tu es impliqués dans un accident.
votre avatar
C'est justement le principe de l'assurance aux USA, pas de solidarité. C'est entre autre pour ça que l'"Obama Care" avait été créé, pour forcer tout le monde à être assurer y compris les jeunes et/ou les gens en bonne santé.
votre avatar
Constructeur français: SECMA https://www.secma-performance.fr

mais faut pas être exigeant sur le confort et les accessoires (hormis les portes...)
votre avatar
Et je n'en trouve aucune qui n'a pas un "ordinateur de bord connecté".
Tu peux arrêter de chercher, il est interdit de sortir un modèle neuf sans ordinateur de bord, tout véhicule neuf doit inclure :
- un détecteur de panneau,
- le freinage automatique d'urgence,
- l'aide au maintien dans la voie,
- le détecteur de vigilance,
- la boite noire qui enregistre vitesse, accélération, freinage...

Il y'a peut-être quelques modèles sans écran dans l'habitacle, mais c'est uniquement l'écran qui manque, du coup ce n'est pas forcément une bonne idée si t'as envie de pouvoir désactiver certaines "aides" à la conduite.
votre avatar
Pas étonnant que les bagnoles soient hors de prix ! :stress:
votre avatar
Aucune de ces fonctions ne semble faire partie de la définition d’une voiture connecté (que j’aimerais avoir une voiture avec un limiteur de vitesse secondaire qui se règle sur les panneaux, d’ailleurs. Mais j’ai pas trop envie de trifouillé avec le bus CAN).

Cependant, eCall semble compté comme un système connecté (mais limité à des cas exceptionnel)
votre avatar
Le dernier paragraphe :incline:
votre avatar
Je reste sans voix devant le niveau abyssal de perfidie crasse exposé dans l'article ...

C'est aussi avec ce genre d'exemples qu'on se rend compte de la nécessité d'un texte légal comme le RGPD. C'est certes imparfait mais ça le mérite d'exister, et potentiellement d'attaquer les responsables de ce genre d'abus (il faudrait aussi que ça serve à attaquer les institutions étatiques).

J'espère sincèrement que l'affaire sera jugée sévèrement, et que ça serve de jurisprudence à l'avenir 🤞 (ouais je suis optimiste aujourd'hui)
votre avatar
Tu te crois à l’abri en Europe ? Le RGPD n'empêche en rien une boîte américaine d'analyser les données des Européens et d'attribuer une note de risque aux européens via les informations glanées par n'importe quel moyen.

Une assurance Européenne peut très bien, en suite, acheter la note pour estimer le risque d'un prêt immobilier ou le risque d'assurance d'une voiture. Je ne suis pas sûr qu'ils soient tenus de donner leurs raisons.

Et c'est pareil pour un recrutement, pour évaluer le « sérieux » de quelqu'un selon les contenus laissés sur les réseaux sociaux par les gens ou leurs amis.
votre avatar
Attention, tu es en train de te prendre pour un juriste.
Cette interprétation n'est que la tienne.
votre avatar
Tu as raison, je ne suis pas juriste.
Mais je pense qu'il y a bien une faille dans le sens où la consultation d'une note de risque par une assurance pour traiter un dossier ne constitue pas une collecte de données personnelles et donc aucun compte à rendre à la CNIL ou aux clients.

Si un juriste passe par ici, je suis preneur de son analyse.
votre avatar
Effectivement, si la note existe c'est « trop tard », mais le RGPD est utile sur la collecte de ces données justement. Il impose que tu donne ton consentement à la récolte de données (de conduite d'une voiture connectée par exemple), et s'ils le font sans ton consentement, c'est attaquable. Et ce n'est pas le cas aux US visiblement.

Il n'a jamais été question « d'être à l'abri » avec le RGPD, juste de limiter la casse au niveau de la collecte, du stockage et de l’utilisation des données.
votre avatar
Il impose que tu donne ton consentement à la récolte de données (de conduite d'une voiture connectée par exemple), et s'ils le font sans ton consentement, c'est attaquable. Et ce n'est pas le cas aux US visiblement.
C'est terrible de toujours lire ceci, 6 après l'entrée en vigueur du RGPD. Le RGPD impose une base légale, dont le consentement fait parti. Une autre base largement utilisable dans ce cas, c'est la base contractuelle.

