1. TDN >
2. Automobile

« Je ne pensais pas que ma voiture enregistrait autant » : ce que les constructeurs automobiles collectent réellement en 2026

Suivez nous sur Google News

Partagez cet article

En 2026, une automobile récente n’est plus seulement un moteur et quatre roues. C’est aussi un ordinateur roulant, bourré de capteurs, qui produit des données en continu.

Et ces informations, parfois très personnelles, intéressent autant les constructeurs que tout un écosystème d’acteurs.

La voiture de 2026, une “machine à données” qui ne dort jamais

Tourner la clé ou appuyer sur “Start” réveille aujourd’hui plusieurs calculateurs, des capteurs, un modem 4G/5G, parfois du Wi-Fi, du Bluetooth et des services connectés. Cette couche numérique a d’abord été vendue comme une promesse de confort. Elle tient souvent parole. Pourtant, elle change aussi la nature même de l’objet voiture.

Dans les faits, un véhicule moderne génère des données techniques, des données d’usage et, très vite, des données personnelles. La frontière se franchit dès qu’un identifiant relie l’auto à une personne. Le numéro de série (VIN), un compte utilisateur, un contrat d’assurance, un contrat de location ou même un smartphone appairé suffisent. La CNIL rappelle justement que les données d’un véhicule deviennent “personnelles” dès qu’elles se rapportent à une personne identifiée ou identifiable, ce qui est typiquement le cas des données de localisation quand le véhicule peut être rattaché à son propriétaire ou son locataire.

Autrement dit, le “capot numérique” enregistre plus qu’un simple kilométrage. Il raconte des habitudes. Et parfois, il raconte une vie.

Quelles données sont réellement collectées, au-delà du GPS

On pense spontanément à la géolocalisation. Elle est centrale, car elle permet de déduire un domicile, un lieu de travail, des trajets récurrents ou des lieux sensibles. Mais la collecte ne s’arrête pas là.

La voiture enregistre aussi des données de conduite. Selon les modèles et les services activés, on retrouve des informations sur les accélérations, les freinages, l’usage des aides à la conduite, des alertes de sécurité, voire des événements particuliers (déclenchement d’airbag, perte d’adhérence, alerte de somnolence). En Europe, une “boîte noire” existe désormais dans les véhicules neufs, appelée enregistreur de données d’événement. Service-Public.fr explique que, depuis juillet 2024, certains équipements de sécurité sont obligatoires sur les nouveaux véhicules, dont un enregistreur d’événements capable de conserver des paramètres comme la vitesse, la phase d’accélération ou de freinage, le port de la ceinture, l’usage du clignotant ou la force du choc autour d’un accident. L’administration précise aussi que ce dispositif n’enregistre pas des sons ou des conversations dans l’habitacle et que l’accès est encadré.

Viennent ensuite les données “confort” et “infodivertissement”. Les réglages préférés, la température, les stations, la navigation, les commandes vocales, l’historique de destinations, les favoris. Dès qu’un smartphone est connecté, des carnets d’adresses, journaux d’appels, messages dictés ou identifiants d’applications peuvent entrer dans l’écosystème, selon ce que l’utilisateur autorise. Enfin, les données mécaniques explosent aussi : état de la batterie, pression des pneus, usure, codes défauts, entretien, et remontées télématiques destinées à prévenir une panne.

La CNIL, dans ses travaux sur la localisation des véhicules connectés, décrit d’ailleurs un circuit désormais classique : collecte dans le véhicule, mise à disposition via des API de constructeurs, ou passage par des intégrateurs et agrégateurs de données qui jouent les intermédiaires.

À quoi servent ces données : sécurité, maintenance… et business

Il serait trop simple de résumer la collecte à une intention unique. Les usages sont multiples, parfois légitimes, parfois contestables.

D’un côté, l’intérêt technique est réel. La maintenance prédictive peut éviter une panne coûteuse, optimiser les rappels, améliorer un modèle et accélérer le diagnostic. La CNIL liste plusieurs finalités fréquentes autour de la localisation : assistance et dépannage, assistance en cas d’accident, lutte contre le vol, optimisation et amélioration des produits et services.

De l’autre côté, la donnée automobile est une ressource. Elle intéresse les assureurs, les sociétés de leasing, les gestionnaires de flotte, les réparateurs, les plateformes publicitaires et les éditeurs d’applications embarquées. Ce marché alimente une bataille d’accès : qui contrôle la donnée, qui peut l’exploiter et à quelles conditions ? La Commission européenne a d’ailleurs renforcé, via le Data Act, les droits des utilisateurs de produits connectés pour accéder aux données générées par l’usage et, s’ils le souhaitent, les partager avec des tiers, par exemple pour choisir des services de réparation ou de maintenance plus compétitifs.

Le point clé, en 2026, est donc moins “la voiture collecte-t-elle ?” que “qui récupère quoi, pourquoi, et sur quelle base légale ?”.

Le RGPD, votre bouclier… à condition de s’en servir

En Europe, le RGPD reste la colonne vertébrale. Il impose des principes simples sur le papier : minimisation, finalité, transparence, sécurité, durée de conservation limitée, et respect des droits des personnes. Mais la voiture connectée complique l’application, parce qu’elle mélange des acteurs et des situations d’usage.

Le Comité européen de la protection des données (EDPB) a justement publié des lignes directrices dédiées aux véhicules connectés et aux applications de mobilité. L’objectif est d’encadrer les traitements, de rappeler les responsabilités, et de pousser à des choix “privacy by design”, c’est-à-dire pensés pour protéger la vie privée dès la conception.

