Géolocalisation de véhicules de location

Photo de Frederic Bartl sur Pexels.com

La société U est une société par actions simplifiée unipersonnelle, dont le siège social est situé […], à Paris. La société est une filiale du groupe […].

U met en œuvre une plateforme numérique de location de véhicules en auto-partage qu’elle propose à des clients particuliers et à des clients professionnels. Au 9 juillet 2020, la société comptait au moins […] clients en Europe dont, en France, […] clients particuliers et […] clients professionnels. Ses services sont accessibles directement via le téléchargement des applications  » U  » (disponibles sous IOS et sous Android) et le site internet […]. Elle exerce son activité au travers de ses filiales établies notamment en France, en Belgique, en Allemagne, en Espagne, en Italie et au Danemark. À la fin du mois de juin 2020, l’effectif d’U et de ses filiales était de 284 salariés.

La société dispose de sa propre flotte de véhicules que les utilisateurs de la plateforme peuvent louer en créant un compte sur le site internet ou les applications mobiles U.

Pour les clients particuliers, la société propose une offre de location de véhicules partagés en boucle fermée : le client est tenu de récupérer et de restituer son véhicule sur la même station. Les véhicules sont en libre accès, dans des espaces privés ou non et aucun personnel d’U n’est présent lors de la prise de véhicule ou lors de sa restitution, le service étant entièrement dématérialisé.

Au cours de leur location par des clients, la société collecte des données de géolocalisation des véhicules, notamment afin de gérer le parc de véhicules en vue des prochaines locations.

Sur les traitements en cause et la qualité de responsable de traitement d’U

Le responsable de traitement est défini, aux termes de l’article 4, point 7, du RGPD, comme

 » la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement « .

Les traitements en cause dans la présente procédure sont les traitements de données relatifs à la création d’un compte utilisateur sur les applications mobiles ou le site web […]  et à la collecte de données de géolocalisation des véhicules loués.

En premier lieu, s’agissant de la responsabilité du traitement, il résulte des pièces du dossier que, en ce qui concerne les données collectées sur les applications mobiles ou le site web {…}, la société indique dans sa politique de confidentialité être responsable du traitement de ces données à caractère personnel. Ensuite, la société détermine notamment, pour l’ensemble des filiales, les catégories de données qui sont collectées lors du parcours d’inscription, telles que les données de contact.

En ce qui concerne les traitements relatifs aux données de géolocalisation, il ressort des éléments fournis par la société que ces traitements sont communs à l’ensemble des filiales et que la société en a déterminé les différentes finalités (maintenance et performance du service, etc.). De plus, la société a établi une politique de durées de conservation des données unique, applicable tant à la société qu’à ses filiales. Enfin, la société a mis en place deux systèmes d’informations, […], qui sont chacunutilisés par plusieurs filiales, et la société peut accéder aux données à caractère personnel stockées dans ces deux systèmes.

En second lieu, la formation restreinte relève que la société U ne conteste pas sa qualité de responsable de traitement. Au demeurant, l’éventualité d’une responsabilité conjointe de ses filiales est sans influence sur sa responsabilité propre à l’égard des traitements en cause. En effet, la présente délibération porte sur la responsabilité d’U pour les manquements visés et non sur celle de ses éventuels responsables conjoints de traitements.

Au regard de ces éléments, la formation restreinte estime que la société U détermine les finalités et les moyens des traitements relatifs à la création d’un compte utilisateur sur les applications mobiles ou le site web […]  et à la collecte de données de géolocalisation des véhicules loués. Ainsi, la société doit être qualifiée de responsable de ces traitements.

Sur le manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées en application de l’article 5.1.c du RGPD

L’article 5, paragraphe 1, c) du RGPD prévoit que les données à caractère personnel doivent être  » adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) « . Lorsque les données sont collectées sur le fondement de l’intérêt légitime, cette collecte ne doit en outre pas porter une atteinte disproportionnée à la vie privée, au regard des objectifs poursuivis par la société.

