Lors des essais routiers, VW a attaché des caméras à des véhicules d’essai spéciaux qui enregistraient ce qui se passait autour de la voiture. En l’absence de notifications appropriées, cette pratique violait la loi sur la protection des données. L’autorité compétente de Basse-Saxe a donc infligé une amende de 1,1 million d’euros.
Essais routiers avec des caméras non marquées
L’objectif des essais routiers était de développer un système d’aide à la conduite permettant de prévenir les accidents. En principe, de tels essais routiers avec enregistrement par caméra sont parfaitement autorisés. Cependant, l’une des exigences est que le véhicule soit clairement identifié. En particulier, un symbole de caméra clairement reconnaissable et d’autres informations, concernant principalement la finalité du traitement des données et la durée pendant laquelle les données obtenues lors du processus doivent être conservées, doivent être présents sur le véhicule.
L’absence de ces informations a été constatée lorsque le véhicule d’essai a été soumis au contrôle routier à Salzbourg. Les policiers avaient remarqué les caméras installées lors de ce contrôle. Au cours de l’enquête plus approfondie, d’autres violations de la protection des données ont également été découvertes. Par exemple, il n’existait aucun accord de traitement des commandes entre VW et l’entreprise qui avait effectué les essais routiers. Un tel contrat est requis par le RGPD, car les deux sociétés collectent et traitent des données personnelles. Une analyse d’impact sur la protection des données n’a pas non plus pu être démontrée. Ceci est obligatoire et sert à identifier les risques potentiels en matière de protection des données et les contre-mesures possibles. Enfin et surtout, il manquait également dans la liste des activités de traitement une déclaration des mesures de protection techniques et organisationnelles, violant ainsi l’obligation de documentation prévue par le RGPD.
Faible gravité des violations
Barbara Thiel, commissaire à la protection des données de Basse-Saxe, a donc déclaré qu’il y avait eu au total quatre violations de la protection des données, mais a également souligné que toutes ces violations étaient « de faible gravité dans chaque cas ». VW a immédiatement corrigé toutes les lacunes. De plus, seul le véhicule d’essai a été concerné, et non les produits de série de l’entreprise, de sorte qu’il s’agit d’une infraction isolée.
Le fait que les essais routiers servaient à accroître la sécurité routière a également été pris en compte comme circonstance atténuante. Thiel a déclaré officiellement que les essais eux-mêmes n’étaient pas répréhensibles au regard de la loi sur la protection des données : « Les campagnes de recherche elles-mêmes n’étaient pas répréhensibles au regard de la loi sur la protection des données. Nous n’avons aucune objection à la collecte et au traitement ultérieur des données personnelles dans le cadre de ce processus.
L’affaire montre que le RGPD n’affecte pas seulement l’espace numérique – et que les entreprises comme Meta ne sont pas les seules à être concernées par des amendes.
