Recours collectif contre GM, OnStar et LexisNexis Risk Solutions [PDF]
(static01.nyt.com)- Romeo Chicco, résident de Floride, a déposé un recours collectif contre GM, OnStar et LexisNexis Risk Solutions, affirmant que des données de conduite de son Cadillac XT6 ont été collectées et transmises sans son consentement, puis utilisées pour l’évaluation de son assurance
- Les principaux fondements de la plainte sont une violation par LexisNexis du Fair Credit Reporting Act, des violations par GM et OnStar du Florida Deceptive and Unfair Trade Practices Act, ainsi qu’une atteinte à la vie privée au regard de la common law de Floride
- Le demandeur affirme ne pas avoir été informé, ni dans le contrat d’achat ni dans les documents OnStar, d’un partage de données ou d’une inscription distincte à OnStar Smart Driver, et soutient n’avoir jamais consenti à ce programme
- Dans le rapport de divulgation au consommateur LexisNexis reçu en janvier 2024, la rubrique Telematics contenait 258 événements de conduite, incluant heures de trajet, accélérations, freinages brusques, excès de vitesse, distance et VIN
- Le refus de couverture et la forte hausse de la prime d’assurance sont présentés comme les préjudices directs, le demandeur contestant l’usage d’informations négatives sans définition, méthode de calcul ni contexte pour ces événements de conduite
Structure générale du litige
- Romeo Chicco a engagé un recours collectif pour lui-même et pour des personnes se trouvant dans une situation similaire
- Les défenderesses sont trois entités
- General Motors LLC
- OnStar LLC
- LexisNexis Risk Solutions Inc.
- La plainte repose sur trois fondements
- le Fair Credit Reporting Act, 15 U.S.C. § 1681 et suivants
- le Florida Deceptive and Unfair Trade Practices Act, Fla. Stat. § 501.201 et suivants
- l’atteinte à la vie privée en common law de Floride
- Le demandeur soutient que des informations de conduite inexactes ou négatives ont été signalées à son sujet sans qu’il en ait connaissance ni qu’il y consente, et que le transfert et la divulgation de ces données constituent une atteinte à sa vie privée
- La plainte inclut aussi l’allégation selon laquelle les agissements des défenderesses lui ont causé un préjudice et une détresse émotionnelle importante
Juridiction et parties
- L’affaire a été déposée devant le tribunal fédéral du district sud de Floride
- La compétence fédérale est invoquée au titre d’une question de droit fédéral, et les demandes fondées sur le droit de l’État relèvent de la compétence supplémentaire
- Le demandeur est présenté comme une personne physique résidant à Palm Beach County, en Floride, et affirme être un consumer au sens du FCRA
- GM et OnStar sont des sociétés exerçant leurs activités en Floride
- LexisNexis est présentée comme une entreprise mondiale de données et d’analytique exerçant ses activités en Floride
- Dans la plainte, GM et OnStar sont qualifiées de furnisher fournissant des informations à une agence de reporting consommateur, et LexisNexis de consumer reporting agency au sens du FCRA
Achat du Cadillac et informations OnStar
- Le demandeur a acheté vers le 16 novembre 2021 un Cadillac XT6 neuf, modèle 2021, chez Ed Morse Cadillac à Delray Beach, en Floride
- Le contrat d’achat détaillait les éléments de la vente, mais le demandeur affirme qu’il n’y figurait aucune mention de
- OnStar
- LexisNexis
- partage de données
- dispositions relatives à la vie privée
- Le demandeur affirme qu’un représentant de la concession lui a indiqué que l’OnStar Smart Driver n’était pas « un produit vendu par le magasin » et qu’OnStar ne révélait pas au concessionnaire qui s’était inscrit au programme de partage de données ni à quel moment
- Peu après l’achat, le demandeur a téléchargé l’application MyCadillac sur son appareil mobile
- Le 18 novembre 2021, il a reçu un e-mail indiquant le début de l’essai Cadillac Connected Services ainsi que de la couverture Safety & Security
- l’e-mail invitait à appuyer sur le bouton bleu OnStar pour lancer le Welcome Call
- les éléments inclus étaient Connected Navigation, OnStar Safety & Security, Remote Access et In-Vehicle Data
- le demandeur affirme qu’il ne souhaitait pas utiliser les services OnStar, qu’il n’a donc pas appuyé sur le bouton bleu, et que l’e-mail ne mentionnait pas le programme OnStar Smart Driver
- Il affirme avoir ensuite reçu des e-mails de diagnostic OnStar, qu’il pensait relever de fonctionnalités fournies par l’application MyCadillac
