US : un courtier de données attaqué pour avoir vendu les données d’un conducteur à un assureur

Spy how you drive

Avatar de l'auteur
Mathilde Saliou

Publié dans

DroitLogiciel

18/03/2024 6 minutes
33

Aux États-Unis, un nombre croissant de conducteurs se plaignent de hausses inexpliquées de leur assurance automobile. L’un d’eux a porté plainte contre le courtier LexisNexis et le constructeur General Motors, alors qu’une enquête du New York Times révèle leurs business de données personnelles.

Propriétaire d’une Chevrolet Bolt, Kenn Dahl a toujours été un conducteur attentif. Au New York Times, ce soixantenaire explique avoir été surpris, en 2022, lorsqu’il a vu le coût de son assurance automobile grimper de 21 %. Alors qu’il consulte d’autres assureurs, un agent lui explique qu’un rapport du courtier de données LexisNexis, spécialiste des profils de risques, était un facteur important du prix proposé par les entreprises.

Kenn Dahl demande donc à l’entreprise de lui fournir son « rapport d’information au consommateur », comme la loi états-unienne l’y oblige. Il reçoit un document de 258 pages dans lequel sont répertoriés les détails de chacun de ses trajets en voiture sur les six derniers mois. Parmi les informations recueillies : l’heure de départ et celle d’arrivée, la distance parcourue, les accélérations, les accélérations fortes et les freinages brusques. « La seule donnée manquante était l’adresse à laquelle il avait conduit sa voiture », écrit la journaliste Kashmir Hill.

Selon le document, les données en question avaient été fournies par General Motors, le constructeur de la Chevrolet, à LexisNexis. Ce dernier, de son côté, se sert de ces données pour créer des scores de risques. Ceux-ci sont cédés à des assureurs, pour leur permettre de créer des produits « plus personnalisés », selon le porte-parole de la société. Au New York Times, Kenn Dahl explique s’être senti « trahi ».

Comme lui, Romeo Chicco, propriétaire d’une Cadillac, a vu son assurance doubler à la suite de la constitution d’un score de risque similaire par LexisNexis. La semaine dernière, il a porté plainte en Floride contre LexisNexis et General Motors.

Récupérer des données par tous les moyens

La suite est réservée à nos abonnés.

Déjà abonné ? Se connecter

Abonnez-vous

Écrit par Mathilde Saliou

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Récupérer des données par tous les moyens

Définition inconnue des freinages et accélérations « brusques »

Les voitures, pires produits en termes de vie privée

Fermer

Commentaires (33)


Comment savent-ils pour l'activité sexuelle ?
Par les capteurs d'assiette, quand on fait comme dans GTA à en faire bouger la voiture dans tous les sens ? 😁
C'est un peu ce que je me dis aussi... 🤣
Maintenant les voitures intègrent des caméras extérieures et intérieures.

StephaneGames

Maintenant les voitures intègrent des caméras extérieures et intérieures.
Intérieures ?! Pour quoi faire ?
Et surtout, à quel moment la vidéo serait analysée pour en déduire les actes sexuels ? 😱

potn

Intérieures ?! Pour quoi faire ?
Et surtout, à quel moment la vidéo serait analysée pour en déduire les actes sexuels ? 😱

potn

Intérieures ?! Pour quoi faire ?
Et surtout, à quel moment la vidéo serait analysée pour en déduire les actes sexuels ? 😱
C'est obligatoire sur tout véhicule neuf vendu en Europe. Ça s'appelle un capteur de vigilance (en gros une caméra qui filme le conducteur et s'assure qu'il a bien les yeux ouverts)

fofo9012

C'est obligatoire sur tout véhicule neuf vendu en Europe. Ça s'appelle un capteur de vigilance (en gros une caméra qui filme le conducteur et s'assure qu'il a bien les yeux ouverts)
OK, merci, je savais pas.
Effrayant que ce soit obligatoire, et connecté à Internet d'une façon ou d'une autre...

potn

OK, merci, je savais pas.
Effrayant que ce soit obligatoire, et connecté à Internet d'une façon ou d'une autre...
Connecté ça c'est la dérive américaine :) la détection de somnolensce est certainement faite localement (un simple rasperberry suffit pour ce genre d'algo)
Ceux-ci sont cédés à des assureurs, pour leur permettre de créer des produits « plus personnalisés », selon le porte-parole de la société. Au New York Times, Kenn Dahl explique s’être senti « trahi ».


