General Motors a accepté de payer 12,75 millions de dollars de sanctions civiles pour résoudre une enquête californienne sur des allégations selon lesquelles il aurait vendu illégalement les données de localisation et de conduite de centaines de milliers de résidents de l’État à deux courtiers en données entre 2020 et 2024. Le procureur général Rob Bonta l’a décrit comme la plus grande sanction infligée à ce jour par la Californie en vertu du California Consumer Privacy Act, et le premier cas lié à la règle de minimisation des données de l’État.
La quantité de données vendues était assez importante, comprenant des noms, des coordonnées, des enregistrements de localisation GPS, des vitesses parcourues et des cas d’accélération rapide. Les données ont été collectées via le service d’abonnement OnStar de GM et son produit Smart Driver, et vendues à Verisk Analytics et LexisNexis Risk Solutions, des sociétés qui fournissent des produits de risque et de données pouvant être utilisés par les assureurs pour modéliser le comportement des conducteurs et fixer les primes.
La propre politique de confidentialité de GM indiquait explicitement qu’elle ne vendrait pas de données de conduite ou de localisation ; Bonta a déclaré que l’entreprise l’avait fait malgré tout et n’avait pas cherché au préalable à obtenir la connaissance ou le consentement de ses clients. La loi de l’État de Californie interdit également aux assureurs de l’État d’utiliser les données sur le comportement au volant pour fixer les tarifs, ce qui signifie que les conducteurs locaux étaient probablement à l’abri des augmentations de primes qui affectaient les clients ailleurs.
Le règlement va au-delà de la sanction financière – sans doute des frais symboliques – mais oblige également GM à supprimer les données conservées des conducteurs dans un délai de 180 jours, à moins que les clients ne consentent activement à leur conservation. GM doit également développer un nouveau programme interne de confidentialité évaluant les risques liés à la collecte de données d’OnStar et observer une interdiction de cinq ans sur la vente de données personnelles de conduite aux agences d’information sur la consommation en particulier.
Le règlement reste soumis à l’approbation d’un tribunal. Dans un communiqué, GM a déclaré que le règlement « concerne Smart Driver, un produit que nous avons abandonné en 2024, et renforce les mesures que nous avons prises pour renforcer nos pratiques en matière de confidentialité ». GM a ajouté qu’il reste « engagé » à être transparent avec ses clients concernant ses pratiques en matière de données et à respecter à la fois leurs choix et leur contrôle sur leurs informations personnelles.
Le règlement californien intervient plusieurs mois après un accord accord concernant GM et OnStar, cette fois avec la Federal Trade Commission (FTC) des États-Unis. À l’époque, la FTC avait qualifié le comportement de GM de « trahison flagrante de la confiance des consommateurs ». L’accord FTC est directement lié au règlement californien. Il convient également de noter que l’amende de 12,75 millions de dollars payée par GM est nettement inférieure aux quelque 20 millions de dollars que le constructeur automobile a perçus grâce à la vente de données. En d’autres termes, malgré l’amende, l’entreprise a quand même réalisé des bénéfices sur le partage de ses données.
Le règlement mettra également probablement fin à un argument juridique avancé par GM depuis deux ans, un argument qui a soulevé plusieurs sourcils. Dans une motion de 2025 visant à rejeter un procès multi-districts connexe, GM argumenté que la collecte et la vente de données de conduite ne violaient pas la vie privée des consommateurs car le comportement s’était produit sur la voie publique. « Conduire un véhicule – qui implique nécessairement une conduite sur la voie publique – ne peut constituer la base d’une réclamation fondée sur la protection de la vie privée », ont écrit les avocats de GM.
Le constructeur automobile a cité les doctrines juridiques de l’État selon lesquelles l’observation du comportement public ne peut constituer une violation de la vie privée, les clients LexisNexis et Verisk perpétuant tous deux la même logique dans leurs propres documents. avançant la même position dans leurs propres dossiers. La conclusion logique de cet argument était que toutes les données collectées à partir d’un véhicule en mouvement – à grande échelle, en continu et vendues commercialement – n’étaient soumises à aucune obligation de confidentialité.
L’affaire découle d’une enquête menée en 2024 par le New York Timeset un seul conducteur californien qui a découvert ses données de localisation dans un rapport qu’il avait demandé. Cela a accéléré la prise en compte réglementaire plus large des données des véhicules connectés, qui remodèle désormais la façon dont les constructeurs automobiles décrivent publiquement leurs pratiques en matière de données. Dans sa propre déclaration, la procureure du district de San Francisco, Brooke Jenkins, a formulé le problème clairement : « Les voitures modernes sont des machines roulantes de collecte de données. Les Californiens doivent avoir l’assurance qu’ils savent quelles données sont collectées, comment elles sont utilisées et quels sont leurs droits de non-participation ».