- Il soutient qu’aucun achat ni paiement de services liés à OnStar ne figurait sur sa facture
Question du consentement à Smart Driver
- Vers février 2024, la concession a fourni au demandeur la FAQ OnStar Smart Driver
- La partie pertinente de la FAQ explique qu’OnStar ne collecte pas de données sur le comportement de conduite sans le consentement du client
- Selon cette FAQ, le client doit s’inscrire séparément à OnStar Smart Driver en plus des services OnStar de base, et un consentement distinct est requis pour Smart Driver
- Une fois le consentement donné et l’inscription effectuée, les données suivantes peuvent être collectées selon les capacités du véhicule
- événements de freinage brusque
- événements d’accélération brusque
- vitesses supérieures à 80 miles par heure
- vitesse moyenne
- conduite de nuit
- moment des trajets
- distance parcourue
- Au 12 mars 2024, le Vehicle Profile du demandeur dans le Cadillac Owner Center en ligne de GM indiquait que le véhicule n’était pas connecté au compte
Refus d’assurance et rapport LexisNexis
- Le demandeur a utilisé la même compagnie d’assurance pendant la majeure partie des années 2021, 2022 et 2023, et cette compagnie a renouvelé son contrat à plusieurs reprises
- Vers décembre 2023, son assureur existant l’a informé qu’il ne fournirait plus d’assurance aux résidents de Floride
- Vers le 18 décembre 2023, le demandeur a tenté de souscrire une assurance via les services en ligne de plusieurs assureurs, mais chacun a refusé sa demande
- Le demandeur affirme qu’après avoir appelé Liberty Mutual pour demander la raison du refus, un conseiller lui a expliqué que cela venait des informations figurant dans son rapport LexisNexis et lui a indiqué comment y accéder
- Le demandeur affirme avoir demandé le rapport LexisNexis et qu’il a fallu 2 à 3 semaines pour recevoir les documents de divulgation au consommateur
- Pendant ce délai, il affirme avoir contacté un agent d’assurance local pour trouver un assureur, mais que sa prime avait presque doublé
- Il déclare avoir ressenti une forte frustration et un choc important au cours de ce processus
Contenu et limites des enregistrements Telematics
- Dans le rapport de divulgation au consommateur LexisNexis reçu vers janvier 2024, 258 événements de conduite étaient enregistrés au 18 décembre 2023 dans la sous-rubrique Telematics
- Chaque événement de conduite comprenait les détails suivants
- date de début et de fin du trajet
- heure de début et de fin
- événements d’accélération
- événements de freinage brusque
- événements de vitesse élevée
- distance
- VIN
- Le demandeur soutient que le rapport ne fournit aucun contexte au sujet de ces événements de conduite
- Par exemple, il affirme qu’un enregistrement précis faisait apparaître 2 événements d’accélération et 1 événement de freinage brusque, sans que le rapport ne donne la définition de ces termes ni la méthode de calcul utilisée
- Il soutient aussi que le rapport n’explique ni pourquoi il a connu de tels événements, ni quelles étaient les conditions de circulation et les facteurs extérieurs au moment des faits
Appels avec LexisNexis, GM et OnStar
- Le 11 janvier 2024, le demandeur a appelé LexisNexis pour demander pourquoi ses données de conduite avaient été collectées sans son consentement
- Il affirme que LexisNexis lui a répondu d’appeler GM
- Le même jour, lorsqu’il a appelé GM, le demandeur affirme que GM lui a expliqué que les données télématiques étaient transmises via OnStar
- Lorsqu’il a indiqué ne s’être jamais inscrit à OnStar, il affirme qu’un représentant de GM a confirmé qu’un plan OnStar était associé à son véhicule puis l’a transféré à un représentant OnStar
- Le demandeur affirme qu’un représentant OnStar lui a indiqué que la seule manière pour que des données télématiques soient transmises à des assureurs était qu’il ait choisi d’adhérer, via son assureur, à un programme de remise pour conduite prudente
- Le demandeur soutient ne jamais avoir adhéré à un tel programme d’assurance
- Il affirme avoir ensuite parlé à d’autres représentants OnStar, mais qu’aucun n’a pu expliquer pourquoi OnStar avait diffusé ses informations télématiques sans son consentement
1 commentaires
Avis sur Hacker News
Selon la plainte, le plaignant ne voulait pas du service OnStar et n’a donc pas appuyé sur le bouton bleu « pour commencer », et les e-mails ne mentionnaient pas non plus le Smart Driver Program d’OnStar.
