US : un courtier de données attaqué pour avoir vendu les données d’un conducteur à un assureur

Aux États-Unis, un nombre croissant de conducteurs se plaignent de hausses inexpliquées de leur assurance automobile. L’un d’eux a porté plainte contre le courtier LexisNexis et le constructeur General Motors, alors qu’une enquête du New York Times révèle leurs business de données personnelles.

Propriétaire d’une Chevrolet Bolt, Kenn Dahl a toujours été un conducteur attentif. Au New York Times, ce soixantenaire explique avoir été surpris, en 2022, lorsqu’il a vu le coût de son assurance automobile grimper de 21 %. Alors qu’il consulte d’autres assureurs, un agent lui explique qu’un rapport du courtier de données LexisNexis, spécialiste des profils de risques, était un facteur important du prix proposé par les entreprises.

Kenn Dahl demande donc à l’entreprise de lui fournir son « rapport d’information au consommateur », comme la loi états-unienne l’y oblige. Il reçoit un document de 258 pages dans lequel sont répertoriés les détails de chacun de ses trajets en voiture sur les six derniers mois. Parmi les informations recueillies : l’heure de départ et celle d’arrivée, la distance parcourue, les accélérations, les accélérations fortes et les freinages brusques. « La seule donnée manquante était l’adresse à laquelle il avait conduit sa voiture », écrit la journaliste Kashmir Hill.

Selon le document, les données en question avaient été fournies par General Motors, le constructeur de la Chevrolet, à LexisNexis. Ce dernier, de son côté, se sert de ces données pour créer des scores de risques. Ceux-ci sont cédés à des assureurs, pour leur permettre de créer des produits « plus personnalisés », selon le porte-parole de la société. Au New York Times, Kenn Dahl explique s’être senti « trahi ».

Comme lui, Romeo Chicco, propriétaire d’une Cadillac, a vu son assurance doubler à la suite de la constitution d’un score de risque similaire par LexisNexis. La semaine dernière, il a porté plainte en Floride contre LexisNexis et General Motors.

Récupérer des données par tous les moyens

Les constructeurs automobiles proposent depuis plusieurs années à leurs clients d’installer des applications sur leurs téléphones ou des capteurs dans leurs voitures pour suivre leurs statistiques de conduite, mais une entreprise comme Ford Motor constate que ceux-ci s’avèrent globalement réticents.

À la place, nombreuses sont celles qui récupèrent des informations depuis les véhicules connectés à Internet. Quand ils proposent des assurances « Pay how you drive » (PHYD), comme le fait Tesla aux États-Unis, ou Direct Assurances avec son offre YouDrive en France, ces récoltes d’informations sont faites avec le consentement des acheteurs/conducteurs. Mais sur les modèles récents de véhicules connectés, elles peuvent aussi se faire de manière détournée.

Ainsi, des constructeurs comme General Motors, Honda, Kia et Hyundai proposent-ils des options permettant de noter la conduite d’un utilisateur sur les applications qui permettent à ces derniers de localiser leur véhicule, de le déverrouiller à distance ou d’accéder à des services d’assistances. Certains ne « réalisent pas forcément que, s’ils actionnent ces options, le constructeur automobile envoie ensuite des informations sur leur conduite à des data brokers comme LexisNexis », indique le New York Times.

Définition inconnue des freinages et accélérations « brusques »

Surtout, certains conducteurs de véhicules General Motors déclarent avoir été suivis quand bien même ils n'avaient pas actionné la fonctionnalité en question, appelée OnStar Smart Driver. Ils déclarent aussi avoir vu le montant de leur assurance grimper. L’entreprise indique que chaque utilisateur peut refuser à son gré de partager ses données de conduite – mais dans les faits, OnStar Driver n’explique pas clairement à ses usagers que les données collectées sont susceptibles d’être partagées avec des tiers.

Sur des forums de conducteurs automobiles, des internautes s’alertent les uns les autres des effets de ces partages de données. Un propriétaire de Corvette se plaint par exemple d’avoir eu des données collectées pendant une journée de roulage sur circuit, où il testait les limites de sa voiture sportive sur un circuit professionnel.

Auprès du New York Times, Romeo Chicco a expliqué de son côté s’être vu refuser son dossier par plusieurs assureurs en décembre 2023. Après avoir récupéré ses informations auprès de LexisNexis, il y a constaté que ses données contenaient plusieurs traces de « freinages brusques ». Mais sans comprendre ce que cela signifie, dans la langue des constructeurs automobiles et des assureurs.

Sur leurs sites respectifs, LexisNexis et son concurrent Verisk indiquent travailler avec des marques aussi variées que Mitsubishi, Subaru, Kia, Ford, Hyundai ou Honda.

Les voitures, pires produits en termes de vie privée

Aux États-Unis, les assureurs doivent demander le consentement de leurs clients pour avoir accès à leurs données. Pour autant, le New York Times rapporte ici au moins un cas d’activation du programme Smart Driver par défaut, sans que les clients ne soient nécessairement mis au courant.

En septembre 2023, un rapport de la Mozilla Foundation soulignait précisément que les voitures étaient « la pire catégorie de produit » qu’elle ait jamais « analysée en matière de vie privée ». Sur les 25 marques contrôlées à l’époque, toutes récupèrent « trop de données personnelles », 84 % les partagent ou les vendent, et seules Renault et Dacia (qui ne sont vendues qu’en Europe, territoire d’application du Règlement Général sur la Protection des données, RGPD) permettaient aux conducteurs de demander que leurs informations soient effacées.

Par ailleurs, aucune ne remplissait les standards minimum de sécurité de la Fondation, ce qui signifie que des produits comme des applications de rencontre ou des sex toys ont de meilleures pratiques en la matière (dans la mesure où leurs constructeurs publient en moyenne plus d’informations sur la sécurité de leurs produits) que l’industrie automobile.

Tesla est la deuxième marque jamais analysée par la Mozilla Foundation à avoir fait sonner toutes ses alertes. Quant à Nissan, deuxième pire marque du classement, elle compte des catégories de données aussi improbables qu’« activité sexuelle » ; dans le même genre, Kia indique collecter des données sur la « vie sexuelle » de ses usagers.