General Motors a accepté de payer 12,75 millions de dollars pour régler des poursuites en Californie concernant la confidentialité, après que le constructeur automobile a vendu secrètement les données de localisation et de comportement de conduite de centaines de milliers d'abonnés OnStar à des courtiers en données - tout en le niant publiquement. Le règlement, annoncé le 8 mai 2026, marque la plus importante amende CCPA de l'histoire de la Californie et envoie un avertissement sévère à toute entreprise qui considère les données personnelles comme une source de revenus cachée.
Comment GM a vendu vos données de conduite sans vous le dire
De 2020 à 2024, General Motors et sa filiale OnStar ont collecté des données précises de géolocalisation, de vitesse, de freinage, d'accélération et d'autres comportements auprès des abonnés inscrits - puis les ont vendues à deux courtiers en données : Verisk Analytics et LexisNexis Risk Solutions. Les données ont été utilisées par les courtiers pour créer des profils de risque de conducteurs vendus aux compagnies d'assurance.
GM aurait gagné environ 20 millions de dollars à l'échelle nationale grâce à ces ventes de données. Les abonnés n'ont jamais été clairement informés que leurs données de conduite étaient regroupées et vendues. Dans certains cas, les utilisateurs qui ont tenté de se désinscrire ont trouvé le processus confus ou inefficace. Le procureur général de Californie, Rob Bonta, rejoint par les procureurs de district des comtés de San Francisco, Los Angeles, Napa et Sonoma, a intenté l'action en vertu de la CCPA, de la loi sur la concurrence déloyale et de la loi sur la fausse publicité.
Règlement record : près de cinq fois la précédente amende CCPA
À 12,75 millions de dollars, la sanction est de loin la plus importante mesure d'application de la CCPA de l'histoire de la loi - près de cinq fois le précédent record établi par un règlement avec Disney plus tôt cette année. L'accord couvre des violations présumées s'étalant sur des données collectées entre 2016 et 2024.
-
Données vendues : Noms, coordonnées, géolocalisation précise et données de comportement de conduite de centaines de milliers de Californiens.
Acheteurs : Verisk Analytics et LexisNexis Risk Solutions - tous deux fournisseurs majeurs du secteur de l'assurance.
Revenus de GM provenant des ventes : Environ 20 millions de dollars à l'échelle nationale (2020-2024).
Amende : 12,75 millions de dollars - la plus grande amende CCPA de l'histoire.
Au-delà de l'amende, le règlement exige que GM cesse de vendre des données de conduite à toute agence d'évaluation du crédit à la consommation pendant cinq ans, supprime les données de conduite spécifiques collectées au cours des 180 derniers jours, et demande que Verisk et LexisNexis suppriment les données des consommateurs qu'ils ont reçues de GM.
Votre voiture est un appareil de surveillance - que vous le sachiez ou non
L'affaire GM est un exemple historique d'une tendance plus large et qui s'accélère rapidement : les véhicules connectés sont devenus des plateformes roulantes de collecte de données. Les voitures modernes dotées de systèmes télématiques comme OnStar suivent bien plus que la navigation - elles surveillent les habitudes de freinage, les modèles d'accélération, l'utilisation de la ceinture de sécurité, la fréquence des trajets et les coordonnées GPS précises. Ces données sont devenues un produit lucratif, vendu aux assureurs, aux annonceurs et aux agences gouvernementales sans le consentement significatif des conducteurs.
Les compagnies d'assurance recherchent depuis longtemps des données granulaires sur le comportement de conduite pour ajuster les primes. Ce que confirme le règlement de GM, c'est que ce pipeline de données fonctionnait dans l'ombre - les abonnés inscrits à des fonctionnalités pratiques comme l'assistance routière n'avaient aucune idée que leurs habitudes de conduite étaient monétisées et partagées.
L'affaire souligne également à quel point les outils de confidentialité standards sont insuffisants pour les données des véhicules. Un VPN protège votre trafic Internet mais ne peut pas empêcher le système télématique de votre voiture de signaler des données de localisation et de comportement directement aux serveurs du constructeur. La protection de la confidentialité des véhicules nécessite de riposter au niveau législatif et contractuel - en exigeant des constructeurs automobiles des mécanismes de désinscription clairs et des règles strictes de minimisation des données.
Ce que l'amende de GM signale pour l'application de la CCPA
Les régulateurs californiens de la protection de la vie privée ont été critiqués pendant des années pour avoir insuffisamment appliqué la CCPA. Une sanction de 12,75 millions de dollars - cinq fois le précédent record - signale une escalade significative. Les analystes juridiques notent que les dispositions de minimisation des données de l'accord pourraient être son élément le plus percutant : forcer GM à cesser totalement de vendre ces données pendant cinq ans crée un précédent selon lequel les données brutes de conduite ne sont pas une marchandise librement négociable.
L'affaire a été coordonnée entre le procureur général de Californie et quatre procureurs de district, ce qui suggère que la Californie construit une infrastructure d'application multi-agences conçue pour s'attaquer aux grandes entreprises. Des pratiques similaires de traitement des données des constructeurs automobiles chez Toyota, Ford, Hyundai et d'autres restent sous le contrôle des chercheurs en confidentialité et des régulateurs aux États-Unis et dans l'UE.