Dans le cadre de l’instruction, la délégation de contrôle de la CNIL a été informée que, au cours de la location d’un véhicule par un particulier, la société collecte des données de géolocalisation, tous les 500 mètres, lorsque le moteur s’allume et se coupe ou encore lorsque les portes s’ouvrent et se ferment. Les données de géolocalisation sont collectées par des systèmes internes aux véhicules puis transmises par le réseau GSM au système d’information du prestataire de service et ensuite communiquées aux plateformes d’U. Les équipes opérationnelles disposent également d’un bouton permettant de rafraîchir la position du véhicule et de le localiser en temps réel.

La société a indiqué que les données de géolocalisation des véhicules étaient collectées en vue de différentes finalités :

– pour assurer la maintenance et la performance du service (vérifier que le véhicule est rendu au bon endroit, surveiller l’état du parc…),

– pour retrouver le véhicule en cas de vol,

– pour porter assistance aux clients en cas d’accident.

La rapporteure considère qu’aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un véhicule.

Il y a lieu d’examiner la pertinence de la collecte de ces données pour chacune de ces trois finalités. À titre liminaire, la formation restreinte souligne que, dès lors qu’un véhicule est en cours de location, les données de géolocalisation issues de ce véhicule sont associées à une personne et constituent des données à caractère personnel. Si les données de géolocalisation ne sont pas des données sensibles, au sens de l’article 9 du RGPD, elles sont néanmoins considérées par le groupe de travail de l’article 29 (dit  » G29  » devenu le Comité européen de la protection des données (CEPD)) dans ses lignes directrices du 4 octobre 2017, comme étant des  » données à caractère hautement personnel « . Le G29 estime que ces données sont considérées comme sensibles, au sens commun du terme, dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental. En effet, la collecte des données de localisation met en jeu la liberté de circulation.

À titre d’éclairage, la formation restreinte rappelle également que le CEPD a considéré, dans ses lignes directrices 01/2020 relatives aux traitements de données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité (les lignes directrices 01/2020) que  » Lorsqu’ils collectent des données à caractère personnel, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient garder à l’esprit que les données de localisation sont particulièrement révélatrices des habitudes de vie des personnes concernées. Les trajets réalisés sont très caractéristiques en ce qu’ils peuvent permettre de déduire le lieu de travail, le domicile ainsi que les centres d’intérêt (loisirs) du conducteur, et peuvent éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés. Par conséquent, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient particulièrement veiller à ne pas collecter de données de localisation, à moins que cela ne soit absolument nécessaire pour la finalité du traitement « . Ces lignes directrices soulignent également que la collecte de données de localisation est subordonnée au respect du principe selon lequel la localisation peut être activée  » uniquement lorsque l’utilisateur lance une fonctionnalité qui nécessite de connaître la localisation du véhicule, et non par défaut et en continu au démarrage de la voiture « .

La formation restreinte rappelle que l’appréciation du respect du principe de minimisation des données repose sur le caractère limité à ce qui est nécessaire des données traitées au regard de la finalité pour laquelle elles sont collectées. Son appréciation implique de procéder à une analyse de la proportionnalité des données à caractère personnel qui sont collectées au regard des finalités visées.

En outre, la formation restreinte souligne que l’appréciation du caractère limité à ce qui est nécessaire, au sens de l’article 5.1.c du RGPD, est éclairée par les dispositions du considérant 39 du RGPD, selon lequel  » [l]es données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens « . L’existence de moyens moins intrusifs pour atteindre les mêmes finalités doit ainsi être prise en compte, qu’il s’agisse de moyens alternatifs ou de données traitées moins fréquemment ou en moins grand nombre.

[Concernant le risque de vol] a formation restreinte souligne que les cas où, d’une part, la géolocalisation est le seul moyen de connaître la dernière position connue du véhicule et où, d’autre part, cette dernière position connue est effectivement proche de la localisation du véhicule, apparaissent limités. Dans ces situations, la formation restreinte ne remet pas en cause l’utilité de connaître la dernière position connue du véhicule grâce à la dernière donnée de géolocalisation. Cependant, cette hypothèse ne suffit pas à justifier la collecte de l’ensemble des données de géolocalisation de l’ensemble des trajets des utilisateurs.

