Quand géolocalisation rime avec sanction – 1ère sanction de la CNIL pour l’année 2023

Quand géolocalisation rime avec sanction – 1ère sanction de la CNIL pour l’année 2023
Actualité Minute RGPD

Ce 16 mars 2023, la CNIL a prononcé la première sanction de l’année : il s’agit d’une sanction de 125 000 euros prononcée à l’encontre de la société CITYSCOOT pour une affaire de géolocalisation « quasi permanente ».

Quel est le contexte ?

Dans sa Délibération SAN-2023-003 du 16 mars 2023, la CNIL relate le déroulé des actions de contrôles commencés 2020 auprès de CITYSCOOT qui auront mené, trois ans plus tard, à la sanction que nous connaissons aujourd’hui.

Pour rappel, la géolocalisation pour les services de proximité faisait partie des thématiques prioritaires de contrôle de la CNIL en 2020, année où l’organisme CITYSCOOT commence à être contrôlé.  L’organisme propose un service de location de scooters électriques en libre-service à partir d’une application mobile. C’est d’ailleurs par-là que commence le contrôle de la CNIL : le 13 mai 2020, elle réalise une première opération de contrôle en ligne du site internet et de l’application mobile sur laquelle passe plus de 240 000 utilisateurs.

Dans ce contexte, la CNIL s’affirme comme autorité chef de file, l’application touchant également un public italien et espagnol, ce qui lui permettra de mener à bien ses contrôles et de prononcer in fine une sanction en coopération avec les autorités de contrôle correspondantes.

Ainsi, à la suite des vérifications initiales, plusieurs échanges ont lieu entre CITYSCOOT et la CNIL afin de procéder à un contrôle plus poussé sur trois points :

  • La sécurité des données,
  • La géolocalisation des utilisateurs, et enfin,
  • L’encadrement de la sous-traitance.

Si la sécurité des données reste une préoccupation « classique » de la CNIL, la géolocalisation est un sujet rarement sanctionné. Souvenez-vous, une première sanction sur ce sujet avait été prononcée en 2022 contre la société UBEEQO INTERNATIONAL pour des manquements similaires.

Dans ces deux affaires, la CNIL est venue apprécier la collecte des données de géolocalisation sous le spectre du principe de minimisation.

Quels sont donc les faits sanctionnés ?

Concernant la géolocalisation

La société CITYSCOOT collecte des données de géolocalisation des scooters lorsqu’ils sont utilisés toutes les 30 secondes : il s’agit au sens de la CNIL d’une géolocalisation quasi permanente.

La société rattachait l’utilité de la collecte à quatre finalités :

  • Le traitement des infractions au code de la route ;
  • Le traitement des réclamations clients ;
  • Le support aux utilisateurs (en cas de chute par exemple) ; et en dernier lieu,
  • La gestion des sinistres et des vols.

Une à une, la CNIL a démontré que la société ne respectait pas le principe de minimisation du RGPD lorsqu’elle collectait les données de géolocalisation de ses utilisateurs pour chacune de ces finalités : « aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un scooter » (CNIL, Délibération SAN-2023-003 du 16 mars 2023, point 22). Dans son délibéré de sanction contre la société UBEEQO INTERNATIONAL, la CNIL était d’ailleurs parvenue à la même conclusion pour des finalités similaires et pour une géolocalisation réalisée tous les 500 mètres, lorsque le moteur s’allume et se coupe, ou encore lorsque les portes s’ouvrent et se ferment.

