Le procureur général de Californie, **Rob Bonta**, a annoncé un accord de règlement de 12,75 millions de dollars avec **General Motors (GM)** suite à des allégations selon lesquelles l'entreprise aurait violé le **California Consumer Privacy Act (CCPA)**. ### Collecte et vente de données Les violations découlent d'accusations selon lesquelles le constructeur automobile aurait illégalement collecté et vendu les données de conduite et de localisation des résidents californiens à des courtiers en données, **Verisk Analytics** et **LexisNexis Risk Solutions**, entre 2020 et 2024. L'enquête a été lancée en 2024, suite à des articles de presse mettant en lumière la pratique des constructeurs automobiles, y compris **GM**, consistant à partager les données de comportement des conducteurs avec les compagnies d'assurance. Les données auraient été collectées via la filiale **OnStar** de **GM** et son système "Smart Driver", prétendument pour des produits de notation des conducteurs liés à l'assurance. ### Examen antérieur par la FTC **GM**, propriétaire de marques telles que GMC, Cadillac, Chevrolet et Buick, avait déjà fait l'objet de critiques de la part de la **U.S. Federal Trade Commission (FTC)** pour des pratiques de collecte de données similaires. La **FTC** avait même interdit à **GM** de vendre les données de localisation des conducteurs pendant cinq ans. Les autorités californiennes ont déclaré que **GM** n'avait pas suffisamment informé les consommateurs ni obtenu leur consentement pour cette collecte de données. De plus, l'entreprise aurait conservé les données plus longtemps que nécessaire, les réutilisant pour la vente et générant ainsi 20 millions de dollars à l'échelle nationale. ### Déclarations officielles "**General Motors** a vendu les données des conducteurs californiens sans leur connaissance ni leur consentement, et ce, malgré de nombreuses déclarations rassurant les conducteurs qu'elle ne le ferait pas", a déclaré le procureur général **Rob Bonta**. "Cette mine d'informations comprenait des données de localisation précises et personnelles qui pouvaient identifier les habitudes et les déplacements quotidiens des Californiens." ### Amende record et minimisation des données Les 12,75 millions de dollars de pénalités civiles représentent un record dans l'histoire de la Californie et constituent la première action d'application axée sur les règles de minimisation des données. ### Termes du règlement En plus de l'amende, **GM** est tenu de : * Cesser de vendre les données de conduite aux agences de reporting consommateur et aux courtiers pendant cinq ans. * Supprimer les données de conduite conservées dans les 180 jours, sauf si les consommateurs y consentent explicitement. * Demander à **LexisNexis** et **Verisk** de supprimer les données qu'ils ont précédemment reçues. * Mettre en œuvre un programme de conformité de la confidentialité plus robuste et soumettre des évaluations régulières aux régulateurs. Les responsables ont précisé que les conducteurs californiens n'avaient probablement pas subi d'augmentation de leurs primes d'assurance en raison des ventes de données de **GM**, grâce aux lois de l'État interdisant aux assureurs d'utiliser les données de conduite pour fixer les tarifs. BleepingComputer a contacté **GM** pour obtenir un commentaire, mais n'avait pas reçu de réponse au moment de la publication. ### Réponse de GM Mise à jour 12/05 - Un porte-parole de **GM** a envoyé à BleepingComputer le commentaire suivant : "Cet accord concerne Smart Driver, un produit que nous avons arrêté en 2024, et renforce les mesures que nous avons prises pour renforcer nos pratiques de confidentialité. La connectivité des véhicules est essentielle à une expérience de conduite moderne et sûre, c'est pourquoi nous nous engageons à être clairs et transparents avec nos clients sur nos pratiques et les choix et le contrôle qu'ils ont sur leurs informations."  ## [99% de ce que Mythos a trouvé est toujours non corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle le cycle de remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)