Le 16 mars 2023, la CNIL a sanctionné la société CITYSCOOT qui propose un service de location de scooters en libre-service.
L’autorité lui reproche principalement de porter atteinte de façon disproportionnée à la vie privée de ses clients, en géolocalisant les scooters de manière quasi-permanente.
Cette décision s’inscrit dans le cadre des contrôles prioritaires que la CNIL a mené en 2020 au sujet des services de géolocalisation.
Il y a moins d’un an, la CNIL avait également sanctionné la société UBEEQO de location de véhicules de courte durée pour des faits similaires.
S’agissant de la société CITYSCOOT, la CNIL a relevé que les scooters étaient géolocalisés toutes les 30 secondes, lors d’une location.
Les données GPS, des données hautement personnel
La CNIL rappelle que les données de géolocalisation sont considérées comme étant des « données à caractère hautement personnel », ce qui les assimile – peu ou prou – à des données sensibles. En effet, « la collecte des données de localisation met en jeu la liberté de circulation ».
Elle cite également les travaux du CEPD dont les lignes directrices 01/2020 relatives aux traitements relatifs aux véhicules connectés avaient fait ressortir que :
« les données de localisation sont particulièrement révélatrices des habitudes de vie des personnes concernées. Les trajets réalisés sont très caractéristiques en ce qu’ils peuvent permettre de déduire le lieu de travail, le domicile ainsi que les centres d’intérêt (loisirs) du conducteur, et peuvent éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés. Par conséquent, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient particulièrement veiller à ne pas collecter de données de localisation, à moins que cela ne soit absolument nécessaire pour la finalité du traitement. »
Cette position s’inscrit dans la continuité de la décision UBEEQO dans laquelle c’est la géolocalisation tous les 500 mètres des véhicules qui était reprochée au responsable de traitement.
Principe de minimisation : faire « sans » ou « avec moins »
La société CITYSCOOT se prévalait de plusieurs finalités justifiant, selon elle, la collecte toutes les trente secondes de la géolocalisation des deux roues loués :
- traiter les infractions au code de la route ;
- traiter les réclamations de ses clients dont celles liées à la surfacturation ;
- venir en aide aux clients, en appelant les secours en cas de chute ;
- gérer les sinistres et les vols.
Toutefois, la CNIL va retenir un manquement à l’obligation de veiller à l’adéquation, à la pertinence, au caractère non excessif des données à caractère personnel traitées. En bref, selon l’autorité, le principe de minimisation n’a pas été respecté par CITYSCOOT.
Pour chaque finalité déclarée, la CNIL va expliquer qu’une localisation toutes les 30 secondes n’est pas nécessaire pour répondre aux objectifs poursuivis par le responsable de traitement.
A titre d’exemple, s’agissant de la gestion des infractions routières, la CNIL considère que la date et l’heure du début et de fin de la location suffit à identifier le client responsable de l’infraction routière.
Plus intéressant encore, la CNIL considère que s’agissant de la gestion des sinistres et des vols : « avant tout fait générateur, les données de géolocalisation des scooters ne peuvent pas, en principe, être considérées comme nécessaires à la poursuite de cette finalité et leur collecte en permanence ou de manière très rapprochée doit être considérée comme excessive ».
Elle considère – comme le CEPD – que :
« les données de localisation ne peuvent être remontées qu’à partir de la déclaration de vol et ne sauraient être collectées en continu le reste du temps ».
De sorte que :
« le fait de procéder systématiquement à cette collecte, pour les cas d’usages où elle pourrait être effectivement utile sur le fondement de l’intérêt légitime de la société, apparaît porter une atteinte disproportionnée à la vie privée. »
La CNIL condamne la société CITYSCOOT a une amende de 125 000 €, au titre du manquement à la minimisation des données mais également à l’obligation d’encadrer la sous-traitance RGPD par contrat et d’informer et recueillir le consentement des utilisateurs avant de déposer des cookies sur leurs appareils.
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat. Elle est provisoire à la date de cette publication.
Nos conseils
✅ Les données de géolocalisation sont des données à caractère hautement personnel, qui peuvent révéler des habitudes ou informations sensibles sur les personnes tracées.
✅ Le principe de minimisation doit être pris en compte lors de la conception d’un traitement dit de « mobilité », afin de s’assurer que la géolocalisation est « inévitable », pertinente et non excessive.
✅ Une analyse d’impact sur la protection des données (AIPD/PIA) devra être réalisée dans la majorité des cas, avant de mettre en œuvre le traitement.
✅ Le traitement de données de géolocalisation devrait vous conduire à (ré)évaluer l’obligation légale pour votre organisation de désigner un délégué à la protection des données (DPO).
*
Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit des données personnelles depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com.