Comment obtenir le consentement des conducteurs individuels pour collecter les données des voitures connectées ? OpenDevTalk#4

31 octobre 2022
Lorsque des données relatives aux véhicules sont traitées et peuvent être associées à un véhicule spécifique, elles sont considérées comme des données personnelles relatives aux véhicules. Chez High Mobility, nous nous efforçons de fournir à la fois des informations en direct sur le VIN et les outils nécessaires pour obtenir le consentement. Dans notre quatrième Open Dev Talk, nous présentons les concepts juridiques et techniques de base qui permettent aux utilisateurs de notre plateforme d'exécuter de nouvelles apps et services innovants pour les conducteurs individuels de manière conforme au GDPR.

Obtention du consentement du conducteur pour les données des voitures connectées

High Mobility fournit des données sur les voitures connectées, indépendantes de la marque, qui utilisent les informations en direct générées par les véhicules privés. Ce type d'informations peut être utilisé, par exemple, pour des applications de journal de bord, des offres d'assurance "Pay-as-you-Drive" ou des services d'optimisation d'itinéraires pour VE. Étant donné que nous travaillons uniquement avec des données de véhicules spécifiques au VIN et que nous ne fournissons pas de rapports de données anonymes, nous sommes tenus de nous assurer que le conducteur autorise le partage des données avant que les informations en direct ne soient traitées aux fins respectives. Ce faisant, High Mobility empêche tout type d'accès aux voitures des conducteurs sans autorisation préalable. 

Afin de commencer à travailler avec le consentement individuel du conducteur, nous vous recommandons de suivre chacune des étapes suivantes. Chaque aspect sous-jacent sera expliqué plus en détail à la fois dans la vidéo de notre premier Open Dev Talk et dans ce billet de blog.

  • Apprenez pourquoi le consentement est nécessaire  
  • Exigences et obligations légales en matière de vérification
  • Examiner le point de vue de l'utilisateur
  • Configurer le flux d'autorisation OAuth

Ce que signifie le consentement et pourquoi il est nécessaire

Chaque fois qu'une entreprise souhaite traiter des données personnelles, elle doit généralement commencer par demander la permission. Dans le cadre du GDPR, ce concept est appelé consentement. Cela signifie que les utilisateurs doivent avoir un choix clair et qu'ils doivent être en mesure de décider eux-mêmes s'ils sont d'accord avec la portée des données demandées, la finalité sous-jacente et la raison pour laquelle les données sont traitées. Ils doivent également prendre des mesures spécifiques pour signaler leur consentement. Cela peut être aussi simple que de cocher une case sur une page web ou de signer un document qui précise les détails correspondants du partage des données.

Dans notre contexte spécifique, nous devons énumérer tous les éléments de données spécifiques au véhicule demandés, comme par exemple les points de données de géolocalisation, d'odomètre et d'allumage. En outre, nous indiquons l'objectif et la raison qui peuvent être, par exemple, l'aperçu du voyage pour permettre le cas d'utilisation du journal de bord. Nous indiquons également de manière transparente quelle société demande les points de données et quels types de conditions doivent être acceptés. La demande de consentement est un processus unique qui ne doit pas être répété pour chaque demande de données suivante, tant que la portée et la finalité convenues sont remplies. À tout moment, les conducteurs doivent avoir la possibilité de retirer leur consentement.

Exigences et obligations légales

Le règlement GDPR définit plusieurs rôles qui sont liés à un ensemble de responsabilités et de devoirs basés sur leur relation les uns avec les autres. Le rôle le plus simple est celui de la personne concernée. Il s'agit généralement de l'être humain qui est associé aux données qui doivent être utilisées pour la solution numérique. Selon le GDPR, la personne concernée ne peut être qu'un individu vivant et dans notre contexte, la personne concernée est représentée par le conducteur.

Les contrôleurs de données sont des décideurs clés, car ils ont le droit de regard et de contrôle sur la raison et les objectifs du processus de partage des données. Ils doivent se conformer pleinement à tous les principes de la protection des données et sont tenus de remplir plusieurs obligations telles que la gestion des risques liés aux données et la mise en œuvre de mesures de sécurité organisationnelles et techniques (par exemple, les flux de recueil du consentement).

Chez High Mobility, nous examinons une relation à trois facettes : Les voitures utilisées par les conducteurs individuels (personne concernée) génèrent des données qui sont envoyées aux systèmes OEM (contrôleur de données). High Mobility (contrôleur de données) réduit la complexité pour les clients des données (contrôleur de données) qui créent une valeur supplémentaire en fournissant leurs applications et services. Chaque relation est fondée sur une base contractuelle claire. Nos contrats avec les marques coopérantes couvrent par exemple la disponibilité, le support et les accords de niveau de service. Les droits et obligations entre High Mobility et nos clients de données sont définis dans les conditions d'utilisation des données de voiture et les conducteurs doivent accepter nos conditions de client final avant de pouvoir partager les données de leur voiture connectée avec d'autres. Tous les documents juridiques sont mis à disposition sur notre plateforme en ligne.

