Délibération CNIL SAN-2023-003 du 16 mars 2023
Cityscoot est une société proposant en France et dans d’autres pays de l’UE un service de location de scooters électriques en libre-service pour de courts trajets en ville. Ces scooters sont équipés d’un dispositif de localisation permettant à la société et aux utilisateurs de connaitre la position exacte des scooters via une application mobile.
A l’issue d’un contrôle mené en 2020, la CNIL a engagé une procédure de sanction à l’encontre de Cityscoot dans le cadre de sa compétence d’autorité de chef de file après avoir constaté que la société collectait toutes les 30 secondes les données de géolocalisation des scooters et conservait l’historique des trajets.
En vertu d’une délibération rendue publique (susceptible d’appel), une sanction à hauteur de 125.000 euros a été prononcée par la formation restreinte de la CNIL à l’encontre de Cityscoot, estimant que la société avait manqué à son obligation de veiller à la minimisation des données, à son obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant et, enfin, à son obligation d’informer l’utilisateur et d’obtenir son consentement sur la finalité des cookies utilisés.
Dans cette affaire, la rapporteure a également relevé un manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement considérant que les données de géolocalisation sont conservées sans limite de durée. Toutefois, la formation restreinte a considéré à cet égard que les durées et modalités de conservation des données sont conformes aux exigences du RGPD dans la mesure où elles ne sont pas conservées « sans limite de durée » mais 12 mois en base active, puis 12 mois en archivage intermédiaire avant d’être anonymisées.
- Sur le manquement à l’obligation de veiller à la minimisation des données
En premier lieu, la formation restreinte s’est interrogée sur la qualification des données de géolocalisation dans la mesure où ces données collectant la position des scooters étaient conservées dans une base distincte de celle stockant les données nominatives relatives aux utilisateurs.
La formation restreinte a considéré que dès lors que la base contenant les données de géolocalisation des scooters incluait également les numéros de réservation correspondants, les utilisateurs pouvaient être indirectement identifiés en recoupant ces données avec celle de la base clients. Elle conclut dès lors que les données de géolocalisation sont des données à caractère personnel.
Aux termes de l’article 5 paragraphe 1), c) du RGPD, les données à caractère personnel doivent être adéquates, pertinents et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. A cette occasion, la formation restreinte de la CNIL a rappelé que les données de géolocalisation sont considérées par le Comité européen de la protection des données (CEPD) comme des données « à caractère hautement personnel » dès lors que leur collecte met en jeu la liberté de circulation.
Or, la formation restreinte a estimé que la collecte quasi-permanente des données de géolocalisation n’est pas nécessaire au regard des finalités poursuivies à savoir notamment le suivi des traitements des infractions du code de la route, des réclamations des clients et des sinistres.
En l’espèce, la collecte quasi continue des données de géolocalisation a été considérée comme « très intrusive dans la vie privée des utilisateurs ».
- Sur le manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat
La formation restreinte a considéré que les contrats passés avec les sous-traitants étaient particulièrement lacunaires et a retenu un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant en application de l’article 28, paragraphe 3 du RGPD.
A cette occasion, la formation restreinte a pris le soin de préciser que les obligations listées à l’article 28 doivent non seulement figurer dans le contrat de sous-traitance, mais doivent également être suffisamment détaillées de manière suffisamment précise et concrète pour permettre d’assurer un traitement conforme des données à caractère personnel.
Notamment, la CNIL considère qu’un contrat ne répond pas aux exigences du RGPD si la clause relative aux mesures de sécurité ne comporte pas de précision sur les moyens mis en place pour remplir l’obligation de mettre en place des mesures technique et organisationnelles pour assurer un niveau de sécurité adapté au risque.
- Sur le manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement préalablement au dépôt de traceurs
La société avait également mis en place sur son site et son application mobile le mécanisme reCAPTCHA fourni par Google.
Dans le cadre de sa compétence nationale concernant le contrôle de la conformité en matière de cookies (article 82 de la Loi Informatique et Libertés), la formation restreinte a retenu que la société a manqué à son obligation d’informer l’utilisateur et d’obtenir son consentement préalable aux opérations d’écriture et/ou de lecture d’information dans le terminal de l’utilisateur via le mécanisme de reCAPTCHA.
La société faisait valoir, notamment au regard de la finalité sécuritaire du mécanisme, les exceptions au consentement prévus dans certains cas par l’article 82. La formation restreinte écarte les arguments développés et souligne que Google procède à une analyse des données collectées à d’autres fins.
Considérant que la société Cityscoot, en sa qualité d’éditeur du site et de l’application, avait méconnu ses obligations au regard de cet article, la formation restreinte retient le manquement et prononce une sanction de 25.000 euros à ce titre (s’imputant sur la sanction totale de 125.000 euros).