Dans une décision du 16 mars 2023[1], la CNIL a prononcé une sanction de 125 000 euros à l’encontre d’une société de services de location de scooters en libre-service qui traitait de manière disproportionnée les données de géolocalisation de ses utilisateurs.
La société CITYSCOOT met à disposition depuis 2016, via une application mobile, un service de location de scooters dans plusieurs villes de France et à l’étranger. Notons également que ces scooters sont « laissés, après utilisation, dans la zone de location identifiée dans l’application »[2].
En 2020, la CNIL a réalisé un contrôle en ligne sur le site web et l’application mobile de « CITYSCOOT » aux fins de vérifier les données collectées, les finalités de la collecte et les mesures de sécurité des données personnelles mises en place par CITYSCOOT en tant que responsable de traitement.
Par ce contrôle, la CNIL a notamment constaté :
- Une « collecte quasi permanente des données de géolocalisation des utilisateurs au cours de la location d’un scooter »[3] ;
- Que « la société CITYSCOOT fait appel à quinze sous-traitants ayant un accès ou hébergeant les données à caractère personnel des utilisateurs, dont les contrats ne contiennent pas toutes les mentions prévues par le RGPD »[4] ;
- Que « la société CITYSCOOT ne fournit aucune information, notamment par une fenêtre de consentement, de la collecte d’informations stockées sur l’équipement de l’utilisateur, ni des moyens de refuser cette collecte »[5] opérée notamment pour les besoins de l’outil reCaptcha[6] de Google (outil d’authentification) utilisé par la société CITYSCOOT, dans le cadre de ses services.
Au regard de ces constats, la CNIL conclut aux manquements répétés de la société CITYSCOOT au RGPD, en étayant chacun des constats opérés, notamment à la lumière des lignes directrices du CEPD[7]:
- Sur le constat de la collecte quasi permanente des données de géolocalisation
En application de l’article 5 du RGPD, le responsable de traitement doit prendre toutes les mesures destinées à veiller à l’adéquation, à la pertinence et au caractère non excessif de ces données. C’est ce qui s’appelle la « minimisation des données ». La CNIL a en outre rappelé que le CEPD considère que les données de géolocalisation sont des « données à caractère hautement personnel » en ce qu’elles sont susceptibles de mettre en jeu la liberté de circulation.
En défense, pour justifier cette collecte quasi permanente des données de géolocalisation, CITYSCOOT a expliqué agir à raison des finalités suivantes : gestion des réclamations liées à la surfacturation, gestion des amendes, sinistres et vols.
La CNIL a considéré cette collecte comme disproportionnée au regard des finalités indiquées par la société CITYSCOOT, estimant que la collecte par la société CITYSCOOT, « toutes les 30 secondes des données de géolocalisation au cours de la location d’un scooteur et la conservation de ces données » constitue une « pratique très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours, ce qui revient à mettre en cause leur liberté de circuler anonymement »[8].
- Sur la sous-traitance des données personnelles des utilisateurs de scooters
En parallèle, la CNIL a considéré que la société CITYSCOOT avait manqué à son obligation de mise en conformité au RGPD des contrats de sous-traitance au titre de l’article 28§3 du RGPD qui prévoit que le responsable de traitement doit veiller à ce que ces contrats prévoient toutes les mentions visant à sécuriser le traitement des données personnelles (par les sous-traitants) des utilisateurs des scooteurs.
Or ce n’était pas le cas en l’espèce puisque la CNIL a relevé que les contrats de sous-traitance en cause étaient « très lacunaires, ne visaient notamment pas l’objet du traitement, la durée du traitement, le type de données à caractère personnel traité (…)et ne précisaient pas la catégorie de personnes visées par le traitement »[9].
- Sur l’absence d’information et de consentement des utilisateurs sur la mise en œuvre du système d’authentification ReCaptcha fourni par Google
En application de l’article 82 de la loi informatique et libertés, l’utilisateur d’un service de communications électroniques doit être informé de manière claire et complète par le responsable de traitement « 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;2° Des moyens dont il dispose pour s’y opposer »[10].
En l’espèce, la société CITYSCOOT affirmait utiliser le mécanisme ReCaptcha[11] « dans le seul but d’assurer la sécurisation du mécanisme d’authentification des utilisateurs ».
Or, la CNIL a relevé que ce mécanisme ReCaptacha entrainait également au moment de la création du compte utilisateur, le dépôt de cookies sur le terminal de l’utilisateur de l’application et impliquait une transmission des données à google pour analyse. En ce sens, la CNIL a estimé que les opérations poursuivaient également d’autres finalités non strictement nécessaires à la fourniture du service de sécurisation et d’authentification.
En conséquence, la CNIL a estimé que la société CITYSCOOT aurait dû informer les utilisateurs et obtenir leur consentement.
Compte tenu de l’ensemble de ces manquements, la CNIL a prononcé une amende de 125 000 d’euros, et a rendu publique sa décision qui « se justifie au regard de la nature particulière des données concernées qui portent sur des données de géolocalisation et de l’atteinte à la vie privée des utilisateurs ».
Cette décision s’inscrit dans une stratégie d’actions de contrôle adoptée par la CNIL depuis 2020 qui consiste à examiner et vérifier la conformité au RGPD de certains traitements de données personnelles. Pour rappel, la CNIL a priorisé les contrôles sur le traitement des données de santé, les cookies (et autre traceurs) et la géolocalisation.
Dans ce même contexte, en 2022, la CNIL avait déjà prononcé une sanction similaire (amende de 175 000 d’euros) à l’encontre de la société UBEEQO INTERNATIONAL dont l’activité est la location de voitures en libre-service et qui traitait et conservait, comme la société CITYSCOOT, les données de géolocalisation de ses utilisateurs[12].
Ces décisions démontrent la volonté de la CNIL de s’assurer que les professionnels respectent rigoureusement leurs obligations en matière de protection des données personnelles des personnes physiques de l’UE et les invitent, en cas de manquement, à se mettre en conformité. L’objectif est qu’ils puissent continuer à exercer leurs activités sans porter atteinte à la vie privée des utilisateurs de leurs services.
[1] Délibération de la formation restreinte (CNIL) n° SAN-2023-003 du 16 mars 2023 concernant la société CITYSCOOT
[2] Point 2 de la délibération
[3] Point 22 de la délibération
[4] Point 71 de la délibération
[5] Point 80 de la délibération
[6] Service/Système de Google permettant aux éditeurs de sites webs de différencier les êtres humains et des robots.
[7] Lignes directrices 01/2020 sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité (lien). =
[8] Point 63 de la délibération
[9] Point 77 de la délibération
[10] Article 82 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978.
[11] Service/Système de Google permettant aux éditeurs de sites webs de différencier les êtres humains et des robots.
[12] Délibération de la formation restreinte n°SAN-2022-015 du 7 juillet 2022 concernant la société UBEEQO INTERNATIONAL