Géolocalisation : la CNIL sanctionne la société Cityscoot notamment pour collecte quasi-permanente de données de géolocalisation

Rappel du principe de minimisation des données de géolocalisation et de l'obligation d'encadrer les relations avec ses sous-traitants.

Dans une délibération[1], publiée le 28 mars 2023, la CNIL a estimé que la société Cityscoot, qui fournit un service de location de scooter en ligne, avait enfreint le RGPD. En conséquence, la formation restreinte de la CNIL sanctionne Cityscoot à une amende de 125 000 euros pour la collecte en quasi-permanence de ses utilisateurs.

La CNIL a déjà porté une attention particulière au traitement de données de géolocalisation. En effet, la CNIL a sanctionné, en juillet 2022, la société Ubeeqo à une amende de 175 000 euros pour avoir contrôlé en quasi-permanence les individus via la géolocalisation de sa flotte de véhicules.

Une collecte excessive et contraire au principe de minimisation des données

En pratique, Cityscoot collectait la position de ses scooters :

• Toutes les 30 secondes lorsqu’il était actif et que son tableau de bord était allumé, qu’il soit en déplacement ou prêt à rouler ;
• Toutes les 15 minutes lorsqu’il était inactif.

La société conservait ensuite ses données dans une « base de données scooters » pendant 12 mois en base active et 12 mois en archivage intermédiaire avant d’être anonymisées.

La CNIL a estimé que la collecte des données était excessive et violait le principe de minimisation des données prévu par l’article 5.1.c du RGPD. La fréquence à laquelle les véhicules étaient automatiquement localisés ne pouvait être justifiée par les objectifs de la société. Parmi ses conclusions, la CNIL a estimé que :

• La collecte de la position du véhicule toutes les 30 secondes était particulièrement excessive et constituait une collecte « quasi-permanente » des données de géolocalisation. Cette collecte n'est pas nécessaire pour les besoins du traitement des données,
• La collecte de la position du véhicule toutes les 30 secondes était « très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours, ce qui revient à mettre en cause leur liberté de circuler anonymement. »
• Le traitement automatique des données de localisation ne peut pas être considéré comme strictement nécessaire à l’assistance en cas d’accident en l'absence d'un événement déclencheur (c'est-à-dire la notification technique du scooter trop incliné ou l’appel de l’utilisateur), en particulier lorsque d'autres moyens moins intrusifs permettant de porter assistance sont disponibles.

La CNIL a également constaté que les durées de conservation définies par Cityscoot étaient excessives au regard des finalités du traitement des données. Les données de géolocalisation (dites « hautement personnelles »[2]) des utilisateurs étaient conservées pendant une période de 12 mois en base active et 12 mois en archivage intermédiaire avant d’être anonymisées. Pour la CNIL une durée de conservation de 24 mois est disproportionnée au regard des finalités poursuivies par la société.

L’absence de clauses entraînant des défauts dans les contrats de sous-traitance

La CNIL a encore constaté un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant prévu par l’article 28.3 du RGPD.

Des contrats existaient entre Cityscoot et ses sous-traitants. Ces contrats contenaient les mentions d’informations imposées par le RGPD. Toutefois, la formation restreinte estime que les clauses relatives à la collecte de données, aux mesures de sécurité à mettre en place ou encore au sort des données en cas de résiliation des contrats étaient incomplètes et manquaient de précisions :

• « La clause « accountability » prévoit effectivement que le sous-traitant doit répondre aux questions du responsable de traitement et lui fournir, sur demande, tout document sollicité. Cependant, il n’est pas indiqué expressément que le sous-traitant doit tenir à sa disposition toutes les informations pour permettre la réalisation d’audits et contribuer à ces audits » ;
• « La clause « security », qui prévoit que le sous-traitant met en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, devrait être plus précise. Ici, seuls les objectifs de sécurité à atteindre sont décrits, sans précision sur les moyens d’y parvenir, tels qu’une description des processus ou mécanismes développés dans des annexes au contrat » ;
• « Si le contrat prévoit une politique de durée de conservation des données à caractère personnel, il n’est pas fait mention du sort des données en cas de résiliation du contrat entre les deux sociétés ».

Même si les contrats rédigés tiennent compte des exigences du RGPD, un manquement peut être constaté dans l'hypothèse où les clauses manqueraient de précisions et ne seraint pas assez spécifiques à l'activité du sous traitant. En effet, « les mentions de l'article 28.3 du RGPD doivent non seulement figurer dans le contrat de sous-traitance, mais elles doivent également être suffisamment précises et détaillées pour permettre d'assurer un traitement conforme des données à caractère personnel » précise la CNIL. La simple évocation dans les contrats de sous-traitance des mentions du RGPD ne suffit plus.

Le dépôt de cookie sans consentement préalable sanctionné

Enfin, la CNIL a également constaté que Cityscoot avait méconnu ses obligations d’information de l’utilisateur et du recueil de son consentement avant d’inscrire et de lire des informations sur son équipement personnel (article 82 de la Loi Informatique et Libertés) en permettant le dépôt de cookies sur le terminal des utilisateurs via le mécanisme de reCAPTCHA fourni par la société Google sans informer les utilisateurs et sans recueillir leur consentement.

Il faut également par ailleurs noter que Cityscoot a arrêté d’utiliser cet outil après avoir reçu la convocation, ce qui n’a pas empêché la formation restreinte de sanctionner les manquements dans la mesure où ils avaient été constatés au moment du contrôle.

À retenir :

La CNIL rappelle l’impérieuse nécessité d’encadrer strictement vos contrats de sous-traitance, quelques rappels :

• Actualisez vos contrats de sous-traitance (mise à jour et respect des conditions de l’article 28 du RGPD)
• Revoyez les clauses sensibles relatives à la sécurité, aux audits, à la responsabilité, les garanties…
• Insérez des procédures spécifiques pour la suppression ou le renvoi des données à caractère personnel à l'échéance du contrat.
• Assurez-vous concrètement de l’application du contrat et de l’effectivité des garanties (audits réguliers et documentés)

L’encadrement des contrats de sous-traitance de données permet d’assurer la protection des données personnelles et la confiance des utilisateurs.

L’équipe IP/IT – DATA

Les avocats du Pôle Data se tiennent à votre disposition pour vous assister dans la mise en conformité au RGPD de vos contrats de sous-traitance existants et à venir.

DÉCOUVREZ NOTRE CYCLE DE FORMATION :
NUMÉRIQUE DATA

En savoir plus :

La délibération de la CNIL : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047346903

La délibération sur la société Ubeeqo : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046070924?init=true&page=1&query=%2A&searchField=ALL&tab_selection=cnil

[1] Délibération de la formation restreinte n° SAN-2023-003 du 16 mars 2023 concernant la société CITYSCOOT.

[2] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé́ » aux fins du règlement (UE) 2016/679 adoptées le 4 avril 2017.