Le bureau du procureur général de Californie est parvenu à un accord sur 12,75 millions avec General Motors qui marque un tournant dans la réglementation de la télémétrie des véhicules: les autorités de l'État ont conclu que GM, par son service OnStar et le programme «Smart Driver», a recueilli et vendu des données sur la conduite et l'emplacement des résidents de Californie à des intermédiaires tels que Risque et LexisNexis sans la notification et le consentement requis par la loi de l'État.
Au-delà du montant - un record d'amendes civiles pour la vie privée en Californie - l'affaire est pertinente parce qu'il s'agit de la première mesure de conformité de l'État spécifiquement axée sur la règle de Minimisation des données: c'est-à-dire que les entreprises ne devraient collecter et conserver que ce qui est strictement nécessaire à l'objectif déclaré. L'accord exige que GM cesse de vendre ces données pendant cinq ans, demande aux acheteurs de supprimer les renseignements déjà transférés et supprime les documents qu'ils conservent dans les 180 jours, à moins que les consommateurs n'y consentent explicitement.
L'affaire confirme une tendance que nous avons observée dans l'industrie automobile et dans l'écosystème des données : les véhicules connectés génèrent des informations précieuses - des positions précises, des modes de déplacement, des comportements de conduite - qui peuvent être rapidement monétisées et se retrouver dans des produits ou des profils de score de conducteur vendus à des assureurs et à d'autres acteurs. Cela présente des risques particuliers pour la vie privée et la sécurité physique des personnes, depuis l'identification des routines quotidiennes jusqu'à la possibilité d'un usage discriminatoire ou d'une surveillance commerciale non contrôlée.
Pour le secteur, la leçon est claire : la monétisation de la télémétrie n'est plus un terrain gris sans conséquences. Les autorités de réglementation fédérales et étatiques ont intensifié la surveillance; dans ce cas, la décision californienne s'ajoute aux sanctions et restrictions antérieures de la Federal Trade Commission et à d'autres recherches sur les corridors de données. Les entreprises exploitant des données sur les véhicules doivent intégrer confidentialité par conception, examiner les contrats avec des tiers et documenter les bases juridiques et les délais de conservation des données.
Pour les consommateurs, l'accord offre des outils pratiques et des rappels. Ceux qui ont des véhicules connectés devraient revoir les politiques de confidentialité et les options de télémétrie dans leurs comptes ou services de fabricant tels qu'OnStar, demander l'enlèvement des données et exercer les droits en vertu de la loi californienne (y compris le droit de ne pas vendre), le cas échéant. Le procureur général de Californie explique comment déposer plainte et comprendre ces droits dans sa note officielle : communiqué du Bureau du Procureur général.
Pour plus d'informations, il existe une couverture journalistique et technique de l'historique de l'affaire et de son impact sur les couloirs de données et les assureurs; un résumé accessible et à jour de la recherche est disponible sur BleepingComputer: analyse de l'accord. Il est également recommandé de lire les politiques de confidentialité du fabricant pour déterminer comment les données sont collectées et utilisées : par exemple, la déclaration de confidentialité globale de GM fournit des lignes directrices sur les options et les contacts pour les demandes de confidentialité : Vie privée des GM.
En termes de réglementation et de marché, s'attendre à un plus grand contrôle sur les relations entre les fabricants, les fournisseurs de télématique et les corridors de données. Les organismes de réglementation commencent à appliquer des sanctions pour des pratiques qui étaient auparavant « acceptables » sur le plan commercial; la priorité est maintenant de démontrer que la collecte a un but légitime, proportionné et transparent. Pour les entreprises, l'investissement dans la conformité et les audits indépendants ne sera plus un coût facultatif et deviendra une exigence opérationnelle.
Enfin, comme une recommandation spécifique: si vous avez un véhicule moderne avec connectivité, vérifiez votre contrat et l'application associée, désactivez les fonctions dont vous n'avez pas besoin, documentez toutes les demandes de suppression que vous faites et gardez la preuve. Si vous vivez en Californie et que vous croyez que vos droits ont été violés, consultez les plaintes de l'État et, le cas échéant, adressez la plainte aux autorités compétentes. Le précédent de cet accord montre que la vie privée à l'âge de la voiture connectée est une frontière réglementaire active et que les consommateurs et les entreprises doivent s'adapter.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...