Il se sent trahi, mais a-t-il accepté ou refusé d'être traqué ? Si oui, pourquoi venir s'en plaindre ensuite ? Que lui a-t-on promis pour qu'il accepte ? Une réduction sur sa prime d'assurance ? :windu:
et seules Renault et Dacia (qui ne sont vendues qu’en Europe, territoire d’application du Règlement Général sur la Protection des données, RGPD) permettaient aux conducteurs de demander que leurs informations soient effacée


Avant de parler d'effacement, il serait judicieux de lister les constructeurs qui n'enregistrent rien. Je commence à regarder le marché automobile pour remplacer ma vieille voiture qui approche de la majorité. Et je n'en trouve aucune qui n'a pas un "ordinateur de bord connecté". Déjà que je me supporte pas les voitures qui activent seuls des fonctionnalités (les lumières, les essuie-glaces,...), ça devient impossible de trouver une voiture qui obéit simplement au conducteur sans rien enregistrer :craint:
Il semble que le type ait pas réellement eu le choix. Le problème est le lien entre Constructeur --> assureur. Que l'assureur propose un procédé (avec capteur ou ce que tu veux) à l'assuré pour mesurer la qualité de sa conduite et adapte son coût, c'est déjà limite mais peut-être légal. En tout cas c'est pas le sujet. Le sujet c'est la vente par le constructeur de données identifiable à des brokers. Et si il a accepté en acceptant un contrant de 200 pages de contrat écrit en police 8, alors il a pas vraiment accepté.

L'article précise bien que le type a du aller voir d'autres assureurs pour comprendre ce qu'il se passait c'est donc qu'il a pas accepté grand chose en connaissance de cause. Et encore il a du bol qu'un autre assureur lui ait avoué que sa police d'assurance dépendait d'un truc externe.

Mais à la limite si l'assuré est persuadé qu'il va économiser, pourquoi pas... ça remet juste en cause le principe même de l'assurance qui commonnalise les coûts en étalant les risques. Là tu t'extrais (j'appellerais ça de l'égoîsme) d'un système commun pour ton intérêt personnel. Un peu comme si on avait le droit en tant que salarié de sortir de l'assurance maladie parce que "ça va oh! je suis en bonne santé, moi d'abord".

Aqua

Il semble que le type ait pas réellement eu le choix. Le problème est le lien entre Constructeur --> assureur. Que l'assureur propose un procédé (avec capteur ou ce que tu veux) à l'assuré pour mesurer la qualité de sa conduite et adapte son coût, c'est déjà limite mais peut-être légal. En tout cas c'est pas le sujet. Le sujet c'est la vente par le constructeur de données identifiable à des brokers. Et si il a accepté en acceptant un contrant de 200 pages de contrat écrit en police 8, alors il a pas vraiment accepté.

L'article précise bien que le type a du aller voir d'autres assureurs pour comprendre ce qu'il se passait c'est donc qu'il a pas accepté grand chose en connaissance de cause. Et encore il a du bol qu'un autre assureur lui ait avoué que sa police d'assurance dépendait d'un truc externe.

Mais à la limite si l'assuré est persuadé qu'il va économiser, pourquoi pas... ça remet juste en cause le principe même de l'assurance qui commonnalise les coûts en étalant les risques. Là tu t'extrais (j'appellerais ça de l'égoîsme) d'un système commun pour ton intérêt personnel. Un peu comme si on avait le droit en tant que salarié de sortir de l'assurance maladie parce que "ça va oh! je suis en bonne santé, moi d'abord".

L'égoïsme ? Pourtant les études sont formelles plus tu roules comme un con plus tu es impliqués dans un accident.

