Géolocalisation des véhicules de location

– Voitures de location et géolocalisation –

Certaines sociétés de service agissent en dehors des clous...

 

Comme bon nombre de français, vous avez peut-être été amenés à louer une voiture au cours de ces derniers mois, que ce soit pour vos déplacements professionnels ou à l’occasion de vos vacances. Mais, bien qu’utiles, ces services ne sont pas toujours exemplaires lorsqu’il s’agit de protéger les données à caractère personnel de leurs clients.

Les radars de la CNIL viennent de se diriger contre les pratiques de la société UBEEQO INTERNATIONAL. Ces filiales du groupe « EUROPCAR MOBILITY GROUP », présentes dans plusieurs pays européens, proposent une offre de location de véhicules partagés intégralement numérique.

 

UBEEQO INTERNATIONAL en a sous le capot pour garantir à ses clients la « flexibilité de service » qu’il vante tant. L’idée est simple : les voitures sont laissées en libre accès dans des zones dédiées. Les personnes intéressées s’inscrivent en ligne, en indiquant notamment leurs dates et le lieu où elles souhaitent récupérer le véhicule. A la fin de leur période de location, elles restituent leur bolide au même endroit, sans qu’aucun membre du personnel d’UBEEQO INTERNATIONAL ne soit jamais intervenu.

Mais derrière cette liberté et cette simplicité apparentes, se cache une tout autre réalité. Les traitements de données mis en œuvre par UBEEQO INTERNATIONAL pour gérer son activité ont récemment fait l’objet d’un contrôle, non pas routier, mais du gendarme français de la protection des données personnelles.

Vous souhaitez savoir quelles en ont été les suites ? En voiture, Simone !

 

 

L’enquête menée par la CNIL[1] a révélé que les véhicules mis à disposition par UBEEQO INTERNATIONAL sont géolocalisés lorsque leur moteur s’allume ou s’éteint, à chaque fois que leurs portes sont ouvertes et fermées, et tous les 500 mètres lorsqu’ils se déplacent. La filiale est également capable d’activer à distance un dispositif permettant de situer ses voitures en temps réel.

Ces paramètres induisent mécaniquement une géolocalisation quasi-permanente des conducteurs.

L’AUTOrité régulatrice a conclu que la société avait principalement manqué à trois des exigences issues du Règlement Général sur le Protection des Donnés (RGPD). Elle qualifie ces dérapages comme étant :

 

Une violation du principe de minimisation des données

Conformément à l’article 5(1)(c) du RGPD, le responsable de traitement ne peut pas recueillir n’importe quels type et volume de données personnelles. Il ne peut collecter que les seules données adéquates et pertinentes lui permettant d’atteindre l’objectif qu’il poursuit.

UBEEQO INTERNATIONAL a tenté d’enjoliveur… pardon d’enjoliver…les finalités de sa collecte massive des données de géolocalisation de ses automobiles, en indiquant que celle-ci était indispensable pour :

  • La gestion de son activité (assurer la maintenance de ses véhicules, contrôler le passage d’une voiture dans et hors d’une zone de péage urbain, son éventuelle restitution dans un autre endroit…);
  • Retrouver les voitures louées en cas de vol ;
  • Porter assistance à ses clients, notamment en cas d’accident.

La CNIL a toutefois décidé qu’aucune de ces finalités ne justifie une collecte aussi fine et excessive des données de géolocalisation des conducteurs par UBEEQO INTERNATIONAL.

Elle estime que la société dispose de moyens moins attentatoires au droit au respect de la vie privée des chauffeurs pour parvenir à ses fins. Elle l’invite à trouver d’autres alternateurs…euh alternative pour maîtriser sa flotte de véhicules. Les positions géographiques des automobilistes peuvent par exemple être consignées uniquement au début et à la fin de la location plutôt que sur l’ensemble de leur période de location, ou seulement à compter d’un fait générateur (demande d’assistance ou suspicion de vol).

Le feu vert du Comité Européen de la Protection des Données (CEPD)

 

Dans ses lignes directrices du 4 octobre 2017, le « Groupe de travail de l’article 29 »[2] a qualifié les données de géolocalisation comme étant des « données à caractère hautement personnel ». Et pour cause, elles ont un impact sur une liberté fondamentale : la liberté de circulation[3].

Ces données sont également un point d’entrée dans l’intimité des personnes concernées. Elles permettent en effet de déduire leurs habitudes de vie en fonction de leurs déplacements : leur lieu de travail et donc leur activité professionnelle, leur domicile, voire leur religion, leur orientation sexuelle ou leur état de santé, selon les lieux qu’elles fréquentent.

 

Une violation du principe de limitation des durées de conservation des données

L’article 5(1)(e) du RGPD impose que les données personnelles ne soient conservées que pendant une durée limitée, « n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles traitées ».

