Sanction de 175 000 euros à l’encontre de la société UBEEQO en raison des modalités de collecte et d’usage des données de géolocalisation

Les nouveaux usages des données de géolocalisation dans le cadre des mobilités figuraient parmi les thématiques prioritaires de contrôles de la CNIL en 2020[1]. En effet, l’utilisation de données de géolocalisation soulève de potentiels risques d’atteinte à la vie privée, dans la mesure où les points collectés révèlent des habitudes de vie et des préférences. Selon le G29, ce type de données met en jeu la liberté de circulation, qui se trouve être un droit fondamental.

La décision SAN-2022-015 du 7 juillet 2022[2] porte sur la proportionnalité des données collectées, les durées de conservation et les informations délivrées aux personnes.

La société UBEEQO INTERNATIONAL est spécialisée dans la location de voitures en libre-service pour particuliers et professionnels[3] via une plateforme (application ou site internet).

La CNIL a décidé d’opérer un contrôle entre mai et juin 2020, qui fut d’abord réalisé en ligne, puis au moyen de l’envoi d’un questionnaire. Le 22 octobre 2021, un rapport détaillant les manquements au RGPD a été notifié à la société UBEEQO. Classiquement, la délibération de la CNIL commence par justifier sa qualité d’autorité chef de fil et par qualifier la société UBEEQO de responsable de traitement, avant de détailler les manquements majeurs au RGPD.

  1. Minimisation des données

Le contrôle de la CNIL a permis de déterminer que la collecte des données de géolocalisation avait lieu automatiquement tous les 500 mètres, lorsque le moteur s’allumait ou s’éteignait, et lorsque les portières s’ouvraient ou se fermaient. Les équipes opérationnelles disposaient également d’un bouton permettant de rafraîchir la position du véhicule et de le localiser en temps réel. UBEEQO justifiait ces collectes comme nécessaires aux trois finalités suivantes : gestion de flotte et des contrats de location (maintenance/performance), traçabilité lors de vols de véhicules, et assistance en cas d’accident.

Conformément à l’article 5.1.c du RGPD, la commission restreinte a réalisé une analyse de la proportionnalité des collectes et traitements vis-à-vis du principe de minimisation des données via 3 axes principaux correspondant aux finalités précédemment énoncées.

Le point de départ du raisonnement de la rapporteure est clair : « aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un véhicule. »

Concernant la gestion de flotte et des contrats de location par UBEEQO, la CNIL a estimé qu’une collecte tous les 500 mètres sur l’ensemble de la période de location n’était ni nécessaire, ni justifiée, contrairement à une collecte en début et fin de location seulement, qualifiée de suffisante. Elle a indiqué que la collecte de la donnée de géolocalisation au moment où le moteur est éteint et le véhicule verrouillé associé à l’heure estimée de fin de location permettait de constater la fin d’un contrat.

Pour ce qui est de la lutte contre le vol de véhicule, la CNIL a confirmé la position de la rapporteure selon laquelle la collecte de données ne pouvait intervenir qu’après un fait générateur (déclaration de vol) et non en continu.

Selon le considérant 39 du RGPD, « les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens ». Or des moyens moins intrusifs existent comme l’a suggéré la CNIL, notamment du fait que dans 40% des cas, le locataire est en mesure d’indiquer à la société le dernier endroit où il a laissé le véhicule.

Dans les cas où le locataire est responsable du vol, la CNIL a précisé que la société disposait des coordonnées et de l’identité de son client et qu’elle avait la possibilité d’activer la géolocalisation à distance. Concernant la prévention des vols, le CNIL s’est étonnée que la société ne demande pas de dépôt de garantie (en effet dissuasif, mais peu aisée d’un point de vue « expérience client »).

Enfin, l’assistance en cas d’accident exige elle aussi, selon la CNIL, un fait générateur permettant d’avoir connaissance de la survenance d’un accident et de justifier l’activation de la géolocalisation dans un but d’assistance. La CNIL sous-entend que la société doit attendre d’avoir connaissance de l’accident pour activer la géolocalisation. En réponse, la société UBEEQO a soutenu qu’elle aimerait également être en mesure de porter secours aux personnes dans l’impossibilité de solliciter l’assistance. La CNIL a alors reconnu la légitimité de cet objectif mais a considéré qu’une géolocalisation tous les 500 mètres de tous les utilisateurs restait exagérée.

2. Limitation de la conservation

La politique de conservation des données de la société UBEEQO prévoyait une conservation pendant toute la durée de la relation commerciale + 3 ans.

