Dans le cadre de son contrôle du service de géolocalisation opéré par la société Cityscoot, la CNIL, Commission Nationale de l’Informatique et des Libertés, a sanctionné à hauteur de 125 000 euros la société le 16 mars 2023 pour atteinte disproportionnée à la vie privée de ses clients en accord avec les autorités de protection des données espagnole et italienne, les services de la société étant proposés également dans ces pays. 

Cityscoot, service de location de courte durée de véhicules automobiles en libre-service, est une société européenne proposant ses prestations de service à un public large dans les villes de Paris, Milan et Turin. 

Dans un soucis de respect de ses obligations légales et réglementaires, Cityscoot recueille les données personnelles de ses clients notamment lors de la collecte des données relatives à la géolocalisation du véhicule loué toutes les intervalles de 30 secondes. Ces données sont collectées et conservées par Cityscoot. 

Dans la délibération rendue par la formation restreinte de la CNIL, la société a violé plusieurs dispositions du Règlement Général sur la Protection des Données (« RGPD »).

1- La décision rendue par la CNIL à l’encontre de la société Cityscoot

D’abord sur son manquement à l’article 5.1.c du RGPD relatif à l’obligation de veiller à la minimisation des données, l’objectif de la collecte des données de géolocalisation par Cityscoot ne justifiait en rien, selon la décision rendue par la CNIL, une collecte de données personnelles des utilisateurs. 

Les données collectées par Cityscoot dans ce cadre sont : le traitement des infractions au code de la route, le traitement des réclamations clients, le support aux utilisateurs (afin d’appeler les secours en cas de chute d’un utilisateur) et la gestion des sinistres et des vols. 

Ensuite sur son obligation d’encadrer les traitements effectués par un sous-traitant par un contrat, la société Cityscoot a violé l’article 28.3 du RGPD en ce qu’elle ne prévoyait pas l’intégralité des mentions prévues par le Règlement dans ses contrats avec ses sous-traitants. 

Enfin, Cityscoot a violé son obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel dicté à l’article 82 de la loi Informatique et Libertés.

En ce sens, certaines données personnelles de l’utilisateur sont transmises à Google pour analyse sans en informer au préalable l’utilisateur ni lui demander son consentement.

2- La nécessaire mise en conformité des entreprises au RGPD

a. La minimisation des données

Lorsqu’une société collecte des données personnelles, ces dernières doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » selon l’article 5.1.c du RGPD.

En ce sens, Cityscoot a été sanctionnée par la CNIL estimant que la géolocalisation par le biais d’un boitier GPS toutes les 30 secondes du véhicule en route est une mesure disproportionnée par rapport aux finalités avancées par la société. 

D’ailleurs, la CNIL préconise une collecte des données de position au début et à la fin de la location, ce qui serait, selon elle, plus pertinent au regard des finalités que la société souhaite poursuivre. 

Dans un soucis de minimisation des données, principe imposé par l’article 5.1.c du RGPD, les sociétés, opérant un traitement des données personnelles de leur client en leur qualité de responsable de traitement, ne doivent traiter que les données nécessaires au traitement, ce qui ne serait pas le cas pour la société Cityscoot.  

En définitive, la collecte de données par la géolocalisation des véhicules porte une atteinte disproportionnée à la vie privée des utilisateurs.

b. L’encadrement des traitements opérés par les sous-traitants

Lorsqu’un sous-traitant effectue le traitement des données personnelles des utilisateurs pour le compte du responsable de traitement, un contrat doit être établi entre le sous-traitant et le responsable de traitement. 

Conformément à l’article 28.3 du RGPD, certaines mentions obligatoires doivent être prévues au contrat. 

Cityscoot n’avait manifestement pas respecté cette obligation et plusieurs mentions obligatoires manquaient dans plusieurs de ses contrats avec ses sous-traitants notamment :

– L’obligation du sous-traitant de mettre à disposition du responsable de traitement toutes les informations pour démontrer le respect des obligations prévues, permettre la réalisation d’audits et contribuer à ces audits ;
– L’obligation de prévoir une procédure de suppression ou de renvoi des données à caractère personnel du sous-traitant au responsable de traitement à échéance du contrat ;
– L’objet du traitement ou encore sa durée ;
– La mention de la catégorie de personnes concernées par le traitement. 

Lorsque ces mentions obligatoires ne figurent pas au contrat entre sous-traitant et responsable de traitement, une sanction est encourue par le responsable de traitement. 

La société Cityscoot a en partie été sanctionnée pour le défaut de mentions obligatoires prévues à l’article 28.3 du RGPD.

c. L’information de l’utilisateur et le recueillement de son consentement pour le traitement de ses données personnelles

Par principe, la loi du 6 janvier 1978 impose que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète par le responsable du traitement ou son représentant ». 

En clair, tout responsable de traitement a une obligation d’information envers ses abonnés. 

En l’espèce, il est reproché à la société Cityscoot, qui a eu recourt au mécanisme de reCaptcha permettant d’identifier que l’utilisateur n’est pas un robot, d’avoir collecter les informations matérielles et logiciels de ses utilisateurs avant de les transmettre à la société Google pour analyse. 

De toute évidence, les utilisateurs n’ont pas été informés au préalable du recueil de leurs données personnelles ni n’ont consenti à la collecte et le partage de leur données avec Google. 

En définitive, le consentement de l’utilisateur doit être libre et éclairé ; libre en ce qu’il ne doit être pas être obtenu sous la contrainte et éclairé en ce que la personne doit avoir été préalablement informée des actes dont elle va faire l’objet et de leur conséquence. 

Cityscoot a informé, lors de la décision prise par la CNIL, ne plus avoir recours à ce mécanisme à compter d’octobre 2022 ce qui en l’espèce n’a pas été le cas et a donc été sanctionné par la CNIL. 

La CNIL a donc prononcé, le 16 mars dernier, une sanction administrative à l’encontre de la société Cityscoot pour l’ensemble des manquements qu’elle a pu constater.

En ce sens, 100.000 euros d’amende ont été alloués à la société Cityscoot au titre des manquements au RGPD et 25.000 euros d’amende au titre du manquement à la loi « Informatique et Libertés » du 6 janvier 1978. 

Voici ce qu’encourt les entreprises qui ne sont pas en conformité avec le RGPD et la loi Informatique et Libertés. 

Il est donc nécessaire pour toutes les entreprises qui traitent les informations confidentielles de leur clients ou utilisateurs de se mettre en conformité avec la réglementation européenne.