Aqua

Il semble que le type ait pas réellement eu le choix. Le problème est le lien entre Constructeur --> assureur. Que l'assureur propose un procédé (avec capteur ou ce que tu veux) à l'assuré pour mesurer la qualité de sa conduite et adapte son coût, c'est déjà limite mais peut-être légal. En tout cas c'est pas le sujet. Le sujet c'est la vente par le constructeur de données identifiable à des brokers. Et si il a accepté en acceptant un contrant de 200 pages de contrat écrit en police 8, alors il a pas vraiment accepté.

L'article précise bien que le type a du aller voir d'autres assureurs pour comprendre ce qu'il se passait c'est donc qu'il a pas accepté grand chose en connaissance de cause. Et encore il a du bol qu'un autre assureur lui ait avoué que sa police d'assurance dépendait d'un truc externe.

Mais à la limite si l'assuré est persuadé qu'il va économiser, pourquoi pas... ça remet juste en cause le principe même de l'assurance qui commonnalise les coûts en étalant les risques. Là tu t'extrais (j'appellerais ça de l'égoîsme) d'un système commun pour ton intérêt personnel. Un peu comme si on avait le droit en tant que salarié de sortir de l'assurance maladie parce que "ça va oh! je suis en bonne santé, moi d'abord".

C'est justement le principe de l'assurance aux USA, pas de solidarité. C'est entre autre pour ça que l'"Obama Care" avait été créé, pour forcer tout le monde à être assurer y compris les jeunes et/ou les gens en bonne santé.
Constructeur français: SECMA https://www.secma-performance.fr

mais faut pas être exigeant sur le confort et les accessoires (hormis les portes...)
Et je n'en trouve aucune qui n'a pas un "ordinateur de bord connecté".


Tu peux arrêter de chercher, il est interdit de sortir un modèle neuf sans ordinateur de bord, tout véhicule neuf doit inclure :
- un détecteur de panneau,
- le freinage automatique d'urgence,
- l'aide au maintien dans la voie,
- le détecteur de vigilance,
- la boite noire qui enregistre vitesse, accélération, freinage...

Il y'a peut-être quelques modèles sans écran dans l'habitacle, mais c'est uniquement l'écran qui manque, du coup ce n'est pas forcément une bonne idée si t'as envie de pouvoir désactiver certaines "aides" à la conduite.
Modifié le 19/03/2024 à 08h25

Historique des modifications :

Posté le 19/03/2024 à 08h24


Tu peux arrêter de chercher, il est interdit de sortir un modèle neuf sans ordinateur de bord, tout véhicule neuf doit inclure :
- un détecteur de panneau,
- le freinage automatique d'urgence,
- l'aide au maintien dans la voie,
- le détecteur de vigilance,
- la boite noire qui enregistre vitesse, accélération, freinage...

Il y'a peut-être quelques modèles sans écran dans l'habitacle, mais c'est uniquement l'écran qui manque, du coup ce n'est pas forcément une bonne idée si t'as envie de pouvoir désactiver certaines "aides" à la conduite.

fofo9012

Et je n'en trouve aucune qui n'a pas un "ordinateur de bord connecté".


Tu peux arrêter de chercher, il est interdit de sortir un modèle neuf sans ordinateur de bord, tout véhicule neuf doit inclure :
- un détecteur de panneau,
- le freinage automatique d'urgence,
- l'aide au maintien dans la voie,
- le détecteur de vigilance,
- la boite noire qui enregistre vitesse, accélération, freinage...

Il y'a peut-être quelques modèles sans écran dans l'habitacle, mais c'est uniquement l'écran qui manque, du coup ce n'est pas forcément une bonne idée si t'as envie de pouvoir désactiver certaines "aides" à la conduite.
Pas étonnant que les bagnoles soient hors de prix ! :stress:

fofo9012

Et je n'en trouve aucune qui n'a pas un "ordinateur de bord connecté".


Tu peux arrêter de chercher, il est interdit de sortir un modèle neuf sans ordinateur de bord, tout véhicule neuf doit inclure :
- un détecteur de panneau,
- le freinage automatique d'urgence,
- l'aide au maintien dans la voie,
- le détecteur de vigilance,
- la boite noire qui enregistre vitesse, accélération, freinage...

