Géolocalisation de scooters de location : sanction de 125 000 euros à l’encontre de CITYSCOOT
Le 16 mars 2023, la CNIL a prononcé une sanction de 125 000 euros à l’encontre de la société CITYSCOOT pour avoir notamment porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente.
Le contexte
En 2020, la CNIL a pour partie axé son action de contrôle sur plusieurs thématiques prioritaires en lien avec les préoccupations quotidiennes des Français dont la géolocalisation pour les services de proximité.
Dans ce cadre, la CNIL a contrôlé la société CITYSCOOT dont l’activité est la location de scooters pour une courte durée. Les vérifications portaient notamment sur les données collectées ainsi que sur l’information et le recueil du consentement des utilisateurs avant d’inscrire et de lire des informations sur leur équipement terminal de communication électronique.
Lors du contrôle, la CNIL a constaté qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes. En outre, la société conservait l’historique de ces trajets.
Sur la base de ces constatations, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions –a prononcé à l’encontre de la société CITYSCOOT une amende de 125 000 euros rendue publique. Cette décision a été prise en coopération avec les autorités de protection des données espagnole et italienne dans la mesure où la société CITYSCOOT propose aussi ces services dans ces pays.
Le montant de la sanction tient compte du chiffre d’affaires de la société, de la gravité des manquements constatés mais également des mesures prises par la société pour y remédier lors de la procédure.
Les manquements constatés
Un manquement à l’obligation de veiller à la minimisation des données (article 5.1.c du RGPD)
La société collectait des données de géolocalisation des véhicules pour différentes raisons :
- le traitement des infractions au code de la route ;
- le traitement des réclamations clients ;
- le support aux utilisateurs (afin d’appeler les secours en cas de chute d’un utilisateur) ;
- la gestion des sinistres et des vols.
Après avoir analysé quel était l’usage des données de géolocalisation pour chacune des finalités (objectifs) avancées par CITYSCOOT, la CNIL considère qu’aucune de ces finalités ne justifie une collecte de données de géolocalisation aussi fine que celle effectuée par la société.
Une telle pratique est, en effet, très intrusive dans la vie privée des utilisateurs, dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués au cours d’un parcours.
La société pourrait proposer un service identique sans géolocaliser ses clients en quasi-permanence. CITYSCOOT a donc manqué au principe de minimisation des données : les données doivent être adéquates, pertinentes et non excessives au regard de l’objectif pour lequel elles sont collectées et utilisées.
Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)
La CNIL a constaté que trois contrats conclus avec les sous-traitants de CITYSCOOT ne contenaient pas toutes les mentions prévues par le RGPD.
En effet, ces contrats doivent inclure un socle minimal de clauses, par exemple sur les données collectées, les mesures de sécurité à mettre en place ou encore le sort des données en cas de résiliation des contrats.
Un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel (article 82 de la loi Informatique et Libertés)
La société CITYSCOOT avait recours à un mécanisme de reCAPTCHA, fourni par la société GOOGLE, lors de la création du compte sur l’application mobile ainsi que lors de la connexion et la procédure de mot de passe oublié sur le site web. Ce mécanisme fonctionne avec une collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications).
Alors que les données collectées sont transmises à GOOGLE pour analyse, la société ne fournissait aucune information à l'utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.
La société a indiqué, en cours de procédure, qu’elle cesserait d’avoir recours à ce mécanisme.