Pourtant, dans le rapport de divulgation consommateur LexisNexis reçu vers janvier 2024, 258 événements de conduite étaient enregistrés sous la rubrique « Telematics » au 18 décembre 2023, chaque événement comprenant les dates et heures de début/fin, les accélérations brusques, les freinages brusques, la conduite à grande vitesse, la distance et le VIN.
Le plaignant n’avait jamais souscrit à aucun programme d’assurance autorisant le partage de ses informations.
Article lié : « Automakers are sharing consumers' driving behavior with insurance companies » - https://news.ycombinator.com/item?id=39666976
Si vous possédez une voiture produite au cours des cinq dernières années environ, vous pouvez demander ici le « Consumer Disclosure Report » de LexisNexis : https://consumer.risk.lexisnexis.com/
Selon le NYT, LexisNexis reçoit certaines données de GM, Ford, Kia, Subaru et Mitsubishi.
Verisk reçoit aussi des données de GM, Hyundai, Honda, entre autres, et on peut en faire la demande ici : https://fcra.verisk.com/#/
Cet article n’est resté que 3 heures en une, donc celui-ci mérite bien de remonter.
GM envoyait toutes les données télématiques vers un grand cluster de données les traitant à l’échelle de 100 Gbit/s, et lorsque Cisco proposerait la prise en charge du 400 Gbit/s, le volume de données devait doubler.
L’objectif initial était d’aider à estimer le prix des voitures d’occasion, et je trouvais l’intention valable en soi, donc je la soutenais, mais je ne savais pas que ces données seraient vendues à des courtiers en assurance — même si, en réalité, j’aurais dû m’y attendre.
Maintenant, la boîte de Pandore est ouverte, et ils ne reviendront pas sur cette fonctionnalité. Ils paieront des amendes, offriront un opt-out à certains utilisateurs, mais seuls environ 5 % le choisiront réellement, et dans 10 ans il sera considéré comme normal que les assureurs surveillent les habitudes de conduite.
Dix ans se sont écoulés depuis la polémique sur la vente des données de localisation en temps réel, et hier soir encore j’ai vu l’adresse IP de mon domicile signaler ma position avec une précision de 0,25 mile. J’imagine que le chèque de 5 dollars reçu de Verizon correspondait à cette amende.
Ces entreprises doivent avoir l’habitude d’opérer dans l’ombre, oubliées de tous ; le simple fait que davantage de gens demandent leurs rapports pourrait déjà être un petit signal indiquant qu’elles sont surveillées.
Je suis très curieux de savoir si quelque chose a été signalé depuis ma voiture, alors que je n’utilise ni fonctionnalités supplémentaires ni abonnement mensuel.
