Microsoft n’a pas à transmettre au gouvernement américain les données hébergées en Europe

La Cour d’Appel du 2e Circuit est arrivée à la conclusion que le mandat accordé par un juge ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe (Décision du 14 juillet 2016, Microsoft Corporation v. Government of the United States of America, Docket No. 14‐2985).  Cette décision est sujette à recours devant la Cour Suprême.

Le cadre de l’affaire
Dans le cadre d’un affaire de stupéfiants, un juge américain a émis un mandat («warrant») à la demande du gouvernement ordonnant à Microsoft Corporation, dont le siège est à Redmond (Etat de Washington), de produire les courriels de l’utilisateur d’une adresse @msn.com. Microsoft a remis les métadonnées (informations qui ne concernent pas le contenu) qui étaient hébergées aux USA, mais a refusé de transmettre le contenu hébergé sur les serveurs en Irlande. On ignore la nationalité et le domicile de l’utilisateur.

Les données sont en principe hébergées dans la région où le client est situé, ce qui est déterminé automatiquement en fonction du pays. Certaines données sont néanmoins toujours hébergées aux USA: des métadonnées dans un but de test et contrôle de qualité, certaines informations au sujet du carnet d’adresse de l’utilisateur et certaines informations de base comme le nom de l’utilisateur et son pays.

Pour la Cour comme pour les parties, il ne fait pas de doute que les données visées étaient bien hébergées en Irlande et qu’il aurait fallu les collecter en Irlande pour pouvoir les fournir au gouvernement américain. Microsoft a cependant admis qu’à certaines conditions, il lui était possible de télécharger les données hébergées hors USA depuis certains bureaux aux USA.

Un mandat SCA
Le mandat a été accordé sur la base du Stored Communication Act (SCA) de 1986, soit le titre II du Electronic Communications Privacy Act (ECPA). Le SCA a été adopté par le Congrès pour accorder aux documents électroniques une protection similaire à celle du IVe Amendement (exigence d’un mandat pour procéder à une perquisition).

Le SCA ne contient aucune mention d’une application extraterritoriale. Quant à la compétence de délivrer un mandat, elle permet au juge d’un district de délivrer un mandat qui devra être exécuté dans d’autres districts (mais elle ne mentionne pas d’autres pays).

La Cour mentionne une décision de 1983 dans la cause Marc Rich où elle avait admis qu’un Grand Jury pouvait, sur la base d’une assignation («subpoena»), exiger la production par le défenseur de documents qu’il détenait à l’étranger (en l’occurrence en Suisse). Si la Cour considère qu’il est justifié d’obliger une partie à produire des documents qu’elle détient à l’étranger dans un cause qui a des effets aux USA, il en va différemment lorsque les documents sont confiés à un tiers qui est le destinataire de la demande. Au surplus, la Cour Suprême a eu l’occasion de confirmer qu’un client ne peut pas se prévaloir d’un intérêt digne de protection s’agissant des dossiers concernant ses comptes (il s’agit de documents de la banque et non de papiers privés).

Etant arrivée à la conclusion qu’un mandat basé sur le SCA ne permet pas d’obtenir de Microsoft Corporation la production de données hébergées en Irlande, la Cour devait encore vérifier si le SCA ne permettait pas d’obtenir les données sans mandat. Elle a considéré que le but même du SCA était de protéger la sphère privée des utilisateurs et qu’en accédant aux courriels en Irlande depuis les USA, Microsoft Corporation devrait agir depuis les USA et était donc soumis au droit américain (et qui donc exige un mandat). Il n’est donc pas possible de considérer que la protection du SCA ne s’applique pas à la transmission des données par une société aux USA, même si les données sont initialement à l’étranger.

Le lieu du serveur
Cette décision permet donc à un client, y compris américain, de choisir que ses données seront hébergées à l’étranger et soustraites au gouvernement américain. Ce sont les termes du contrat entre client et fournisseur qui indirectement posent les limites à l’accès de l’Etat. Le lieu du serveur est d’une certaine manière plus importante que le lieu du siège de la société. Dans ce cas précis, la Cour a posé des limites strictes à l’application extraterritoriale du droit américain. Ces limites ne découlent pas du principe que le droit américain ne doit pas s’appliquer hors des USA, mais simplement que ce n’était pas le but visé par cette loi en particulier.