Au surplus, la formation restreinte relève que d’autres mesures de sécurité pourraient être mises en place pour prévenir le vol des véhicules. En effet, par exemple, aucun dépôt de garantie n’est demandé à l’utilisateur pour louer un véhicule. La formation restreinte souligne que l’absence de mise en place de moyens alternatifs de prévention du vol, moins attentatoires à la vie privée des utilisateurs, tend à renforcer la conclusion selon laquelle il est disproportionné de faire reposer la prévention du vol de véhicules sur la collecte quasi permanente de données de géolocalisation.

S’agissant de la localisation du véhicule en cas d’accident, il est légitime pour la société de vouloir porter assistance aux utilisateurs victimes d’un accident de la circulation pendant la location d’un véhicule. Cependant, pour porter une telle assistance aux utilisateurs, la société doit nécessairement avoir connaissance de la survenance d’un incident ou d’un accident.

La formation restreinte considère que, dès lors que la société a connaissance de la survenance d’un accident concernant un véhicule loué, elle peut géolocaliser ce véhicule pour, le cas échéant, porter assistance à l’utilisateur. En revanche, la formation restreinte estime que la géolocalisation tous les 500 mètres de l’ensemble des véhicules au cours de toute la durée de location, préalablement à toute information relative à un accident, n’est pas nécessaire pour porter assistance à un utilisateur. La collecte de données de géolocalisation quasi permanente n’est donc ni adéquate, ni pertinente au regard de cette finalité.

Il résulte de l’ensemble de ce qui précède que la formation restreinte considère qu’aucune des finalités avancées par la société ne justifie une collecte tous les 500 mètres des données de géolocalisation au cours de la location d’un véhicule. Une telle pratique est en effet très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours journalier, ce qui revient à mettre en cause leur liberté de circulation. La formation restreinte relève à cet égard que la société pourrait proposer un service identique sans collecter des données de géolocalisation de manière quasi permanente.

La formation restreinte considère par conséquent que ces faits constituent un manquement à l’article 5.1.c du RGPD.

Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement en application de l’article 5.1.e du RGPD

Aux termes de l’article 5.1.e du Règlement, les données à caractère personnel doivent être  » conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) « .

Il ressort de la politique de conservation des données de la société que les données de géolocalisation des clients particuliers sont conservées en base active pendant toute la durée de la relation commerciale puis durant trois ans à compter de la date de dernière activité de l’utilisateur.

La formation restreinte rappelle que la durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées, ou faire l’objet d’un archivage intermédiaire, pour une durée déterminée, lorsque leur conservation est nécessaire par exemple pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. La formation restreinte souligne également que l’effectivité de la mise en œuvre d’une politique de durées de conservation des données est le pendant nécessaire de sa définition et permet d’assurer que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet par ailleurs, notamment, de réduire les risques d’usage non autorisé des données en cause, par un salarié ou par un tiers.

A la date des contrôles de la délégation de la CNIL, la société conservait, dans le système d’information […], un historique des données de géolocalisation. Les données de géolocalisation étaient conservées, en application de la politique de durées de conservation, en base active durant trois ans à compter de la date de dernière activité de l’utilisateur. Le point de départ de la durée de conservation de ces données était ainsi lié à la fin de la relation commerciale entre la société et l’utilisateur. Cette pratique concernait une partie de l’activité de la société, c’est-à-dire les données collectées dans les pays où le système d’information […] était utilisé (France, Italie et, partiellement, Belgique).

La formation restreinte remarque que les finalités pour lesquelles des données de géolocalisation sont collectées ne sont pas liées à l’ensemble de cette relation commerciale mais à chaque contrat de location d’un véhicule. En effet, s’agissant, premièrement, de la finalité liée à la gestion de la flotte de véhicules et du contrat de location, les données de géolocalisation du véhicule ne sont plus nécessaires à cette finalité dès lors que le véhicule a été restitué et que la location a pris fin. Deuxièmement, s’agissant de la finalité liée à la prévention du vol, les données de géolocalisation seraient nécessaires uniquement en cas de vol du véhicule, le temps de l’instruction du dossier par les autorités judiciaires compétentes ou jusqu’à l’issue d’une procédure de levée de doute n’aboutissant pas à la confirmation du vol du véhicule. Troisièmement, s’agissant de la finalité liée à l’assistance des utilisateurs en cas d’accident, si des données de géolocalisation des véhicules peuvent être nécessaires à l’accomplissement d’un service d’assistance, elles ne le sont plus dès lors que ce service ou les procédures qui y sont liées prennent fin.

