La société Ubeeqo International a été sanctionnée d'une amende par la CNIL, qui lui reproche d'avoir porté une atteinte disproportionnée à la vie privée de ses clients, par le biais des données de géolocalisation notamment.
La Commission nationale Informatique et Libertés (CNIL), qui surveille de près les nouveaux usages des données de géolocalisation liées aux mobilités, a récemment contrôlé la société Ubeeqo International, spécialisée dans l'autopartage et qui est connue pour louer des véhicules pour une courte durée. L'autorité voulait s'assurer que les données collectées, les mesures de sécurité, les durées de conservation définies et l'information délivrée aux personnes étaient bien conformes à la réglementation. Le gendarme des données a finalement relevé trois manquements principaux au RGPD et sanctionné l'entreprise d'une amende de 175 000 euros. Voyons ce qui clochait aux yeux de la CNIL.
Une géolocalisation « quasi-permanente », qui empiétait sur la vie privée des utilisateurs d'Ubeeqo
Lors de son contrôle, la CNIL s'est aperçue que la société collectait les données de géolocalisation du véhicule loué par un particulier tous les 500 mètres une fois ce véhicule en mouvement, lorsque le moteur s'allumait ou lorsque les portes s'ouvraient et se fermaient. Pour l'autorité, cette pratique constitue un manquement à l'obligation de veiller à la minimisation des données, sacrée par l'article 5.1.c du RGPD.
De son côté, Ubeeqo indique que ces données étaient collectées pour assurer la bonne maintenance et la performance de son service (en veillant notamment à ce que la voiture soit rendue au bon endroit), pour retrouver le véhicule en cas de vol et pour porter assistance aux clients qui subiraient ou provoqueraient un accident.
La CNIL a tour à tour écarté ces trois arguments, qui pour elle « ne justifient pas une collecte de données de géolocalisation aussi fine ». Le gendarme des données évoque une pratique « très intrusive dans la vie privée des utilisateurs », traqués dans leurs déplacements ou leurs lieux fréquentés. L'autorité est convaincue que Ubeeqo pourrait proposer un service identique sans avoir à géolocaliser ses clients quasiment en permanence.
Une durée de conservation des données excessive
Le second manquement tient à l'historique de certaines données de géolocalisation collectées, pendant une durée excessive, ce qui est une entorse à l'article 5.1.e du RGPD. La CNIL a remarqué que ces données étaient conservées pendant toute la durée de la relation commerciale avec un client, mais surtout trois ans après la fin de la location du véhicule.
Une telle durée de conservation est excessive selon la CNIL, car elle ne répond pas à un besoin de la société dans la gestion de sa flotte de véhicules, ni pour retrouver une voiture volée, ni pour porter assistance au client. Durant son enquête, l'autorité a même découvert, dans la base de données de la société, des informations personnelles appartenant à des utilisateurs qui étaient pourtant inactifs depuis plus de huit ans sur la plateforme.
La CNIL a enfin constaté un manquement à l'obligation d'informer les personnes (article 12 du RGPD), puisqu'en s'inscrivant sur l'application Ubeeqo, les informations relatives au traitement des données n'étaient pas suffisamment accessibles aux utilisateurs.
Source : CNIL