Cela ne signifie pas pour autant que le gouvernement américain ne peut pas obtenir ces données, mais simplement qu’il doit construire sa demande sur une autre loi, par exemple un traité d’entraide judiciaire. Il est aussi imaginable que le Congrès modifie le SCA pour permettre à un mandat de viser des données hébergées à l’étranger.

Finalement un simple choix commercial du fournisseur de modifier l’emplacement de ses serveurs ou de réorganiser les allocations au sein de ses différents serveurs pourrait aussi exposer le client.

Publications: Contrainte reconnue dans un cas de harcèlement obsessionnel

Le législateur a refusé d’ajouter dans le Code pénal une infraction de harcèlement obsessionnel («stalking») au motif que les éléments qui le constituent sont le plus souvent déjà sanctionnés individuellement. Dans un arrêt récent (141 IV 437), le Tribunal fédéral  a dû examiner certains actes revêtaient une intensité suffisante pour être comparable à un acte de violence ou une menace et ainsi réaliser l’infraction de contrainte de l’art. 181 CP. Pour ce faire,  le Tribunal fédéral a tenu compte des comportements précédents, et cela qu’ils aient eu lieu dans le monde réel ou en ligne.

J’ai résumé et commenté cette décision dans la revue Medialex 4/16.

Rapport 2015-2016 du PFPDT

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a présenté son 23e rapport d’activité, qui marque le 10e anniversaire de la Loi fédéral sur la transparence. Si le changement de paradigme a eu lieu en 2006, on constate encore de nombreuses réticences de l’administration à donner accès aux documents demandés. Sur le front de la protection des données, 2016 est l’année de l’adoption du Règlement général de protection des données de l’UE et de la révision de la Convention 108 du Conseil de l’Europe.

Pour le PFPDT, la révision en cours de la Loi sur la protection des données (LPD), dont l’avant-projet sera présenté prochainement, doit permettre à tout un chacun de garder et d’exercer effectivement la maîtrise sur les données qui le concerne, notamment par l’introduction d’une action collective, le renversement du fardeau de la preuve, une responsabilité objective du fait du traitement et des obligations supplémentaires pour les responsables de traitement (annonce des violations de données, évaluation des risques, etc.). Des sanctions dissuasives doivent aussi être introduites.

Dans son bilan, le PFPDT a mis en évidence quatre points d’inquiétude particuliers :

  • L’utilisation du numéro AVS comme identifiant unique universel au lieu de numéros sectoriels comme pour le dossier électronique du patient ;
  • L’absence de réponse ou la réponse insatisfaisante des maîtres de fichiers aux personnes qui demande les données les concernant ;
  • Le recours à la vidéosurveillance souvent de manière disproportionnée, sans véritable justification et dans le non-respect des règles de transparence ;
  • Les développements technologiques qui permettent de tracer les personnes, d’établir des profils de comportement et d’avoir un suivi constant notamment de toutes leurs activités au travers des applications pour téléphones intelligents ou d’objets connectés.

Les CFF dans le viseur
Parmi les dossiers traités cette année, le PFPDT s’est penché sur deux dossiers concernant les CFF, soit le SwissPass dont nous avons déjà parlé et l’accès gratuit au wifi dans certaines gares. Les CFF ont accepté la plupart des recommandations, notamment celles visant à limiter la conservation des données, à adapter les conditions générales aux traitements réellement effectués (les conditions générales permettaient d’effectuer plus de traitements que ce qui avait réellement lieu) et prévoir une procédure écrite pour répondre aux demandes de traitement. En revanche, les CFF ont refusé de ne pas journaliser les «adresses IP de destination» et «ports de destination», la conservation de ces données étant apparemment fortement conseillée par le Service de surveillance de la correspondance postale et des télécommunications. Une telle conservation n’est pourtant pas exigée par la LSCPT.

Le sport, encore
Le PFPDT s’est aussi prononcé sur un projet de la Swiss Football League d’accompagner et filmer en secret des groupes de supporters lors de matchs à l’extérieur afin d’obtenir des preuves en cas de débordements. Il considère que de tels enregistrements doivent avoir lieu sur la base d’un mandat policier, ou alors être strictement limités à la survenance d’incidents. On peut s’étonner que le PFPDT n’ait pas exigé aussi une information préalable générale.

