Par Gérard Haas et Antoine Kraska-Delsol
Alors que la stratégie de contrôle de la CNIL pour 2022 porte sur la prospection commerciale, les outils de surveillance dans le cadre du télétravail, et le cloud, l’autorité avait décidé de prioriser son action en 2020 sur les données de santé, la géolocalisation pour les services de proximité et sur les cookies.
C’est dans ce contexte que la CNIL a décidé d’engager un contrôle de la société Ubeeqo, spécialisée dans la location de véhicule pour une courte durée. Les agents ont constaté que le service collectait des données de géolocalisation de manière quasi permanente, et que ces données étaient par la suite conservées pour une durée excessive.
Ainsi, en coopération avec plusieurs autorités européennes, l’autorité en charge de la protection des données a prononcé à l’encontre de la société une amende de 175.000 €, qu’elle a par ailleurs rendue publique.
Dans ces circonstances, la Commission nationale de l’informatique et des libertés formule des reproches à l’égard de l’entreprise, qui peuvent être utiles à prendre en compte pour tout responsable de traitement quant à la collecte et la conservation des données, notamment lorsqu’il s’agit de données de géolocalisation des personnes.
Application du principe de minimisation des données
L’article 5.1c du RGPD dispose que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement. En vertu de ce principe de minimisation des données, il faut examiner s’il n’est pas possible de poursuivre ces finalités et fournir un service identique en ayant recours à une collecte moins importante de données, ou par un autre biais.
La collecte permanente des données de géolocalisation n'obéit pas au principe de minimisation des données
La CNIL rappelle que la géolocalisation des personnes est particulièrement intrusive dans la vie privée, en ce qu’elle peut révéler leurs déplacements, les lieux qu’elles fréquentent et tous les arrêts effectués lors d’un parcours.
En l’espèce, une géolocalisation des véhicules (et, a fortiori, des personnes concernées) avait lieu tous les 500 mètres de déplacement, mais également lorsque le moteur s’allumait ou se coupait ou encore lorsque les portes s’ouvraient ou se fermaient. Pour la CNIL, les finalités avancées par l’entreprise (maintenance et performance du service, localisation du véhicule en cas de vol, assistance des clients en cas d’accidents) ne le justifiaient pas et il serait possible de proposer les mêmes services sans cette géolocalisation quasi systématique.
Définition d’une durée proportionnée de conservation des données de géolocalisation
L’article 5.1e du RGPD prévoit que les données à caractère personnel ne doivent être conservées que pour une durée nécessaire à l’égard des finalités du traitement. Il convient donc que le responsable de traitement identifie la durée pendant laquelle la conservation des données est requise, et au terme de laquelle elles seront supprimés.
Dans sa décision, la CNIL constate que le prestataire de location prévoyait la conservation des données pendant la durée de la relation commerciale avec ses clients, puis pour trois ans à compter de la fin de la location.
Elle considère cette durée comme étant excessive : il n’est pas nécessaire de conserver les données de géolocalisation pour une durée aussi longue, celles-ci ayant pour finalité la gestion de la flotte de véhicules, la localisation des véhicules volés et l’assistance aux clients.
L’obligation d’information des personnes concernée par la collecte des données de géolocalisation
L’article 12 du RGPD prévoit que les personnes concernées doivent être informées de la collecte et du traitement de leurs données, et ce de manière concise, transparente, compréhensible et aisément accessible, et en des termes clairs et simples.
Il s’agit d’une des obligations les plus importantes pour les responsables de traitement : cette information permet de responsabiliser les personnes concernées et de renforcer leur contrôle sur leurs données personnelles, en particulier au regard de l’exercice de leurs droits.
En l’espèce, la CNIL a noté que l’application éditée par l’entreprise ne comportait pas les informations pertinentes de manière suffisamment accessible pour les utilisateurs.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.