Si l’on déteste vraiment que LexisNexis collecte ce genre de données, ou si l’on veut surveiller en continu son dossier de crédit, je me demande s’il y a une raison de ne pas lancer un script qui demande chaque jour un rapport par courrier. Je ne sais pas combien coûte chaque envoi postal, mais 365 courriers ne doivent pas être bon marché.
Les accusations portent grosso modo sur trois points : violation du Fair Credit Reporting Act (FCRA), pour avoir partagé et déclaré de manière inappropriée les données de conduite du plaignant sans consentement, affectant sa capacité à souscrire une assurance automobile et le montant de ses primes ; violation du Florida Deceptive and Unfair Trade Practices Act, pour avoir partagé des données personnelles de conduite sans que le propriétaire du véhicule le sache ou y consente ; et, au regard de la common law de Floride, atteinte à la vie privée, car le suivi, la collecte et le partage sans consentement constituent une intrusion dans la vie privée et sont offensants.
Dans les prochaines années, on va découvrir à quel point les courtiers en données — et en fait presque toutes les grandes entreprises — se livraient à des pratiques déplaisantes.
Depuis qu’un endroit a fait une erreur et que mon numéro personnel a circulé, chaque fois que je reçois un appel de spam, j’exige qu’on me dise d’où viennent les informations. Au début, ils éludent avec « notre équipe data », mais si l’on insiste, ils finissent par le dire.
Ces sociétés de négoce de données sont vraiment répugnantes
Le suivi via le réseau cellulaire ne s’arrête jamais, mais en cas d’urgence, si vous ne payez pas l’abonnement, ils n’appelleront pas les secours à votre place
Au bout du compte, ça veut dire que tes données comptent plus que toi
J’ai été ciblé par des agences gouvernementales pendant des années, et comme j’ai aussi des connaissances techniques, j’ai vu comment ce genre d’atteinte à la vie privée et de contrôle est réellement utilisé. Beaucoup de choses auraient été impossibles sans la technologie ou Internet
C’est un problème bien plus vaste que le simple fait de renoncer à son téléphone. C’est littéralement un État de surveillance : même si l’on quitte les villes transformées en prisons de béton pour aller en banlieue, chaque maison a sa caméra de sonnette, à laquelle les forces de l’ordre peuvent accéder
Il n’est même pas forcément nécessaire d’avoir une décision de justice ou un mandat pour abuser de tout cela et l’utiliser comme arme contre certaines personnes. Avec les bonnes personnes et un récit plausible, les entreprises font toutes sortes de choses, même à leurs clients
Même si vous retirez la carte SIM et désactivez tant bien que mal jusqu’aux services d’urgence, le téléphone continue d’émettre des signaux, et divers scanners les collectent
Presque personne n’accepte même l’idée que cela se produise à grande échelle, et encore moins de gens sont capables d’en mesurer correctement les implications. Le public devrait être mieux informé de toutes ces conséquences
Ça marche plutôt bien
GM semble vraiment faire beaucoup d’efforts pour ne plus recevoir mon argent à l’avenir
Après avoir supprimé la prise en charge de CarPlay et Android Auto dans ses nouveaux véhicules électriques, voilà maintenant ça. C’est juste nul
Ils produisent à la chaîne des boîtes en plastique sans inspiration et essaient de soutirer sans cesse de petites sommes à leurs clients. À mon avis, les constructeurs étrangers ont pris une avance totale
J’ai grandi dans une famille du secteur automobile et j’étais très fidèle aux Big 3, mais j’ai commencé à éviter leurs voitures. Elles peuvent durer longtemps, mais elles finissent par tomber en panne un peu partout
Cette petite fonction a créé une confusion incalculable dans les parkings du monde entier
https://www.reddit.com/r/cars/comments/rshlke/why_do_gm_vehi...
