Données et cybersécurité : les bonnes pratiques pour les marques de vélos électriques

10 janvier 2023 Actualités

À l’ère du numérique, un grand nombre de données sont collectées chaque jour. En accompagnant l’utilisateur dans ses trajets quotidiens, les vélos connectés et les services qui en découlent génèrent une masse d’informations.

Véritable mine d’or, ces données permettent aux acteurs du cycle de comprendre l’utilisation qui est faite de leurs produits et de transformer ces données en services pour améliorer l’expérience à vélo. En les analysant les marques pourront affiner leur stratégie pour répondre aux attentes des cyclistes. Afin de conserver la confiance des utilisateurs et de respecter les exigences en matière de sécurité des données, il est essentiel de les protéger. 

Protection des données personnelles : que dit la loi ?

En Europe, c’est le Règlement Général sur la Protection des Données (RGPD) qui régit les actions des entreprises en ce qui concerne le traitement de données. Les attendus de ce règlement se basent sur des principes de finalité, de pertinence, de transparence et de responsabilité. Ils impactent les mécaniques digitales et usages pour les acteurs du cycle.   

Marques de vélos, quelles données pouvez-vous collecter ?

La typologie de données personnelles collectées dépendra de l’objectif donné à la collecte : c’est le principe de finalité et de pertinence. Les marques sont autorisées à collecter des données personnelles dans un but commercial, cependant celles-ci devront être en accord avec son activité et la finalité de la collecte. Une donnée à caractère personnel est une information relative à une personne physique permettant de l’identifier. Ainsi, des données anonymisées ne sont plus considérées comme tel.

Dans cette mesure des données comme le nom, le prénom, l’âge ainsi que les habitudes d’utilisations de vos produits pourront être collectées car elles vous permettront de tisser un lien avec vos cyclistes. A contrario des données dites sensibles comme les opinions politiques ou les informations de sécurité sociale ne le pourront pas.   

Le cycliste : un utilisateur avant tout

Le cycliste est avant tout un utilisateur dont on doit respecter les droits. Ainsi, avant de prétendre à tout traitement, les marques doivent s’assurer d’avoir le consentement de leurs utilisateurs : c’est le droit d’opposition. Les utilisateurs doivent donner leur autorisation pour que leurs données soient traitées.  Pour cela, les marques doivent en toute transparence indiquer la nature, la finalité et le commanditaire de la collecte. Elles doivent également indiquer si les données collectées seront partagées avec des partenaires.    

Une fois le consentement collecté, l’utilisateur dispose de droits sur ses données:   

  •  Le droit à l’oubli : Tout utilisateur peut demander que ses informations n’apparaissent pas dans votre base de données et que vous ne les utilisiez plus. 
  • Le droit d’accès et de rectification : les détenteurs des données que vous possédez doivent pouvoir les consulter et si souhaité pouvoir y apporter des modifications.   
  • Le droit à la portabilité : ce droit permet à l’utilisateur de recevoir les données qui ont été collectées sur lui afin de les réutiliser ou de les transmettre à une autre entité.  

Une obligation de sécurité pour les Marques de VAE

Selon le principe de sécurité, une fois les données collectées, les marques ont la charge d’assurer leur protection. Elles doivent garantir leur sécurité et leur confidentialité en s’assurant qu’uniquement les personnes autorisées puissent y avoir accès. Pour évaluer la pertinence de vos dispositifs de sécurité, la CNIL met à disposition l’analyse d’impact relative à la protection des données.     

Une sécurité optimale des données passe également par une politique interne rigoureuse. C’est pour cela qu’il est nécessaire pour les entreprises d’avoir les bons réflexes en matière de cybersécurité.    

La cybersécurité, un élément essentiel du traitement de données

Au-delà du coût financier, une mauvaise sécurité des données à également un coût moral pour l’entreprise, dont la crédibilité peut être impactée auprès des consommateurs. En interne, les marques peuvent mettre en place des actions auprès des collaborateurs et autour de leurs serveurs informatiques.  

Les salariés : la première ligne de cybersécurité 

Des actions simples peuvent assurer la protection des données : 

  • La formation des salariés : pour qu’une politique de cybersécurité soit efficace, il est important de former les salariés aux bons gestes tels que le verrouillage systématique de son ordinateur en quittant le poste de travail ou les bons gestes à adopter pour sécuriser ses appareils.   
  • Une classification des informations : classer les informations que votre entreprise possède permet de donner uniquement accès aux informations dont les collaborateurs ont besoin grâce à des profils utilisateurs spécifiques et adaptés à leurs missions. Ainsi, chacun pourra protéger de manière optimale les données qui sont en sa possession.   
  • Une politique rigoureuse pour les mots de passe :  Mots de passe uniques, complexes, fréquemment modifiés et communiqués uniquement aux profils concernés. 
  • L’utilisation d’un VPN professionnel : les VPN permettent d’avoir une navigation fluide et sécurisent les échanges grâce au cryptage et à l’anonymisation des utilisateurs à chaque connexion. Les collaborateurs pourront ainsi  utiliser des logiciels d’entreprises sans compromettre la sécurité des données.   

