Site icon Groupe DPSE | 1er cabinet expert en protection des données à caractère personnel en Afrique

Violations de données personnelles chez les constructeurs automobiles et les concessionnaires (cas de Toyota, Tesla et Hyundai, Ferrari, BMW)

La non-conformité des traitements de données personnelles chez les constructeurs automobiles et concessionnaires en Europe et en Afrique.

Cas de Toyota Automobile

Selon Reuters[1] Toyota automobile a admis avoir laissé les données des véhicules de 2,15 millions de clients sur internet, soit la quasi-totalité de la clientèle qui s’est inscrite à ses principales plates-formes de services cloud depuis 2012. Ces données personnelles étaient accessibles au public depuis une décennie en raison d’une erreur humaine. Elles comprennent les adresses électroniques (avec risques de phishing, de publicités non sollicitées, porte d’entrée à des codes malveillants), l’emplacement des véhicules et le numéro d’identification des dispositifs des voitures connectées (vidéos enregistrées à partir du dispositif d’enregistrement, des bouts d’images possible de retrouver dans l’ordinateur de bord).

Cette faille de sécurité concernait le système cloud de l’entreprise qui a été configuré pour être librement accessible à tout le monde, alors qu’il aurait dû être privé. A la suite de cette fuite de données, Toyota a annoncé la mise en place imminente d’un système de surveillance de ses serveurs cloud.

Ce qui voudrait dire en réalité que Toyota automobile avait manqué de procédures et de mise en place des mesures de sécurité de leur cloud.

Cas de Tesla

Selon une enquête de Reuters[2] menée en avril 2023, des anciens employés du constructeur américain Tesla avaient admis partager sur des messageries internes, des images et des vidéos intimes, privées et sensibles des clients de la firme. Ces vidéos enregistrées à partir des caméras des véhicules des clients ont été partagées entre collaborateurs, entre 2019 et 2022. Pour rappel, plusieurs caméras et technologies avancées équipent chaque véhicule Tesla pour le bien-être des passagers.

Ces failles relevées démontrent que la vie privée des passagers n’est point respectée. D’où le manque de confidentialité qui constitue une violation des données.

Cas de Hyundai

Une cyberattaque a ciblé les clients français de la société automobile Hyundai. En effet, un pirate s’est emparé des données personnelles de clients de la marque coréenne (nom et prénoms, date de naissance, adresse email et postale, numéro de téléphone des clients, numéro de client et numéro de châssis) et les a fait fuiter.

Le constructeur automobile coréen a donc envoyé des messages à ses clients les informant de cette fuite due à cette cyberattaque et que ceux-ci devraient faire preuve d’une grande vigilance.        

Il en est de même pour les sociétés telles que Ferrari, victime d’une fuite de données avec demande de rançon. Et d’un concessionnaire de BMW France qui a fait les frais d’un piratage. Selon les experts du BMW Group, ils ont pu « localiser une brèche dans le système informatique d’un concessionnaire local, qui est une entité juridique indépendante de BMW France. ».

Problématiques liées à la protection de la vie privée des conducteurs et passagers chez les constructeurs et les concessionnaires

Il est pratique courante de voir des sociétés affirmer qu’elles prennent en considération la sécurité et la confidentialité des données personnelles de leurs clients, alors qu’en réalité il n’en est rien.

Malgré l’assurance que vous font miroiter ces sociétés, certains évènements qui surviennent trahissent clairement la négligence de celles-ci face à la protection de nos vies privées. La confidentialité des données de leurs clients n’est donc pas une priorité au sein de leurs systèmes.

L’absence accentuée de confidentialité constitue une vulnérabilité des systèmes de sécurité des véhicules et la nécessité de prendre en compte ou d’améliorer la protection de la vie privée des conducteurs est criarde.

Au regard de toutes ces défaillances constatées, les faits nous emmènent à nous demander si les constructeurs automobiles et leurs concessionnaires sont engagés dans la démarche de mise en conformité relative à la règlementation sur la protection des données personnelles.

Cette question peut être plus dirigée sur le continent africain car nous constatons de plus en plus, une prolifération de véhicules dits connectés, avec des sociétés concessionnaires qui commercialisent ces types de véhicules ou d’autres qui se lancent dans la mobilité électrique.

Les concessionnaires commercialisant les véhicules des constructeurs automobiles doivent impérativement se mettre en conformité

Cependant, à la suite des violations de données qui sont fréquentes, et des cyberattaques qui sont de plus en plus perpétrées, il est indispensable que ces sociétés automobiles ainsi que leurs concessionnaires prennent en considération le volet de la protection des données personnelles dans leurs activités.

Groupe DPSE invite toutes les entreprises dans le secteur de l’automobile à s’engager dans une démarche de mise en conformité relative à la protection des données personnelles.

De plus, pour éviter certaines erreurs humaines, il est indispensable de former les collaborateurs afin que ceux-ci aient une connaissance basique et approfondie des données à caractère personnel.

Groupe DPSE vous offre des formations de qualité, délivrées par des experts tant dans les domaines des données à caractère personnel, de la cybersécurité que dans la lutte contre le blanchiment de capitaux et le financement du terrorisme. Nous vous accompagnons dans la démarche de mise en conformité relative à la protection des données à caractère personnel.


[1] More than 2 million Toyota users face risk of vehicle data leak in Japan | Reuters

[2] Special Report: Tesla workers shared sensitive images recorded by customer cars | Reuters

Quitter la version mobile