La plupart de leurs marques ne sont plus que l’ombre d’elles-mêmes, surtout Cadillac, et je ne me souviens pas de la dernière fois où j’ai vu une Chevy qui me plaisait
Il faut voter avec son portefeuille. Si vous prenez mes données sans permission, vous perdez aussi ma clientèle
Les voitures japonaises, allemandes et, dans une certaine mesure, coréennes sont bien meilleures, et si vous voulez un pick-up, Ford est nettement meilleur
Il faut désactiver la télématique et, si possible, couper physiquement l’alimentation de la puce modem
Traitez-moi de complotiste si vous voulez, mais quand on pense au rachat de 23andMe par un assureur, il y a beaucoup de parallèles avec les problèmes d’assurabilité qui apparaissent quand des données d’un côté passent de l’autre sans opt-in clair
DCSqui coupe l’alimentation du modemD’après un e-mail reçu de GM, les abonnés à OnStar Smart Driver ne peuvent pas refuser le partage de données
À mon avis, cela viole au minimum la réglementation californienne sur la vie privée, et probablement aussi les lois d’autres États. Ces règles imposent un opt-out. J’ai vraiment envie d’arracher le modem de la voiture
En particulier, le lien “Do Not Sell or Share My Personal Information” est obligatoire
https://oag.ca.gov/privacy/ccpa#sectionh
https://oag.ca.gov/contact/consumer-complaint-against-busine...
Le coût de la collecte et du stockage de données personnelles devrait devenir absurdement élevé
LexisNexis savait exactement ce qu’ils faisaient, et ils ont probablement déjà intégré les coûts de contentieux dans le prix du produit
Experian aurait dû recevoir, après avoir divulgué toutes ces données, une amende suffisamment lourde pour faire disparaître l’entreprise. Son bûcher funéraire aurait servi d’avertissement aux entreprises tentées de suivre le même chemin
J’aimerais qu’il existe pour les données générales une loi comme la HIPAA
L’une des raisons pour lesquelles j’ai récemment acheté une Toyota, c’est qu’aussitôt après l’achat, je pouvais appuyer sur le bouton « SOS » dans la voiture pour demander la désactivation de la télématique.
Je ne sais pas si la collecte des données de localisation a réellement cessé, ni si elle peut être réactivée arbitrairement plus tard, donc j’ai aussi retiré le fusible qui alimente l’émetteur. Par précaution, j’envisage même d’envelopper certains composants dans une cage de Faraday.
Quand je choisissais une voiture neuve, la possibilité d’empêcher la voiture de me surveiller figurait presque tout en haut de ma liste de fonctionnalités souhaitées. C’est l’une des grandes raisons qui m’empêchent d’acheter à nouveau une voiture électrique.
À ma connaissance, sur le marché où je vis, il n’existe pas de voiture qui ne surveille pas en permanence, ou qui offre une option pour désactiver cette surveillance.
Cet article de Mozilla vaut aussi la lecture : https://foundation.mozilla.org/en/privacynotincluded/article...
Je veux juste une voiture « bête » avec une batterie à la place de l’essence.
Une connaissance possède le modèle japonais du monospace électrique Mitsubishi, et c’est ce que j’ai vu de plus proche jusqu’ici d’une parfaite « voiture électrique bête ». Elle se conduit très bien aussi. En revanche, ils ne fabriquent toujours pas de modèle 4x4, important dans les régions froides et enneigées.
Les véhicules vendus dans le Massachusetts sont désactivés par défaut en signe de protestation contre la loi de l’État sur le « droit à la réparation », et ailleurs on peut la désactiver soi-même.
À moins que Toyota ne mente ouvertement, j’étais relativement convaincu d’avoir opt-out. Pour en être sûr, il faudrait que je demande mes données.
J’ai lu les documents de Mozilla et des forums automobiles au sujet des questions de confidentialité et de la possibilité d’activer/désactiver la télématique, mais je n’arrive pas à savoir si la collecte s’arrête réellement.
Je serais curieux de savoir s’il existe un lien indiquant quel fusible physique vous avez retiré.
En le retirant, on peut se débarrasser de la télématique. Cela dit, moi, je vais continuer à conduire ma Lexus de 24 ans.
Il nous faut une Déclaration des droits à la vie privée.
En réalité, aucune autre approche ne fonctionne.