Dans une délibération du 6 juillet 2022, la CNIL a prononcé une sanction de 175 000 euros à l’encontre de la société UBEEQO, notamment pour manquement au principe de minimisation.
La CNIL avait fait du contrôle des « nouveaux usages des données de géolocalisation » une priorité dans sa thématique de contrôle de 2020.
En effet, la CNIL rappelle que les données de géolocalisation sont des données « hautement personnelles », et même « sensibles au sens commun du terme »[1].
Les données de géolocalisation doivent donc être traitées avec une attention particulière, en tenant compte de l’intrusion importante dans la vie privée que leur traitement engendre pour les personnes concernées.
C’est dans ce contexte que l’autorité de contrôle a engagé un contrôle en ligne à l’encontre de la société UBEEQO, qui propose des services de location de véhicules pour des courtes durées.
Il ressort de ce contrôle qu’au cours de la location d’un véhicule, la société UBEEQO collectait automatiquement les données de géolocalisation du véhicule loué tous les 500 mètres, mais aussi lorsque le moteur du véhicule était allumé ou coupé et lorsque les portes de la voiture s’ouvraient et se fermaient. Les équipes opérationnelles de l’entreprise pouvaient également utiliser un bouton permettant de rafraîchir la position du véhicule pour le localiser en temps réel.
Ces traitements étaient mis en œuvre pour trois finalités distinctes : assurer la maintenance et la performance du service, retrouver le véhicule en cas de vol et porter assistance aux clients en cas d’accident.
Le traitement des données de géolocalisation doit être limité au strict nécessaire
A l’occasion de son contrôle, la CNIL a vérifié si la collecte des données de géolocalisation était « adéquate, pertinente et strictement nécessaire » au regard des objectifs fixés par le responsable de traitement, conformément au principe de minimisation[2].
La CNIL a estimé que toutes les finalités pouvaient être atteintes par des moyens alternatifs moins intrusifs, et parfois plus appropriés.
A titre d’exemple, UBEEQO expliquait que la géolocalisation des véhicules en cours de location était indispensable pour gérer sa flotte de véhicules et le respect des conditions d’utilisation, notamment anticiper la restitution des véhicules et s’assurer que l’utilisateur était resté dans une zone autorisée.
La CNIL a estimé à l’inverse que « la collecte des données de géolocalisation du véhicule tout au long du trajet (…) n’est pas nécessaire » pour atteindre ces finalités.
La géolocalisation lors de l’allumage ou la coupure du moteur était suffisante pour connaître le début et la fin des locations.
Par ailleurs, la CNIL a estimé qu’il n’était pas indispensable de géolocaliser en quasi-permanence les véhicules pour veiller au respect des conditions d’utilisation, comme le respect de l’interdiction de circuler dans des zones non autorisées, la preuve d’un tel manquement pouvant être rapporté par d’autres moyens moins intrusifs.
En matière de vol, la CNIL reconnaissait qu’effectivement, connaître la dernière position du véhicule avant qu’elle ne soit volée pouvait être utile. Pour autant, la collecte des données de géolocalisation n’est pas strictement nécessaire pour atteindre l’objectif poursuivi de prévention et de lutte contre les vols : d’autres moyens de sécurité auraient pu être envisagés, comme le recours à un dépôt de garantie.
De même en cas d’accident : pour la CNIL, la collecte de données de géolocalisation pour porter assistance à un utilisateur ne devrait intervenir qu’à compter d’un fait générateur, telle qu’une demande d’assistance par le client, rendant cette collecte nécessaire. Elle a donc considéré que la collecte quasi permanente des données de géolocalisation avant la survenance du fait générateur, qu’il s’agisse d’une déclaration de vol ou d’une demande d’assistance, était excessive.
Des manquements à l’obligation de définir et respecter des durées de conservation proportionnées et à l’obligation d’informer les personnes concernées
Outre ce manquement au principe de minimisation, la CNIL a relevé que les données de géolocalisation étaient conservées pendant toute la durée de la relation commerciale – laquelle peut comprendre plusieurs locations –, puis trois ans après la fin de la location du dernier véhicule.
La CNIL a considéré, d’une part, que le point de départ de ce délai était inadapté au regard des finalités de gestion des contrats, de lutte contre les vols et d’assistance aux utilisateurs. Ces finalités ne concernant pas la relation commerciale dans son ensemble mais chaque location de véhicule, le délai de conservation devait courir à partir de la fin de chaque contrat de location.
D’autre part, la CNIL que la durée de conservation de trois ans était excessive au regard des finalités précitées, les données n’étant plus nécessaires à partir de la restitution du véhicule (pour la finalité de gestion du contrat), de l’élucidation du vol (pour la finalité de lutte contre ceux-ci), ou de l’accomplissement du service d’assistance (pour la finalité d’aide aux utilisateurs).
Par ailleurs, la CNIL a relevé que des données d’utilisateurs inactifs depuis huit ans étaient toujours présentes dans les bases de données de la société, qui n’appliquait pas rigoureusement sa propre politique de conservation des données.
Enfin, la CNIL a constaté que les informations pertinentes relatives au traitement de données mis en œuvre par la société UBEEQO étaient difficilement accessibles, ce qui a été corrigé en cours de procédure.
Ces trois manquements à des principes fondamentaux et élémentaires du RGPD ont justifié une sanction de 175 000 euros à l’encontre de la société UBEEQO, et la publicité de la décision.
Lire la délibération de la formation restreinte de la CNIL n°SAN-2022-015 du 7 juillet 2022
[1] Les « données sensibles » sont définies à l’article 9 du RGPD et n’incluent pas les données de géolocalisation. Les données sensibles au sens du RGPD font l’objet d’un régime spécifique.
[2] Article 5 c) du RGPD : « Les données à caractère personnel doivent être (…) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) »