Quant au contrôle de la validité des abonnements de ski sur la base d’un enregistrement de photos des détenteurs, il porte une atteinte qui ne peut être justifiée que pour les abonnements de valeur élevée (forfait hebdomadaire au minimum). Une information claire doit être affichée au tourniquet (pour que toutes les personnes dont les photos sont enregistrées soient informées). Une conservation des images en l’absence d’abus n’est pas justifiée.

Une plainte pénale et deux procédures devant le TAF
Face au refus de collaborer d’un maître de fichier dans le cadre d’une procédure d’établissement des faits, le PFPDT a déposé une plainte pénale. Il s’agit d’une des rares infractions pénales contenues dans la LPD. Le maître du fichier a finalement transmis les documents demandés et le PFPDT a transmis à l’autorité compétente en matière de poursuite pénale une déclaration de désintérêt qui a conduit au classement de la procédure. Il aurait néanmoins été intéressant d’avoir une décision au fond.

Le PFPDT a porté deux affaires devant le Tribunal administratif fédéral. La première concerne un commerçant d’adresses qui n’a pas donné suite à des demandes d’accès et d’effacement et qui n’a pas suivi les recommandations du PFPDT. La seconde concerne l’agence de renseignements économiques Moneyhouse. Les recommandations du PFPDT visaient à obliger Moneyhouse à vérifier davantage l’exactitude des données de solvabilité traitées, à limiter les possibilités de recherches conformément à la pratique du registre du commerce et surtout le plus traiter de profils de personnalité sans l’autorisation des personnes concernées. Cette décision est très attendue car elle devrait permettre de clarifier la notion de profil de personnalité.

Encore quelques précisions
Le représentant légal peut exercer le droit d’accès à la place de la personne mineure et incapable de discernement. Indépendamment de la personne qui a la garde de l’enfant, les deux parents titulaires de l’autorité parentale peuvent faire valoir ce droit d’accès. La situation est différente si certaines informations ne peuvent plus être confiées à l’un des parents afin de protéger l’enfant, auquel cas il faudra s’en remettre à la décision d’un tribunal ou de l’autorité de protection de l’enfant et de l’adulte (APEA).

On retiendra encore les éléments suivants tirés des différentes prises de positions rendues durant l’année :

  • L’élaboration du rapport concernant Windows 10 est toujours en cours.
  • Le numéro de châssis (VIN ou vehicle identification number) est une donnée personnelle au sens de la LPD.
  • Les mesures d’identification et de surveillance prévues dans le projet de révision de la LDA sont problématiques sous l’angle de la protection des données.
  • Postfinance ne peut pas faire dépendre l’accès aux prestations de paiement de l’acceptation par ses clients de l’outil d’analyse e-cockpit ou de consentement à l’envoi de publicités ciblées de tiers.
  • L’absence de réaction d’un client à de nouvelles conditions générales n’est pas un consentement explicite suffisant pour traiter un profil de personnalité.
  • La participation (exceptionnelle) aux frais générés par la réponse au droit d’accès ne peut pas dépasser 300.- comme le précise l’OLPD, même si de plus en plus de sociétés tentent de facturer des montants supérieurs.
  • Le Safe Harbor et des garanties contractuelles pour l’échange de données avec les États-Unis ne permettent pas d’empêcher un accès disproportionné des autorités américaines à des données à caractère personnel. Dans l’attente d’un solution politique, le PFPDT demande de renforcer l’information des personnes concernées et éviter de satisfaire aux demandes d’accès des autorités américaines (nous en avions déjà parlé).

 

Économie des datas et révolution digitale, arrêtons le massacre !

Plus un jour ne passe sans que l’on nous parle de la révolution ou de l’économie digitale, de la propriété des datas, ou encore de l’importance de la privacy. Que diable est-il arrivé à la langue française ? La révolution, et l’économie, 4.0 (ou la version que l’on trouvera la plus adéquate), ne signifie pas la disparition du français.

L’adjectif «digital» est un faux ami. Il ressemble en effet à s’y méprendre à l’adjectif anglais digital qui, lui, a deux significations différentes. On peut le traduire en français par digital ou numérique, mais en français ces deux termes ont des sens très différents. Digital est relatif aux doigts, alors que numérique se rapporte aux chiffres. Ainsi, lorsque l’on parle de révolution ou d’économie digitale, on parle en réalité de révolution et d’économie des doigts. Si l’on veut faire référence aux apports de l’informatique, il faut alors parler de révolution et d’économie numériques.

