Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
retour
Géolocalisation de scooters en libre-service : sanction de 125 000 euros à l’encontre de CITYSCOOT
Article IT et données personnelles | 05/04/23 | 5 min. | Florence Chafiol Stéphanie Lapeyre Alexandra Antalis
La CNIL a prononcé le 16 mars dernier une amende administrative de 125 000 euros à l’encontre de la société CITYSCOOT, spécialisée dans la location de scooters électriques pour de courtes durées.
QUELS MANQUEMENTS ONT ETE CONSTATES ?
- Manquement au principe de minimisation des données (article 5.1.c du RGPD)
Les données de localisation des scooters, données considérées comme « hautement sensibles » par le CEPD et par la CNIL, étaient collectées toutes les trente secondes lors de la location d’un scooter pour (i) le traitement des infractions au code de la route, (ii) le traitement des réclamations clients, (iii) appeler les secours en cas de chute d’un utilisateur et (iv) la gestion des sinistres et des vols. La CNIL considère qu’aucune de ces finalités ne justifie la collecte de données de géolocalisation de manière quasi-permanente – elle considère qu’il s’agit d’une pratique très intrusive. En revanche, elle considère que la collecte de la donnée de position au début et à la fin de la location est pertinente dans le cadre des finalités poursuivies.
A retenir :
- Tout comme dans la délibération n°SAN-2022-015 du 7 juillet 2022 concernant UBEEQO, la CNIL considère que la géolocalisation quasi-permanente d’un utilisateur à des fins de sécurité / gestion du service est disproportionnée.
- Dès que des données de géolocalisation sont collectées, les organismes doivent prendre en compte les lignes directrices du CEPD sur le traitement des données personnelles dans le contexte des véhicules connectés, peu importe l’outil utilisé pour géolocaliser les utilisateurs.
- Concernant plus particulièrement la finalité de gestion des vols, la CNIL reprend les arguments développés dans la délibération concernant UBEEQO et rappelle que les données de géolocalisation ne peuvent être considérées comme nécessaires qu’à partir de la survenance d’un fait générateur (déclaration de vol ou suspicion de vol).
- Manquement à l’obligation de mettre en place un contrat de sous-traitance des données (article 28.3 du RGPD)
CITYSCOOT faisait appel à plusieurs sous-traitants ayant un accès ou hébergeant des données personnelles. Or les contrats conclus ne contenaient pas toutes les mentions prévues par l’article 28.3 du RGPD.
A retenir :
- Les mentions de l’article 28.3 du RGPD doivent non seulement figurer dans le contrat de sous-traitance mais également être suffisamment précises et détaillées pour permettre d’assurer un traitement conforme des données personnelles.
- Tant les objectifs de sécurité que les moyens mis en place dans ce cadre doivent être décrits dans le contrat.
- Le fait de prévoir une politique de durées de conservation des données personnelles n’exonère pas les cocontractants de prévoir une mention sur le sort des données en cas de résiliation du contrat.
- Manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement préalablement au dépôt de cookies (article 82 de la Loi Informatique et Libertés)
Un mécanisme de reCaptcha, fourni par Google, est utilisé lors de la création d’un compte utilisateur sur l’application mobile de CITYSCOOT ainsi que lors de la connexion à ce compte et lors de la procédure de mot de passe oublié sur le site internet cityscoot.eu. CITYSCOOT, en tant qu’éditrice du site et de l’application, aurait dû informer les utilisateurs du dépôt de ce cookie et recueillir leur consentement préalable.
A retenir :
- Le mécanisme de reCaptcha Google n’a pas pour seule finalité la sécurisation du mécanisme d’authentification au bénéfice des utilisateurs mais permet par ailleurs des opérations d’analyse de la part de Google de telle sorte que le consentement préalable de l’utilisateur doit être obtenu par l’éditeur d’un site internet utilisant ce mécanisme.