Il y'a peut-être quelques modèles sans écran dans l'habitacle, mais c'est uniquement l'écran qui manque, du coup ce n'est pas forcément une bonne idée si t'as envie de pouvoir désactiver certaines "aides" à la conduite.
Aucune de ces fonctions ne semble faire partie de la définition d’une voiture connecté (que j’aimerais avoir une voiture avec un limiteur de vitesse secondaire qui se règle sur les panneaux, d’ailleurs. Mais j’ai pas trop envie de trifouillé avec le bus CAN).

Cependant, eCall semble compté comme un système connecté (mais limité à des cas exceptionnel)
Modifié le 19/03/2024 à 10h30

Historique des modifications :

Posté le 19/03/2024 à 10h30


Aucune de ces fonctions ne semble faire partie de la définition d’une voiture connecté (que j’aimerais avoir une voiture avec un limiteur de vitesse secondaire qui se règle sur les panneaux, d’ailleurs. Mais j’ai pas trop envie de trifouillé avec le bus CAN).

Cependant, ECall semble compté comme un système connecté (mais limité à des cas exceptionnel)

Le dernier paragraphe :incline:
Je reste sans voix devant le niveau abyssal de perfidie crasse exposé dans l'article ...

C'est aussi avec ce genre d'exemples qu'on se rend compte de la nécessité d'un texte légal comme le RGPD. C'est certes imparfait mais ça le mérite d'exister, et potentiellement d'attaquer les responsables de ce genre d'abus (il faudrait aussi que ça serve à attaquer les institutions étatiques).

J'espère sincèrement que l'affaire sera jugée sévèrement, et que ça serve de jurisprudence à l'avenir 🤞 (ouais je suis optimiste aujourd'hui)
Tu te crois à l’abri en Europe ? Le RGPD n'empêche en rien une boîte américaine d'analyser les données des Européens et d'attribuer une note de risque aux européens via les informations glanées par n'importe quel moyen.

Une assurance Européenne peut très bien, en suite, acheter la note pour estimer le risque d'un prêt immobilier ou le risque d'assurance d'une voiture. Je ne suis pas sûr qu'ils soient tenus de donner leurs raisons.

Et c'est pareil pour un recrutement, pour évaluer le « sérieux » de quelqu'un selon les contenus laissés sur les réseaux sociaux par les gens ou leurs amis.

wanou

Tu te crois à l’abri en Europe ? Le RGPD n'empêche en rien une boîte américaine d'analyser les données des Européens et d'attribuer une note de risque aux européens via les informations glanées par n'importe quel moyen.

Une assurance Européenne peut très bien, en suite, acheter la note pour estimer le risque d'un prêt immobilier ou le risque d'assurance d'une voiture. Je ne suis pas sûr qu'ils soient tenus de donner leurs raisons.

Et c'est pareil pour un recrutement, pour évaluer le « sérieux » de quelqu'un selon les contenus laissés sur les réseaux sociaux par les gens ou leurs amis.
Attention, tu es en train de te prendre pour un juriste.
Cette interprétation n'est que la tienne.

Galooou

Attention, tu es en train de te prendre pour un juriste.
Cette interprétation n'est que la tienne.
Tu as raison, je ne suis pas juriste.
Mais je pense qu'il y a bien une faille dans le sens où la consultation d'une note de risque par une assurance pour traiter un dossier ne constitue pas une collecte de données personnelles et donc aucun compte à rendre à la CNIL ou aux clients.

Si un juriste passe par ici, je suis preneur de son analyse.

wanou

Tu as raison, je ne suis pas juriste.
Mais je pense qu'il y a bien une faille dans le sens où la consultation d'une note de risque par une assurance pour traiter un dossier ne constitue pas une collecte de données personnelles et donc aucun compte à rendre à la CNIL ou aux clients.

Si un juriste passe par ici, je suis preneur de son analyse.
Effectivement, si la note existe c'est « trop tard », mais le RGPD est utile sur la collecte de ces données justement. Il impose que tu donne ton consentement à la récolte de données (de conduite d'une voiture connectée par exemple), et s'ils le font sans ton consentement, c'est attaquable. Et ce n'est pas le cas aux US visiblement.

Il n'a jamais été question « d'être à l'abri » avec le RGPD, juste de limiter la casse au niveau de la collecte, du stockage et de l’utilisation des données.

