Voitures autonomes : Need for Speed

I – Sécurité routière: l’exemple du système d’alertes automatisé eCall 

La commercialisation des véhicules autonomes permettra d’améliorer la sécurité routière. La plupart des accidents résultant d’erreurs humaines (fatigue, distraction, ébriété, temps de réaction), remplacer l’homme par la machine est donc perçu comme vecteur d’une plus grande sécurité, à l’instar du pilotage automatique pour les avions. A l’échelle de l’Union européenne, l’une des initiatives récentes est le système eCall de la Commission européenne visant à introduire à horizon 2018 dans les véhicules un système d’appel d’urgence permettant en cas d’accident de prévenir instantanément et automatiquement le numéro unique d’urgence européen « E112 » et d’envoyer sa position géolocalisée ainsi qu’un ensemble minimal de données. L’objectif est de réduire le temps d’intervention des secours, notamment en cas de perte de conscience du conducteur. Ce dispositif a été soumis aux nombreux groupes de travail de normalisation (CEN, ETSI et 3GPP) pour aboutir à l’adoption de protocoles de communication standards. Les véhicules autonomes nécessiteront toutefois d’aller plus loin dans le processus d’harmonisation, tant pour la certification technique que pour la transformation des infrastructures, notamment le déploiement des équipements nécessaires de bords de route pour la connectivité, et la signalisation. 

II – Les traitements de données à caractère personnel et le Big Data

Les voitures autonomes peuvent permettre de collecter et partager de nombreuses données, notamment à caractère personnel, relatives à l’environnement, à la position du véhicule et des piétons, à l’enregistrement des trajets, aux habitudes et endroits fréquentés, faisant craindre une utilisation à d’autres fins de cette masse de données. Pour encadrer les pratiques de l’industrie automobile, la CNIL annonce pour 2016 l’élaboration d’un “pack de conformité” pour les véhicules autonomes. Ce pack, élaboré en collaboration avec les acteurs du secteur en amont, permettra de définir un référentiel sectoriel et des bonnes pratiques. Par ailleurs, le Règlement européen relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données qui entrera en vigueur en 2018 définit un nouveau régime plus contraignant qui nécessitera une gestion plus stricte des risques liés au traitement de données personnelles par tous les acteurs de l’industrie automobile. Le Règlement contient notamment trois innovations qui devraient à terme contribuer à une meilleure prise en compte de la protection des données personnelles dans les projets industriels et technologiques liés aux véhicules autonomes. Lorsque les technologies mises en œuvre présenteront un risque pour le respect de la vie privée des personnes concernées par le traitement, comme c’est le cas des voitures autonomes, le Règlement prévoit que le responsable de traitement doit effectuer une étude d’impact et analyser les risques encourus afin de mettre en œuvre lui-même les mesures permettant de les limiter. Cela fait donc peser sur les entreprises à la fois l’obligation et la responsabilité de définir ces mesures, y compris par l’adoption de codes de conduite, de politiques et de procédures. Par ailleurs, le Règlement généralise à tous les responsables de traitement l’obligation de notification des failles de sécurité à l’autorité de contrôle. Les personnes affectées par la faille devront également être informées si la violation présente un risque élevé pour elles. Enfin, le nouveau concept de « Privacy by design » impose aux entreprises, dès la conception de leurs produits et services, de s’assurer du respect des impératifs de protection des données et de mettre en place les mesures organisationnelles et techniques appropriées, telles que la minimisation et l’anonymisation, afin de respecter les principes du Règlement. Il appartient donc aux constructeurs automobiles et équipementiers de paramétrer l’ordinateur de bord du véhicule de façon adéquate et d’être transparents avec les usagers sur la manière dont seront utilisées les données du véhicule. Le volet protection des données à caractère personnel est donc bien avancé. 