Rappelons ici que les données de géolocalisation sont parfois inclues dans les données présentant un « caractère hautement personnel » (G29, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 , page 11) : leur traitement est loin d’être anodin et peut présenter des risques élevés pour les droits et libertés des personnes physiques.  C’est d’ailleurs ce que pointe du doigt la CNIL dans sa délibération : « une telle pratique [est] très intrusive dans la vie privée des utilisateurs, dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués au cours d’un parcours. »

Pour formuler cet avis, la CNIL s’appuie sur les Lignes directrices du CEPD relatives aux traitements de données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité où on peut notamment lire le passage suivant « les données de localisation sont particulièrement révélatrices des habitudes de vie des personnes concernées. Les trajets réalisés sont très caractéristiques en ce qu’ils peuvent permettre de déduire le lieu de travail, le domicile ainsi que les centres d’intérêt (loisirs) du conducteur, et peuvent éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés » (Lignes directrices 01/2020, page17)

A l’inverse, une géolocalisation moins fine, qui pourrait être déclenchée par l’utilisateur ou déclenchée dans des situations spécifiques, pourrait être reconnue comme proportionnée.

A titre d’exemple, dans la délibération de 2023 la CNIL indique « qu’aucun scénario de vol ne justifie une collecte des données de position toutes les 30 secondes » (point 53) : un vol peut être commis en dehors du temps d’utilisation et peut être signalé par l’utilisateur le cas échéant. La géolocalisation n’est donc pas systématiquement nécessaire.

En synthèse sur ce point, la CNIL rappelle bien que le principe de minimisation doit être évalué selon les finalités visées mais également selon la nature des données collectées. Face à des données sensibles ou hautement personnelles, la réflexion devra être plus poussée. Il faudra notamment vérifier si les données que l’on souhaite collecter sont réellement utiles pour nos finalités ou si l’on peut réaliser un traitement moins intrusif mais tout autant efficace. La CNIL met ici l’accent sur l’information des utilisateurs et leur « sensibilisation » qui permettrait d’atteindre les finalités citées par CITYSCOOT.

Concernant l’information des utilisateurs

La CNIL s’est également tournée sur la question de l’information des utilisateurs lors de l’utilisation de l’application.

Ici la délibération traite d’un sujet que l’on connaît tous : le consentement et l’information associée à l’utilisation du reCAPTCHA de Google qui sont bien deux points obligatoires à traiter comme la CNIL n’a eu de cesse de le rappeler (Pour en savoir plus sur ce point, on vous invite à consulter la FAQ de la CNIL sur le sujet ici)

Concernant la sous-traitance

Enfin la CNIL s’intéresse aux contrats de sous-traitance qu’elle a pu contrôler dans ce contexte. Elle en profite pour rappeler quel est le contenu obligatoire des contrats de sous-traitance, tel qu’il est prévu aux article 28 et 29 du RGPD. Elle insiste là sur le fait que les contrats doivent inclure un socle minimal de clauses, notamment sur les mesures de sécurité à mettre en place ou sur le sort des données à la fin de la relation contractuelle, éléments qu’elle avait déjà évoqué dans sa sanction contre Dedalus Biologie !

Pour finir, on vous rappellera que les applications mobiles restent dans le viseur de la CNIL pour 2023 : si vous êtes concernés par le sujet et par la géolocalisation, il est temps de prendre en compte les sanctions de la CNIL et ses ressources sur le sujet de la géolocalisation disponibles ici.

En attendant, on vous dit à bientôt pour un prochain article !

Partager l'article

Articles similaires

La 18ème université des DPO organisé par l’AFCDP
Actualité Article RGPD

La 18ème université des DPO organisé par l’AFCDP

Trois de nos consultants ont participé les 8 et 9 février derniers à la 18ème Université des DPO organisée par l'AFCDP. Cet événement incontournable a rassemblé des professionnels de la conformité et de la protection des données personnelles pour deux journées de conférences et d'échanges.
Lire la suite
Rappel à l’ordre de deux ministères par la CNIL
Actualité Article RGPD

Rappel à l’ordre de deux ministères par la CNIL

La CNIL (Commission Nationale de l’Informatique et Libertés) a récemment émis un rappel à l'ordre visant deux ministères, le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique, ainsi que le Ministère de la Transformation et de la Fonction Publiques.
Lire la suite