Blog Données personnelles
Géolocalisation de véhicules de location : la CNIL prononce une sanction de 175 000 euros à l’encontre d’UBEEQO INTERNATIONAL
Dans une délibération en date du 7 juillet 2022 [1], la CNIL a prononcé une sanction de 175 000 euros à l’encontre de la société UBEEQO INTERNATIONAL (ci-après UBEEQO), notamment pour avoir porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente.
I. Les faits
La société UBEEQO a fait l’objet d’un contrôle de la CNIL dans le cadre de sa thématique prioritaire de contrôle en 2020 relative aux nouveaux usages des données de géolocalisation dans le cadre des mobilités.
Pour rappel, UBEEQO met en œuvre une plateforme numérique de location de véhicules de courte durée qu’elle propose à des clients particuliers et professionnels. Au cours de leur location par des clients, UBEEQO collecte des données de géolocalisation des véhicules, notamment afin de gérer le parc de véhicules en vue des prochaines locations.
En l’espèce, les vérifications opérées par la CNIL lors de son contrôle portaient notamment sur les données collectées, les durées de conservation définies, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.
Il a été constaté qu’au cours de la location d’un véhicule par un particulier, la société collectait des données relatives à la géolocalisation du véhicule loué, tous les 500 mètres lorsque le véhicule était en mouvement, lorsque le moteur s’allumait et se coupait ou encore lorsque les portes s’ouvraient et se fermaient. En outre, la société conservait un historique de certaines des données de géolocalisation collectées pendant une durée excessive.
II. Les motifs de la décision
Dans sa délibération, la CNIL est venue rapporter trois manquements par UBEEQO.
Un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées (article 5.1.c du RGPD)
Lors du contrôle, UBEEQO a indiqué que les données de géolocalisation des véhicules étaient collectées en vue de différentes finalités :
- pour assurer la maintenance et la performance du service (vérifier que le véhicule est rendu au bon endroit, surveiller l’état du parc…) ;
- pour retrouver le véhicule en cas de vol ;
- pour porter assistance aux clients en cas d’accident.
Néanmoins, la CNIL a considéré qu’aucune des finalités avancées par la société ne justifiait une collecte tous les 500 mètres – et donc quasi permanente – des données de géolocalisation au cours de la location d’un véhicule.
Il ressort de la déclaration qu’une telle pratique est en effet très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours journalier, ce qui revient à mettre en cause leur liberté de circulation.
A cet égard, UBEEQO pourrait proposer un service identique sans collecter des données de géolocalisation de manière quasi permanente.
Un manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement (l’article 5.1.e du RGPD)
Il ressort de la politique de conservation des données de UBEEQO que les données de géolocalisation des clients particuliers sont conservées en base active pendant toute la durée de la relation commerciale, puis durant trois ans à compter de la date de dernière activité de l’utilisateur.
Or, en vertu du fait que le point de départ de la durée de conservation des données de géolocalisation soit lié non pas au contrat de location en lui-même mais à la fin de la relation commerciale avec l’utilisateur, la CNIL a considéré que UBEEQO avait conservé lesdites données de géolocalisation en cause pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées et a ainsi méconnu ses obligations au regard de l’article 5.1.e du RGPD.
Un manquement à l’obligation d’informer les personnes (l’article 12 du RGPD)
La CNIL a fait grief à UBEEQO de ne pas fournir aux personnes concernées les informations visées à l’article 13 du RGPD de manière suffisamment accessible lors de la collecte de données à caractère personnel en vue de l’inscription au service qu’elle propose.
Il est à noter que sur ce point, UBEEQO a mis en conformité le formulaire d’inscription au cours de la procédure.
[1] Délibération de la formation restreinte n° SAN-2022-015 du 7 juillet 2022 concernant la société UBEEQO INTERNATIONAL