Si certains anglicismes techniques sont parfois défendables car il n’y a pas (encore) de terminologie reconnue, ce n’est pas le cas du mot data. Il ne traduit en effet rien d’autre que le mot «donnée» en français. Au contraire, il est même moins précis puisqu’il ne différencie pas entre la donnée et les données.

En anglais, «data» est en effet un nom singulier qui fait référence à un groupe et peut s’utiliser avec un verbe au singulier ou pluriel, même si les américains préfèrent le faire suivre d’un verbe au singulier. «Data» n’a pas de forme plurielle et «datas» n’existe donc pas, même en anglais. La valeur des données, le traitement des données ou encore la protection des données sont des formulations correctes et très compréhensibles en français.

Quant au concept de privacy que certains différencient de la protection des données, il m’échappe aussi. Pourquoi ne pas parler de sphère privée, qui est l’exacte traduction, si ce n’est pour économiser un mot ? Cela est d’autant plus juste qu’en anglais la protection des données se traduit par «Data Protection» et non «privacy» !

Déchiffrer ou décrypter: essayons d’y voir clair
On déchiffre un message lorsque l’on cherche à retrouver le texte en clair à l’aide de la clé (que l’on connaît par exemple parce qu’on l’a échangée précédemment). On décrypte en revanche un message quand on ne connaît pas la clé ou le code et qu’on essaie de le casser, en recourant par exemple à la cryptanalyse.

Le chiffrement ou le codage est donc l’opération par laquelle un message est rendu inintelligible à quiconque ne possède pas la clé permettant de le retrouver dans sa forme initiale. L’«encryption» n’existe pas en français et le terme «cryptage» devrait être évité à moins qu’il n’y ait volontairement pas de clé de déchiffrement connue.

Faisons donc un effort pour défendre la langue française, mais aussi pour être sûr d’être compris !

Mise à jour 24 août 2016
Les termes courrier électronique et courriel sont de plus en plus souvent utilisés, alors que l’abréviation mél. (que l’on peut utiliser selon l’Académie française  devant une adresse à la manière de tél. devant un numéro de téléphone) est assez rare. On voit aussi e-mail, qui est un anglicisme que l’on peut aisément éviter.

Le pire est toutefois l’utilisation de mail. En anglais, mail correspond en effet seulement au courrier postal classique et non au courrier électronique (désigné par e-mail). En utilisant le mot mail, on fait donc référence à la traditionnelle enveloppe papier et pas à un courrier électronique.

Pas de vidéosurveillance dans un immeuble si les locataires s’y opposent

Pour le Tribunal fédéral, la vidéosurveillance des parties communes d’un immeuble locatif est susceptible de porter atteinte de manière inadmissible à la sphère privée des locataires (arrêt 4A_576/2015 du 29 mars 2016). L’opposition d’un seul des locataires peut suffire à faire démonter les caméras qui filment les parties communes qu’il traverse régulièrement.

La surveillance vidéo, une atteinte significative
La surveillance mise en place dans ce petit immeuble de 24 appartements (trois fois huit appartements) n’était pas particulièrement inhabituelle. Pour prévenir les actes de vandalisme et les effractions, les propriétaires de l’immeuble avaient installé douze caméras dans les parties communes (à l’intérieur et à l’extérieur), avec l’accord de la majorité des habitants. Les images étaient effacées après 24 heures et les caméras étaient clairement visibles. Il n’était en revanche pas possible d’entrer sans être dans leur champ d’enregistrement.

Les images de vidéosurveillance permettent d’identifier une personne et sont donc des données personnelles. Il n’est pas nécessaire qu’elles soient de bonne qualité pour savoir que la personne qui entre et ressort régulièrement d’un appartement et qui a la même apparence qu’un locataire est précisément ce locataire.