III – La cyber sécurité des véhicules autonomes 

Le piratage de véhicules connectés, perçu comme un frein au développement du marché de l’internet des objets en général, oblige les acteurs du marché des voitures autonomes à réfléchir à un cadre adapté pour assurer la sécurité de ces véhicules et à revoir leurs organisations et leurs processus. Sur le plan technique, les véhicules autonomes embarquent en effet de très nombreuses technologies (systèmes d’exploitation, capteurs, LiDAR, radar, infrarouge, lumière pulsée, ultrason, caméra, odomètre, logiciels, E112 pour le système eCall à échéance 2018) intégrant la connectivité sur différents protocoles (GSM, GPS, Bluetooth, NFC, Wifi). Cela pose bien sur des questions de standards (CarPlay, Windows in the Car, Open Automotive Alliance, MirrorLink) et de pré-installation du système d’exploitation, de disponibilité des ressources (fréquences et stockage de données) et d’interopérabilité mais aussi de vulnérabilité des différents boîtiers intégrés. Ainsi, les constructeurs doivent définir les moyens qui permettront de protéger les différents systèmes des véhicules autonomes : sécurisation physique du véhicule, sécurisation des systèmes, sécurisation des communications par chiffrement (comme la cryptographie quantique) et signature (V2V, V2I, V2X), sécurisation de l’architecture électronique (firewall, ségrégation des réseaux de bord, protection contre les intrusions) et des calculateurs, tests d’intrusion des boîtiers critiques. Comme en matière de protection des données personnelles, une démarche de « Security by design » doit être privilégiée. Au niveau européen, l’Institut européen des normes de télécommunications (ETSI) et le Comité européen de normalisation (CEN) ont commencé à définir des standards de sécurité afin que les véhicules autonomes et classiques partagent les routes. Au niveau national, l’ANSSI devrait contribuer à l’élaboration des normes et standards et le gouvernement annonce la création d’un label « véhicule autonome sûr ».

IV – L’autonomie et la définition d’un nouveau régime de responsabilité

Le déploiement des véhicules autonomes nécessitera l’adoption de nouvelles règles internationales, notamment une révision de la convention de Vienne du 8 novembre 1968. A l’échelle nationale, le déploiement des voitures autonomes se heurte également à plusieurs obstacles juridiques. Le code de la route exige la présence d’un conducteur dans le véhicule de sorte que certains ajustements sont nécessaires pour que les voitures autonomes puissent circuler sur les voies ouvertes à la circulation publique. Les problématiques de responsabilité et d’assurance vont aussi rendre nécessaire l’évolution du cadre juridique afin de déterminer à qui incombe la responsabilité civile et pénale des véhicules autonomes et de pouvoir proposer un système d’assurance en adéquation. Aujourd’hui, en application de la loi du 25 juillet 1985, dite loi Badinter, le conducteur du véhicule impliqué dans un accident en porte la responsabilité civile. Le conducteur est également pénalement responsable des infractions commises par lui dans la conduite du véhicule. La conduite autonome du véhicule par un logiciel tend à remettre en cause ce schéma et suscite de nombreuses interrogations : la responsabilité doit-elle être portée par le conducteur, le constructeur, le gestionnaire de l’infrastructure ou le fournisseur du module ou logiciel défaillant ? Faut-il prévoir un régime de responsabilité distributif, proportionnel à la part de responsabilité de chacun? Un régime de responsabilité sans faute? Peut-on embarquer dans un véhicule autonome sans permis ou en état d’ébriété? L’intervention du législateur semble incontournable pour clarifier ces éléments, bien qu’en attendant, les constructeurs semblent décidés à prendre les devants en proposant d’engager leur responsabilité en cas d’accident d’une de leurs voitures et en contraignant ainsi les assureurs à s’adapter et à renouveler leurs modèles. Les assureurs réfléchissent en effet au changement de modèle drastique qu’implique cette rupture technologique. La télématique embarquée leur permet de proposer des assurances « pay as you drive » et « pay how you drive » mais la manière dont seront assurés les véhicules autonomes dépend intrinsèquement du cadre juridique et de la capacité des assureurs à évaluer les dispositifs de conduite innovants.

L’autonomie sera progressive et la généralisation de l’usage des voitures autonomes n’est attendue qu’à horizon 2030. Pour y parvenir, un important travail législatif s’annonce toutefois qu’il faudra mener à vive allure!