En pratique, la première question est celle de la base légale. Le constructeur peut invoquer l’exécution du contrat pour fournir un service demandé, comme l’assistance en cas de panne. Il peut aussi invoquer l’intérêt légitime pour certaines mesures de sécurité, mais cet intérêt doit être mis en balance avec les droits de l’utilisateur. Enfin, pour des usages non indispensables, comme certains services marketing, le consentement explicite est souvent attendu. Le problème, c’est que le consentement “écran tactile” est parfois obtenu en un clic, sans que l’on mesure la portée réelle.

Le CNIL comme garde fou

La CNIL insiste sur un point qui parle à tout le monde. Collecter trop précis, trop fréquent, trop longtemps, sans justification solide, c’est déjà s’exposer. Dans son projet de recommandation sur la localisation. Elle explique qu’il est “généralement suffisant” de ne conserver que la dernière position. Et que la fréquence de collecte doit être justifiée. Au regard de chaque finalité. Elle recommande aussi, quand c’est possible, de privilégier un traitement local dans le véhicule. Avec remontée vers les serveurs seulement après un “fait générateur”, comme une demande d’assistance.

Autre volet trop peu connu : l’analyse d’impact (AIPD). Dès que l’on collecte de la localisation à grande échelle. Ou que l’on croise ces données avec d’autres informations. L’AIPD devient un réflexe attendu pour mesurer les risques et définir des mesures de réduction.

La “surcouche ePrivacy” : ce que beaucoup oublient

Le RGPD n’est pas seul. Certaines fonctions d’une voiture touchent aussi aux règles issues de l’ePrivacy, notamment lorsque l’on stocke ou accède à des informations sur un terminal. C’est un sujet moins visible, mais très concret pour les boîtiers télématiques, certaines données d’usage, ou des identifiants techniques.

À côté, un cas emblématique montre comment l’Europe a voulu limiter le risque de traçage : l’eCall. Le règlement européen sur l’eCall impose des garanties, dont l’idée que le système, en fonctionnement normal, ne permette pas un suivi constant, et que les données ne soient pas accessibles avant le déclenchement de l’appel d’urgence.

Ce rappel est important : toutes les fonctionnalités “sécurité” ne justifient pas un aspirateur à données. Le cadre européen essaie, au moins sur certains dispositifs, d’empêcher l’effet “balise permanente”.

Cybersécurité : la donnée fuit aussi quand la voiture est vulnérable

Parler données en 2026, c’est aussi parler sécurité. La meilleure règle de droit ne sert à rien si une faille technique ouvre la porte. Les exigences de cybersécurité automobile ont justement été renforcées par des réglementations internationales comme l’UNECE R155, qui impose un système de management de la cybersécurité pour l’homologation de nombreux véhicules dans les pays qui s’y réfèrent. Des acteurs de certification rappellent que ces exigences sont devenues déterminantes pour l’accès au marché, notamment en Europe, et que le calendrier a durci autour de 2024 pour les nouveaux véhicules.

Cela change la donne. Un constructeur doit démontrer qu’il sait gérer les risques, y compris ceux liés aux mises à jour logicielles, aux interfaces et aux connexions. Et pour l’utilisateur, cela rappelle un point simple : la donnée la plus sensible est parfois celle qui s’échappe lors d’un piratage, pas celle que l’on a “acceptée” dans un menu.

Comment garder le contrôle en 2026, sans se priver de tout

Le contrôle commence par un réflexe : considérer que la voiture est un service numérique. Donc, il faut aller dans les réglages. Beaucoup de véhicules proposent aujourd’hui des menus de confidentialité, avec des options de partage, d’amélioration produit, de diagnostics ou de personnalisation. Couper ce qui n’est pas indispensable réduit souvent la collecte, même si cela peut désactiver certaines fonctions.

Le deuxième levier, c’est l’accès aux droits. Le RGPD vous permet de demander l’accès aux données, la rectification, l’effacement dans certains cas, la limitation, l’opposition et parfois la portabilité. Concrètement, cela signifie qu’en 2026, on peut exiger de comprendre ce qui est collecté, où c’est envoyé, combien de temps c’est conservé, et à qui c’est transmis. L’EDPB rappelle que la transparence doit être pensée pour des contextes d’usage réels, notamment quand plusieurs personnes utilisent le même véhicule.

Le troisième levier, c’est la “fin de vie” numérique du véhicule. Avant une revente, un retour de leasing ou une restitution de location, il faut supprimer les profils, désappairer les téléphones, effacer l’historique de navigation, et effectuer une réinitialisation d’usine du système multimédia quand elle existe. Sinon, la voiture change de main avec une partie de votre intimité.

Enfin, un levier plus politique s’installe depuis 2025 : le Data Act. Il ne remplace pas le RGPD, mais il pousse vers un accès plus juste aux données générées par les produits connectés, et il renforce l’idée que l’utilisateur doit pouvoir récupérer la donnée et choisir des tiers de confiance. Dans l’automobile, l’enjeu est aussi économique : permettre de réparer, d’entretenir, de comparer, sans dépendre exclusivement du constructeur.

La liberté au volant passera aussi par la maîtrise des réglages

La voiture reste un symbole de liberté. Pourtant, en 2026, cette liberté a une nouvelle condition : comprendre la circulation invisible des données. La bonne nouvelle, c’est que le cadre européen n’est pas vide. Entre RGPD, recommandations des autorités, exigences de minimisation, obligations de cybersécurité et nouveaux droits autour des objets connectés, des outils existent.

Mais un outil non utilisé ne protège pas. La vraie bascule, c’est donc d’arrêter de considérer les écrans embarqués comme de simples gadgets. Ce sont des interfaces de choix. Et dans une voiture qui collecte, cliquer, refuser, désactiver, demander un accès ou exiger une explication devient un geste de conduite à part entière. La fin de la carte grise papier n’était qu’un début : tout se digitalise.