Lorsqu'un conducteur individuel souhaite donner son accord à une application tierce, il doit d'abord autoriser High Mobility à partager ses données avec le client concerné. Dans un deuxième temps, le consentement doit également être donné à l'équipementier afin de permettre à High Mobility d'utiliser les données dans le but correspondant.

Comment les conducteurs vivent le flux de consentement

Le flux de consentement de High Mobility peut être intégré dans l'application ou le service fourni par le client de données. Chaque fois qu'un conducteur lance le processus d'approbation, il est transféré via une url OAuth2 vers l'écran principal du flux de consentement.

Nous leur demandons d'abord de se connecter sur Driver ou d'enregistrer un nouveau compte. Le compte Driver permet de gérer facilement les véhicules et les autorisations de partage de données correspondantes qui ont été accordées à des services tiers. Si aucun compte n'a encore été créé, il est possible de le générer à la volée en saisissant simplement l'adresse électronique et le pays. Avant de finaliser l'inscription, les utilisateurs doivent accepter les conditions d'utilisation et la politique de confidentialité en cochant la case correspondante. Le mot de passe sera créé à l'aide du lien indiqué dans une notification par courrier électronique après l'approbation, afin de ne pas interrompre le flux global. L'étape suivante consiste à configurer le véhicule. S'il n'a pas été autorisé par le fournisseur du logiciel, l'utilisateur devra sélectionner la marque et saisir le numéro d'identification du véhicule (NIV) pour préciser quelles informations sur la voiture doivent être partagées.

L'écran suivant met en évidence tous les points de données dont le fournisseur de services a demandé le partage. Comme le principe de minimisation des données du GDPR s'applique également à nos clients de données, les conducteurs ne peuvent pas étendre ou limiter l'ensemble des données demandées. Après avoir confirmé la sélection des points de données, l'utilisateur est finalement dirigé vers le portail du constructeur associé (par exemple, MercedesMe, FordPass, etc.). Chaque portail fonctionne un peu différemment, mais cette étape implique généralement que le conducteur se connecte à son propre compte et autorise l'accès aux points de données personnalisés pour la haute mobilité. À la fin, l'utilisateur est redirigé vers l'application qui a initialement déclenché le flux de consentement. Les étapes de consentement individuelles pour chaque marque sont documentées en ligne.

Comment configurer le flux de consentement OAuth 2.0 ? 

Avant de commencer, les développeurs doivent s'assurer qu'un conteneur de données a été créé sur notre plateforme High Mobility. Le conteneur de données représente le cas d'utilisation de votre application et contient également la liste des points de données qui devront être partagés par le conducteur. Si vous n'avez pas encore créé un conteneur de données, nous vous recommandons de revoir notre premier Open Dev Talk dans lequel toutes les étapes nécessaires sont démontrées.

Les informations d'identification du client OAuth comprennent l'ID du client, le secret du client, l'URI d'authentification et l'URI du jeton. Elles peuvent être récupérées en ouvrant le conteneur de données et en naviguant vers l'onglet Client OAuth. Afin de rediriger l'utilisateur vers l'application initiale, vous devrez placer l'URI de redirection de la fonction de rappel OAuth2 dans le champ correspondant de notre section OAuth Client et enregistrer les modifications. Si vous utilisez une application mobile, n'hésitez pas à utiliser le schéma URL associé pour les systèmes d'exploitation iOS et Android.

L'URI d'authentification peut être généré en passant les paramètres client_id, redirect_uri et app_id qui sont listés juste sous le titre de votre conteneur d'applications. Des paramètres complémentaires tels que la marque, le vin et la locale peuvent également être passés pour faciliter le processus pour les utilisateurs et éviter certaines entrées manuelles. Des informations plus détaillées et tous les autres paramètres facultatifs peuvent être consultés dans notre documentation officielle sur le consentement de l'utilisateur OAuth 2.0.

-------------------------------
Discussions Open Dev Talks de High Mobility.

Chez High Mobility, nous sommes passionnés par les nouvelles technologies. Nous proposons des outils open source gratuits et une documentation conviviale pour les développeurs afin que tous les projets puissent être intégrés facilement. Plus de 800 développeurs et chefs de produits se sont déjà inscrits sur notre plateforme communautaire modérée et nous organisons des concours de voitures connectées pour vos idées innovantes en la matière. 

Lors de notre session mensuelle gratuite en ligne Open Dev Talk de 30 minutes, nous expliquons en 15 minutes des sujets passionnants liés aux voitures connectées et consacrons le reste du temps à vos questions et idées.

Rejoignez notre communauté sur Slack