Des mesures globales pour le système informatique

Une fois les bons gestes donnés aux employés, des mesures supplémentaires doivent être prises pour renforcer la sécurité des données, éviter les cyberattaques et leurs répercussions.   

  • La protection du site : la sécurité des locaux fait également partie des bons gestes pour se prémunir des attaques. Protéger les lieux sensibles et donner des accès restreints permet de réduire les risques.
  • Une sauvegarde récurrente des données de l’entreprise : Pour éviter une perte de données complète lors de cyberattaque, il est important pour les entreprises de sauvegarder régulièrement leurs données sur des serveurs extérieurs au réseau de l’entreprise. Fonction d’archives, ceux-ci permettent d’avoir un regard rétrospectif sur les données récoltées mais également d’être réactif en cas de difficulté avec le serveur interne.   
  • Crypter les données : des données chiffrées ne pourront pas être lues sans une clé de décryptage. Cette procédure peut être appliquée entre salariés, mais également lors de communications externes de l’entreprise avec d’autres partenaires.   

La collecte de données et la cybersécurité chez Velco : transparence et co-propriété

Photo des équipes Velco pour l'année 2023

Chez Velco, nous menons en toute transparence avec nos partenaires notre politique de collecte de données et de cybersécurité.   

La sécurisation de nos produits IoT

Notre politique de cybersécurité commence avec nos produits IoT.  

  • À leur fabrication, ceux-ci sont individuellement protégés par des clés numériques récupérées directement dans nos serveurs pour éviter les intrusions.   
  • La communication de données de nos produits IoT est cryptée et configurée en liste blanche. Uniquement les personnes autorisées peuvent y avoir accès.

Des données partagées et anonymisés

Velco codétient les données collectées à partir de ses produits IoT.  Anonymisées, les données que nous collectons nous permettent d’atteindre notre finalité : proposer une expérience à vélo plus sécurisée, sereine et confortable. De ce fait les données que nous utilisons sont :  

  • Des éléments d’identification du vélo : marque, marque de la batterie, bicycode   
  • L’utilisation du vélo : distance parcourues, état du vélo, vitesse, degré d’usure de la batterie et de ses différents composant  
  • Des données via le téléphone du cycliste : localisation, version du téléphone, identifiants  

Ces données ne font pas l’objet d’un traitement commercial de notre part et sont mis à disposition de nos partenaires via une suite logicielle pour l’industrie du cycle. Nos clients, propriétaires des données liées à leurs marques ou activités, disposent d’un compte dédié, personnel et crypté pour y avoir accès.

Notre politique de traitement des données

Nous travaillons continuellement pour nous conformer aux textes en vigueur.   

  • Les données récoltées via les IoT sont conservées pendant la durée du contrat avec nos partenaires.   
  • Après suppression du compte utilisateur, nous conservons de manière pseudonymisée et cryptée, pendant 5 ans, les données en cas de litige. Une fois le délai passé, elles sont anonymisées.   

Des mesures internes pour favoriser la sécurité des données

En interne également, nous mettons en place des mesures pour la sécurité des données.  Le partenariat avec Valeo a été l’occasion pour Velco de gagner en compétences sur ce point en améliorant sa politique de protection :  

  • Des serveurs protégés : nos serveurs sont équipés de pare-feu bloquant le trafic indésirable. De plus, notre réseau est découpé en environnements spécifiques. Cela nous permet de gérer les accès des utilisateurs mais également de réduire les risques en cas d’intrusion ; le reste des informations du réseau n’étant pas accessible. À la suite de tests d’intrusions menés par Almond, nous avons  corrigé d’éventuelles ouvertures et consolidé l’ensemble de notre système.
  • Afin d’assurer la continuité de nos services, nous disposons également de serveurs miroirs afin de stocker l’information en double.  
  • Les formations internes : des sessions de formations autour de la cybersécurité sont organisées pour nos équipes. 

Dans un contexte de digitalisation de l’industrie, la gestion des données et leur sécurité peuvent être des sujets complexes, mais essentiel. Velco vous accompagne dans la compréhension de la gestion de données en ce qui concerne les vélos connectés. N’hésitez pas à nous contacter pour que nous puissions en discuter !