Arkeen

Effectivement, si la note existe c'est « trop tard », mais le RGPD est utile sur la collecte de ces données justement. Il impose que tu donne ton consentement à la récolte de données (de conduite d'une voiture connectée par exemple), et s'ils le font sans ton consentement, c'est attaquable. Et ce n'est pas le cas aux US visiblement.

Il n'a jamais été question « d'être à l'abri » avec le RGPD, juste de limiter la casse au niveau de la collecte, du stockage et de l’utilisation des données.
Il impose que tu donne ton consentement à la récolte de données (de conduite d'une voiture connectée par exemple), et s'ils le font sans ton consentement, c'est attaquable. Et ce n'est pas le cas aux US visiblement.


C'est terrible de toujours lire ceci, 6 après l'entrée en vigueur du RGPD. Le RGPD impose une base légale, dont le consentement fait parti. Une autre base largement utilisable dans ce cas, c'est la base contractuelle.

Ici, on pourrait même pousser le vice jusqu'à utiliser la clause pour la sauvegarde des intérêts vitaux des personnes, en détectant les chauffards.
Il n'a jamais été question « d'être à l'abri » avec le RGPD, juste de limiter la casse au niveau de la collecte, du stockage et de l’utilisation des données.


Exactement. Hormis pour les données dites sensibles, un responsable de traitement peut faire ce qu'il veut, tant qu'il décrit le traitement et dispose d'une base légale pour le faire (et dans un sens, c'est même plus laxiste qu'avant, car avant, un certain nombre de traitements nécessitait au moins une déclaration à la CNIL, ce qui n'est plus le cas aujourd'hui).

fdorin

Il impose que tu donne ton consentement à la récolte de données (de conduite d'une voiture connectée par exemple), et s'ils le font sans ton consentement, c'est attaquable. Et ce n'est pas le cas aux US visiblement.


C'est terrible de toujours lire ceci, 6 après l'entrée en vigueur du RGPD. Le RGPD impose une base légale, dont le consentement fait parti. Une autre base largement utilisable dans ce cas, c'est la base contractuelle.

Ici, on pourrait même pousser le vice jusqu'à utiliser la clause pour la sauvegarde des intérêts vitaux des personnes, en détectant les chauffards.
Il n'a jamais été question « d'être à l'abri » avec le RGPD, juste de limiter la casse au niveau de la collecte, du stockage et de l’utilisation des données.


Exactement. Hormis pour les données dites sensibles, un responsable de traitement peut faire ce qu'il veut, tant qu'il décrit le traitement et dispose d'une base légale pour le faire (et dans un sens, c'est même plus laxiste qu'avant, car avant, un certain nombre de traitements nécessitait au moins une déclaration à la CNIL, ce qui n'est plus le cas aujourd'hui).
C'est vrai pour une entreprise qui possède une entité en Europe. Mais une boîte hors Europe qui achète les données déjà récoltées ou issues des nombreuses exfiltrations pirates n'en a strictement rien à faire car elle est hors de portée des sanctions européennes.

wanou

C'est vrai pour une entreprise qui possède une entité en Europe. Mais une boîte hors Europe qui achète les données déjà récoltées ou issues des nombreuses exfiltrations pirates n'en a strictement rien à faire car elle est hors de portée des sanctions européennes.
Tout à fait. Il n'y a qu'à s'intéressé au cas Clearview AI, condamné à plusieurs reprise pour violation du RGPD.

Mais je ne réagissais pas sur les éventuels poursuites en cas d'infraction, mais sur ce qu'impose le RGPD. On lit encore trop souvent que le RGPD impose le consentement. C'est faux. C'est une possibilité, mais pas une obligation. L'obligation qui s'y réfère, c'est d'avoir une base légale.
Modifié le 19/03/2024 à 09h47

Historique des modifications :

Posté le 19/03/2024 à 09h47


Tout à fait. Il n'y a qu'à s'intéressé au cas Clearview AO, condamné à plusieurs reprise pour violation du RGPD.

Mais je ne réagissais pas sur les éventuels poursuites en cas d'infraction, mais sur ce qu'impose le RGPD. On lit encore trop souvent que le RGPD impose le consentement. C'est faux. C'est une possibilité, mais pas une obligation. L'obligation qui s'y réfère, c'est d'avoir une base légale.