La formation restreinte souligne que, le cas échéant, à l’issue des procédures liées au vol d’un véhicule ou à un accident, des données de géolocalisation en lien avec ces procédures peuvent être conservées par la société, notamment en vertu d’obligations légales ou pour se constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable. Ces données doivent cependant faire l’objet d’un tri puis être conservées dans une base d’archivage dédiée, distincte de la base active, pour une durée liée aux finalités recherchées. En outre, le point de départ de la durée de conservation de ces données doit être lié aux situations et événements justifiant la collecte de ces données et ne saurait, en l’espèce, dépendre de manière mécanique et systématique de la fin de la relation commerciale avec le client.

Par conséquent, la formation restreinte considère que le fait que le point de départ de la durée de conservation des données de géolocalisation soit lié non pas au contrat de location mais à la fin de la relation commerciale avec l’utilisateur ne permettait pas de respecter le principe selon lequel les données à caractère personnel ne doivent pas être conservées pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

 La formation restreinte en conclut que la société a conservé les données de géolocalisation en cause pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées et a ainsi méconnu ses obligations au regard de l’article 5.1.e du RGPD.

Sur le manquement relatif à l’obligation d’informer les personnes en application de l’articles 12 du RGPD

L’article 12.1 du Règlement dispose que  » le responsable de traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. […] « 

A titre d’éclairage, s’agissant du caractère aisément accessible de l’information, le G29 précise, dans ses lignes directrices du 11 avril 2018 sur la transparence au sens du règlement (UE) 2016/679, que  » le critère  » aisément accessible  » signifie que la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder : par exemple, ces informations pourraient être communiquées aux personnes concernées directement ou au moyen d’un lien qui leur serait adressé […] « . Il  » recommande à titre de bonne pratique que, dans un contexte en ligne, un lien vers la déclaration ou l’avis sur la protection de la vie privée soit fourni au point de collecte des données à caractère personnel, ou que ces informations soient consultables sur la même page que celle où les données à caractère personnel sont collectées « .

$Ces lignes directrices précisent également que les informations  » devraient être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale « . Les lignes directrices indiquent que »la personne concernée ne doit pas avoir à chercher activement les informations couvertes par [les articles 13 et 14] parmi d’autres informations telles que les conditions d’utilisation d’un site […] « .

Il a été constaté que, pour s’inscrire, un utilisateur devait renseigner différentes données à caractères personnel (prénom, nom, date de naissance, coordonnées) sur un formulaire d’inscription. Il a également été constaté que le formulaire d’inscription contenait un lien renvoyant vers les conditions générales d’utilisation. Dans ce document, se trouvait un lien vers la politique de confidentialité de la société, dans laquelle étaient présentées les informations prévues à l’article 13 du RGPD.

La formation restreinte relève que la page du formulaire d’inscription ne permettait ainsi pas à l’utilisateur d’accéder directement à une information exhaustive relative à la protection des données dans la mesure où un parcours de plusieurs clics était nécessaire pour l’obtenir. Elle note également que, pour prendre connaissance des informations relatives à la protection des données à caractère personnel, les personnes étaient amenées à les rechercher parmi les conditions générales d’utilisation. Or, la présentation des informations relatives à la protection des données à caractère personnel dans un document accessible depuis un lien présent dans les conditions générales d’utilisation du site web ne saurait être regardée comme satisfaisant aux exigences d’une information aisément accessible. En effet, s’il n’est pas nécessaire de faire figurer les informations visées par l’article 13 du RGPD dès le formulaire de collecte, celui-ci doit, à tout le moins, présenter un moyen tel qu’un lien hypertexte permettant à l’utilisateur de prendre aisément connaissance de l’ensemble des informations obligatoires.

[CNIL, délibération de la formation restreinte no SAN-2022-015 du 7 juillet 2022 concernant la société U (https://www.cnil.fr/fr/geolocalisation-de-vehicules-de-location-sanction-de-175-000-euros-lencontre-dubeeqo-international)]

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s