Une pesée d’intérêts
Le propriétaire n’a pas un intérêt inconditionnel à la pose de caméras. Le tribunal reconnaît que dans le cas d’un immeuble anonyme (de par sa grandeur), on peut voir un intérêt à la pose d’une caméra dans la zone d’entrée s’il y a un risque concret de détériorations. Il faut donc effectuer une pesée d’intérêts entre les risques que vise à éviter la surveillance et l’atteinte portée aux locataires. Dans le cas précis, l’absence de risques concrets et la taille de l’immeuble ne peuvent pas être considérés comme supérieurs à ceux du locataire. Le tribunal a ordonné le démontage des caméras filmant l’entrée utilisée par le locataire qui s’y oppose, ainsi que le couloir lui permettant de se rendre à la buanderie. Les neuf caméras placées dans les autres parties de l’immeuble (entrées séparées) peuvent en revanche être conservées vu que les autres habitants y ont consenti.

Les droits du locataire
Le droit du bail ne prévoit pas de régime particulier en matière de protection des données. Il est néanmoins intéressant de constater que, dans le cas présent, le tribunal a clairement fait prévaloir les intérêts des locataires sur ceux des bailleurs même s’il a expressément renoncé à répondre à la question de savoir si  le locataire avait un droit (découlant du contrat de bail) à un usage de l’objet loué sans être observé.

De la même manière que le bailleur ne peut pas se rendre dans un appartement sans l’accord du locataire, le bailleur ne peut pas filmer un appartement sans le consentement du locataire. Ici la protection offerte par la Loi sur la protection des données va encore plus loin puisqu’il n’était pas question de l’intérieur de l’appartement mais seulement de l’extérieur de la porte d’entrée et de parties communes. C’est néanmoins avec raison que la protection de la personnalité et de la sphère privée du locataire ont été prises en compte dans ces espaces. Une surveillance durable de l’entrée permet en effet de procéder à une analyse systématique du comportement du locataire concerné, ce qui constitue une atteinte importante à sa sphère privée.

Les mêmes droits devraient être reconnus à une personne qui se rend régulièrement dans l’immeuble, en particulier si elle n’a pas le choix de s’y rendre (parce qu’elle effectue des nettoyages, du gardiennage, consulte un médecin à cette adresse, etc.). Plus la personne est souvent dans le champ des caméras, plus sa situation devra être prise en compte dans la pesée des intérêts.

 

Un droit d’accès étendu pour savoir qui a consulté des données?

Le Conseil des États, suivant ainsi le Conseil national, a chargé le Conseil fédéral de légiférer pour donner la possibilité aux propriétaires de savoir qui a accédé aux informations non publiques les concernant. Cette extension du droit d’accès doit permettre de lutter contre les abus car avec l’accès automatique il n’y a plus de vérification de l’existence d’un intérêt légitime avant la consultation.

Le droit d’accès en général
Le droit d’accès est le droit de chacun de demander au maître d’un fichier si des données qui le concerne sont traitées et cas échéant d’en recevoir une copie écrite.

Le maître du fichier, c’est-à-dire la personne responsable du traitement des données, doit lui communiquer toutes les données qui le concernent et qui sont contenues dans le fichier (y compris cas échéant les informations disponibles sur l’origine des données), le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, les catégories de participants au fichier (soit les personnes pouvant introduire des données) et les catégories de destinataires des données (art. 8 LPD).

Le droit d’accès ne prévoit en principe pas la communication de la liste des destinataires mais seulement de leurs catégories (employeur, autorités, assurance, public, etc.). A noter que si la communication à des tiers n’est pas un but reconnaissable par la personne concernée, une information à ce sujet doit lui être donnée préalablement (et indépendamment du droit d’accès).

Le registre foncier
Le registre foncier permet de connaître les différents droits portant sur un immeuble. Certaines informations sont publiques et chacun peut, sans devoir justifier d’un intérêt, connaître le nom et l’identité du propriétaire d’un immeuble, le type de propriété et la date d’acquisition, la désignation de l’immeuble et son descriptif.

Ces informations sont délivrées par les offices du registre foncier et sont accessibles sur Internet. La loi prévoit que le système doit être protégé contre les appels en série et les données ne peuvent être consultées qu’en relation avec un immeuble déterminé.

Les personnes qui justifient d’un intérêt ont le droit de consulter les autres informations contenues dans le registre foncier, en particulier, les droits de gages immobiliers et les annotations. Depuis 2013, plusieurs cantons permettent aux autorités et aux professionnels de conclure un abonnement afin de disposer d’un droit d’accès permettant d’effectuer directement des requêtes dans le système électronique d’informations foncières susmentionné. L’accès en est facilité mais il n’y a plus de contrôle de l’intérêt à effectuer la requête, ce qui représente un risque d’abus. Les accès sont en revanche conservés durant deux ans.