Arkeen

Effectivement, si la note existe c'est « trop tard », mais le RGPD est utile sur la collecte de ces données justement. Il impose que tu donne ton consentement à la récolte de données (de conduite d'une voiture connectée par exemple), et s'ils le font sans ton consentement, c'est attaquable. Et ce n'est pas le cas aux US visiblement.

Il n'a jamais été question « d'être à l'abri » avec le RGPD, juste de limiter la casse au niveau de la collecte, du stockage et de l’utilisation des données.
Euh non, le RGPD inclus également le traitement des données (pas uniquement la collecte). Donc si une mauvaise note existe sur ta tête, tu demandes simplement à la faire supprimer : c'est une donnée personnelle, tu as droit de vie ou mort sur cette info, y compris changer d'avis et retirer un consentement donné précédemment.

fofo9012

Euh non, le RGPD inclus également le traitement des données (pas uniquement la collecte). Donc si une mauvaise note existe sur ta tête, tu demandes simplement à la faire supprimer : c'est une donnée personnelle, tu as droit de vie ou mort sur cette info, y compris changer d'avis et retirer un consentement donné précédemment.
Et il faut le consentement ou prouver un intérêt légitime pour faire un traitement de données personnelles comme pour la collecte, le stockage etc...

fofo9012

Euh non, le RGPD inclus également le traitement des données (pas uniquement la collecte). Donc si une mauvaise note existe sur ta tête, tu demandes simplement à la faire supprimer : c'est une donnée personnelle, tu as droit de vie ou mort sur cette info, y compris changer d'avis et retirer un consentement donné précédemment.
Sauf que tu ne sais pas qu'elle existe. Tu connais beaucoup de banques ou d'assurances qui motivent leurs refus ou justifient le tarif qu'elles t'appliquent ?

fofo9012

Euh non, le RGPD inclus également le traitement des données (pas uniquement la collecte). Donc si une mauvaise note existe sur ta tête, tu demandes simplement à la faire supprimer : c'est une donnée personnelle, tu as droit de vie ou mort sur cette info, y compris changer d'avis et retirer un consentement donné précédemment.
La note n'a pas besoin d'être stockée après utilisation. Donc, tu n'as aucun recours. Et pour l'algorithme, c'est du ressort du secret des affaires.

wanou

La note n'a pas besoin d'être stockée après utilisation. Donc, tu n'as aucun recours. Et pour l'algorithme, c'est du ressort du secret des affaires.
Si tu as un système OnStar dans ta voiture, tu peux envoyer une requête de suppression des données personnelle à LexisNexis, pas besoin de savoir si ils ont réellement des infos à ton sujet.
Suggestion pour les LIDDs: https://blinry.org/50-things-with-sdr/

Le point 41 indique que les capteurs de pressions des pneus sont plus ou moins en clair:
I also saw some messages from tire pressure monitoring systems in cars! They also include an ID, and usually, the brand of the car! The owners probably aren’t aware how easy it would be to track them… (Thanks, @scy!)
Voilà, on y est dans le 5ème élément (Luc Besson pour les plus jeunes).
Manque plus que les prunes et les retraits de points automatiques.

Je suis pas prêt d’acheter une ces merdes modernes (même pas foutue d'être fiable et coûtant un reins en plus).




Et nous continuons d'accepter que des choses nous soient imposées "pour notre bien" sans exiger de justification pragmatiques/concrètes.
Vous baignez dans ces comportement autoritaires voire potentiellement les produisez vous-même. Peut-être même sans vous en rendre compte.

L'éthique informatique, qui se retrouve dans la loi de 1978, et évidente dans les cercles open-source, consiste à ne collecter que ce qui est strictement nécessaire, en exigeant des justifications positives.
C'est une bonne pratique dans la vie de manière générale, non ? Ça permet le respect des vies privées, des individualités, rationalise/rend plus efficient les mécanismes de sollicitation d'aide et l'aide apportée. Qu'est-ce que ça réduit l'entropie et la débauche d'énergie, que ce soit des humains ou des machines !