Il appartient au responsable de traitement de déterminer cette durée, selon ses besoins et les spécifiés de son activité. Il lui revient également de justifier sa décision en cas de contrôle.

En l’occurrence, UBEEQO INTERNATIONAL avait défini une politique de conservation des données fixant à trois ans la durée de conservation des données de géolocalisation des conducteurs.

La CNIL considère ce délai excessif, en ce qu’il commençait à courir non pas à compter de la fin du contrat de location, mais de la fin de la relation commerciale avec le client. Or, celle-ci peut intervenir bien après la prestation de service, puisque la date d’arrêt d’une relation commerciale correspond à celle de la dernière manifestation d’intérêt du client (suppression d’une réservation en cours sur l’application de la société, clic sur le lien d’une newsletter émise par l’entreprise, connexion à son compte individuel…).

L’autorité de contrôle n’a pas apprécié ce problème de compteur. Elle a jugé que cette période de trois ans dépassait les besoins de la société. Elle déclare qu’UBEEQO INTERNATIONAL pouvait décemment gérer à distance son parc automobile, porter assistance à ses clients et localiser ses voitures volées en enregistrant la position de ses véhicules durant un temps plus court.

Mais surtout, la CNIL a insisté sur le fait qu’il ne suffit pas de définir une politique de conservation des données pour être conforme. L’important est de la respecter. Or, en l’espèce, les investigations menées par la Commission ont révélé que les systèmes d’information d’UBEEQO INTERNATIONAL stockaient des historiques de géolocalisation d’utilisateurs pourtant inactifs depuis plus de huit ans. Preuve que la conformité de la société est un pneu…oups un peu moins aboutie dans les faits qu’elle ne veut bien le prétendre.

 

Une violation de l’obligation d’information des personnes concernées

Pour finir, il est reproché à UBEEQO INTERNATIONAL d’avoir manqué à son obligation d’information à l’égard de ses clients.

Ces derniers doivent être renseignés sur l’existence d’un traitement de leurs données personnelles et sur les principales caractéristiques de ce traitement[4]. L’article 12 du RGPD prévoit que cette information doit être fournie d’une façon « concise, transparente, compréhensible et aisément accessible ».

Dans cette affaire, au moment de remplir leur formulaire d’inscription, les utilisateurs de l’application et du site Internet d’UBEEQO INTERNATIONAL pouvaient uniquement cliquer sur un lien les renvoyant vers les conditions générales d’utilisation, qui contenaient elles-mêmes un autre lien permettant d’accéder à la politique de confidentialité de la société.

Ces pratiques ne sont pas AUTOrisées. Le fait que la politique de protection des données d’UBEEQO INTERNATIONAL ne soit pas clairement différenciée, à première vue, des autres documents contractuels de l’entreprise (les conditions générales d’utilisation) et qu’elle ne puisse être obtenue qu’après un parcours de plusieurs clics ne permet pas de la consulter facilement. Le critère d’accessibilité fait défaut.

UBEEQO INTERNATIONAL va devoir se serrer la ceinture. Pour répondre de toutes ces violations, la CNIL l’a condamné le 7 juillet 2022 à payer une amende administrative de 175.000 euros[5] ! Si la société de location de véhicules semble avoir négligé de s’interroger sur l’impact de la législation en vigueur en matière de protection des données sur sa propre activité, elle s’est ainsi pris un sacré retour de manivelle !

« Les nouveaux usages des données de géolocalisation » étaient l’un des thèmes prioritaires de contrôle de la CNIL en 2020. L’enquête menée spontanément par la Commission à l’encontre d’UBEEQO INTERNATIONAL prouve que les axes d’investigations qu’elle définit chaque année ne sont pas de simples déclarations de principe.

Les trois thématiques prioritaires de contrôle de la CNIL pour l’année 2022 sont :

  • – La prospection commerciale ;
  • – Les outils de surveillance mis en place dans le cadre du télétravail ;
  • – Les services de cloud.

Si votre organisme est concerné par l’une ou plusieurs de ces situations, nous vous conseillons de vous faire accompagner dans vos démarches de conformité par des professionnels. Ne risquez pas à votre tour un accrochage avec l’autorité de contrôle !

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679 du 04 octobre 2017 : https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf.

[3] Le « Groupe de travail de l’article 29 », dit « G29 », a été remplacé par le Comité Européen sur la Protection des Données (CEPD) à l’occasion de l’entrée en vigueur du RGPD.

[4] Les mentions obligatoires devant figurer dans ces informations diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées. Elles sont prévues aux articles 13 et 14 du RGPD.

[5] La délibération SAN-2022-015 de la CNIL du 7 juillet 2022 est disponible dans son intégralité à l’adresse suivante : ici

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment  Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.