Le contrôle a permis de confirmer que les données de géolocalisation étaient, en général, conservées en base active durant trois ans à compter de la date de dernière activité de l’utilisateur.

La CNIL a toutefois considéré que chaque contrat de location était distinct et que rien ne justifiait que l’ensemble des données de chaque compte-client, y compris les données de géolocalisation, soit conservé aussi longtemps.

Concernant les données liées à un vol ou à un accident, elles « peuvent être conservées par la société, notamment en vertu d’obligations légales ou pour se constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable. Ces données doivent cependant faire l’objet d’un tri puis être conservées dans une base d’archivage dédiée, distincte de la base active, pour une durée liée aux finalités recherchées. En outre, le point de départ de la durée de conservation de ces données doit être lié aux situations et événements justifiant la collecte de ces données et ne saurait, en l’espèce, dépendre de manière mécanique et systématique de la fin de la relation commerciale avec le client. »

De plus, la CNIL a identifié, vis à- vis de la société UBEEQO, un non-respect de sa propre politique de conservation de données, notamment en trouvant dans ses systèmes d’information des données d’utilisateurs inactifs depuis plus de 8 ans.

Au cours du contrôle, UBEEQO a modifié sa pratique : désormais chaque donnée de géolocalisation remplace la précédente, permettant ainsi de ne plus détenir un historique d’une durée excessive, seulement une dernière position.

3. Transparence

Lors du contrôle en ligne du 26 mai 2020, la CNIL a constaté que, pour s’inscrire, un utilisateur devait renseigner ses prénom, nom, date de naissance et coordonnées sur un formulaire d’inscription, contenant un lien renvoyant vers les conditions générales d’utilisation. Dans ce document, se trouvait un lien vers la politique de confidentialité de la société, dans laquelle étaient présentées les informations prévues par l’article 13 du RGPD.

La commission a regretté l’absence de lien renvoyant à la politique de confidentialité au niveau du formulaire d’inscription. En effet, d’après les lignes directrices du 11 avril 2018 du G29 relatives au principe de transparence[4], le caractère aisément accessible de l’information ne doit pas impliquer de recherches actives parmi d’autres informations telles que les CGU mais un accès immédiat.

Par conséquent, la Commission a condamné le fait que plusieurs clics soient nécessaires rendant l’accès aux informations ni simple, ni direct, alors que la transparence et la simplicité d’accès sont d’autant plus essentielles lors de collecte de données de géolocalisation.

En définitive, entre défaillances multiples particulièrement graves et nature particulière des données de géolocalisation, la CNIL a prononcé une amende de 175.000 euros.

Ce montant nous semble faible, mais n’a pas été contesté par les autres autorités européennes ayant eu accès au projet de décision. Pourtant, le CEPD décrit, dans ses lignes directrices du 9 mars 2021 relatives aux véhicules connectés et applications de mobilité[5], les données de localisation comme des données particulièrement révélatrices des habitudes de vie des personnes concernées (lieu de travail, domicile, loisirs/centres d’intérêts jusqu’à dévoiler des informations sensibles comme la religion via les lieux de cultes ou l’orientation sexuelle via les lieux fréquentés). De ce fait, bien que les données de géolocalisation ne soient pas caractérisées comme sensibles au sens de l’article 9 du RGPD, elles sont tout de même considérées comme hautement personnelles[6]. La société UBEEQO aurait donc dû savoir qu’elle ne pouvait pas collecter autant de données en continu. Les manquements relevés par la CNIL posaient un réel problème de respect de la vie privée et il est étonnant qu’aucune analyse d’impact ne soit mentionnée dans cette délibération.

Charlotte GALICHET

Emma LAFARGE


[1] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046070924?init=true&page=1&query=%2A&searchField=ALL&tab_selection=cnil

[2] https://www.cnil.fr/fr/geolocalisation-de-vehicules-de-location-sanction-de-175-000-euros-lencontre-dubeeqo-international

[3] Seule la partie concernant les particuliers a fait l’objet du contrôle

[4] Lignes directrices G29 du 11 avril 2018, pages 8-9, accessible à : https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf

[5] Lignes directrices CEPD 01/2020 du 09 mars 2021, page 17, accessible à :

https://edpb.europa.eu/system/files/2021-08/edpb_guidelines_202001_connected_vehicles_v2.0_adopted_fr.pdf

[6] Lignes directrices CEPB du 04 octobre 2017, page 11, accessible à : https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

Bookmark the permalink.

Comments are closed