Pour limiter ce risque, la motion Egloff  charge le Conseil fédéral de modifier l’Ordonnance sur le registre foncier pour permettre aux propriétaires fonciers de savoir qui a consulté les enregistrements concernant leurs immeubles. L’existence même de cette possibilité (et la crainte d’être découvert) devrait déjà limiter les consultations injustifiées. Cela permettra aussi aux propriétaires de signaler d’éventuels abus à l’autorité de surveillance du système eGRIS.

Une extension dans d’autres domaines ?
Une extension du droit d’accès pour connaître la liste des personnes qui ont pu accéder aux données pourrait également s’appliquer dans d’autres domaines comme pour les extraits du registre des poursuites ou lorsque l’accès aux données se fait par une procédure d’appel. Lors des procédures d’appel, c’est-à-dire lorsque le destinataire des données décide de la communication, il n’y a en effet pas de contrôle et d’autorisation du maître du fichier pour cette communication en particulier. Une telle procédure est assez courante entre les différentes entités d’une administration par exemple.

On pourrait aussi imaginer, dans le cadre de la révision en cours de la Loi fédérale sur la protection des données par exemple, une extension du droit d’accès en général pour inclure les personnes qui ont consulté les données.  Cela ne devrait pas forcément s’appliquer à toutes les données, mais par exemple aux données sensibles et aux profils de personnalité. Il semble légitime pour la personne concernée de pouvoir savoir avec qui une entreprise a partagé le profil de personnalité et de solvabilité établi à son sujet.

Les «boîtes noires» des assureurs dans les véhicules automobiles

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié à fin 2015 ses «Explications concernant les systèmes «Pay as you drive» (PAYD) et l’utilisation de «boîtes noires» dans les véhicules automobiles».

Les compagnies d’assurances proposent depuis quelques temps aux conducteurs d’embarquer dans leurs véhicules une boîte noire qui enregistre le comportement de conduite. Les données traitées varient significativement d’un produit à l’autre, le but pouvant être simplement de disposer des informations précédant immédiatement un accident ou d’analyser le profil de conduite et les habitudes du conducteur. Les primes d’assurance sont ensuite adaptées en fonction du risque estimé et le profil établi pourrait être utilisé en matière d’assurance vie, d’assurance invalidité ou d’assurance accidents.

Ces systèmes ne sont pour l’instant qu’une des variantes proposées à l’assuré. Comme le relève le PFPDT, le phénomène d’antisélection (adverse selection) va pousser les assurés à faibles risques vers un tarif PAYD plus intéressant financièrement. Seuls les assurés à hauts risques et les assurés qui s’opposent à ces traitements de données choisiront de rester assujettis à la tarification classique. Ce phénomène pourrait se traduire par une augmentation substantielle de leurs primes, au point même de contraindre ces assurés de passer au tarif PAYD, sous peine de se retrouver trop pénalisés financièrement. Les assurés seraient ainsi économiquement contraints d’accepter l’établissement d’un profil de leur personnalité fondé sur leur comportement au volant.

Proportionnalité et respect du but initial
Les données personnelles collectées par un système PAYD ne peuvent être traitées qu’avec l’accord de l’assuré qui doit être informé préalablement et en détail. Pour consentir librement, il doit avoir le choix entre plusieurs solutions équivalentes.

Pour le PFPDT, il importe avant tout de définir d’emblée le but dans lequel les données seront utilisées et d’opérer parmi elles une sélection afin que seules soient retenues les données absolument indispensables. La collecte de données de comportement non liées à un événement particulier ne doit pas aboutir à l’établissement d’un profil du comportement de conduite si détaillé qu’il permettrait de tout savoir des déplacements et de la personnalité du conducteur.

Une première exploitation devrait ensuite être effectuée par la boîte noire elle-même, afin que ne soient transmises à l’assureur que les données dont il a besoin pour définir le tarif PAYD. Ce stockage et l’exploitation décentralisée des données garantirait que l’assureur n’accède qu’à des données agrégées qui ne lui permettraient pas d’effectuer des analyses plus approfondies ou sans lien avec la tarification.

La boîte noire installée dans le véhicule doit finalement être protégée contre toute utilisation abusive et tout accès non autorisé.