Ici, on pourrait même pousser le vice jusqu'à utiliser la clause pour la sauvegarde des intérêts vitaux des personnes, en détectant les chauffards.
Il n'a jamais été question « d'être à l'abri » avec le RGPD, juste de limiter la casse au niveau de la collecte, du stockage et de l’utilisation des données.
Exactement. Hormis pour les données dites sensibles, un responsable de traitement peut faire ce qu'il veut, tant qu'il décrit le traitement et dispose d'une base légale pour le faire (et dans un sens, c'est même plus laxiste qu'avant, car avant, un certain nombre de traitements nécessitait au moins une déclaration à la CNIL, ce qui n'est plus le cas aujourd'hui).
votre avatar
C'est vrai pour une entreprise qui possède une entité en Europe. Mais une boîte hors Europe qui achète les données déjà récoltées ou issues des nombreuses exfiltrations pirates n'en a strictement rien à faire car elle est hors de portée des sanctions européennes.
votre avatar
Tout à fait. Il n'y a qu'à s'intéressé au cas Clearview AI, condamné à plusieurs reprise pour violation du RGPD.

Mais je ne réagissais pas sur les éventuels poursuites en cas d'infraction, mais sur ce qu'impose le RGPD. On lit encore trop souvent que le RGPD impose le consentement. C'est faux. C'est une possibilité, mais pas une obligation. L'obligation qui s'y réfère, c'est d'avoir une base légale.
votre avatar
Euh non, le RGPD inclus également le traitement des données (pas uniquement la collecte). Donc si une mauvaise note existe sur ta tête, tu demandes simplement à la faire supprimer : c'est une donnée personnelle, tu as droit de vie ou mort sur cette info, y compris changer d'avis et retirer un consentement donné précédemment.
votre avatar
Et il faut le consentement ou prouver un intérêt légitime pour faire un traitement de données personnelles comme pour la collecte, le stockage etc...
votre avatar
Sauf que tu ne sais pas qu'elle existe. Tu connais beaucoup de banques ou d'assurances qui motivent leurs refus ou justifient le tarif qu'elles t'appliquent ?
votre avatar
La note n'a pas besoin d'être stockée après utilisation. Donc, tu n'as aucun recours. Et pour l'algorithme, c'est du ressort du secret des affaires.
votre avatar
Si tu as un système OnStar dans ta voiture, tu peux envoyer une requête de suppression des données personnelle à LexisNexis, pas besoin de savoir si ils ont réellement des infos à ton sujet.
votre avatar
Suggestion pour les LIDDs: https://blinry.org/50-things-with-sdr/

Le point 41 indique que les capteurs de pressions des pneus sont plus ou moins en clair:
I also saw some messages from tire pressure monitoring systems in cars! They also include an ID, and usually, the brand of the car! The owners probably aren’t aware how easy it would be to track them… (Thanks, @scy!)
votre avatar
Voilà, on y est dans le 5ème élément (Luc Besson pour les plus jeunes).
Manque plus que les prunes et les retraits de points automatiques.

Je suis pas prêt d’acheter une ces merdes modernes (même pas foutue d'être fiable et coûtant un reins en plus).
votre avatar
Et nous continuons d'accepter que des choses nous soient imposées "pour notre bien" sans exiger de justification pragmatiques/concrètes.
Vous baignez dans ces comportement autoritaires voire potentiellement les produisez vous-même. Peut-être même sans vous en rendre compte.

L'éthique informatique, qui se retrouve dans la loi de 1978, et évidente dans les cercles open-source, consiste à ne collecter que ce qui est strictement nécessaire, en exigeant des justifications positives.
C'est une bonne pratique dans la vie de manière générale, non ? Ça permet le respect des vies privées, des individualités, rationalise/rend plus efficient les mécanismes de sollicitation d'aide et l'aide apportée. Qu'est-ce que ça réduit l'entropie et la débauche d'énergie, que ce soit des humains ou des machines !

US : un courtier de données attaqué pour avoir vendu les données d’un conducteur à un assureur

  • Récupérer des données par tous les moyens

  • Définition inconnue des freinages et accélérations « brusques »

  • Les voitures, pires produits en termes de vie privée

Fermer