Collecte excessive de données de géolocalisation : La CNIL sanctionne UBEEQO
Dans sa délibération du 7 juillet 2022, la CNIL a prononcé une amende de 175.000€ contre la société UBEEQO INTERNATIONAL pour avoir porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi-permanente.
Rappel – En 2020 la CNIL avait axé son action de contrôle sur trois thématiques dont la géolocalisation pour les services de proximité. En effet, la collecte de données de géolocalisation soulève souvent des risques d’atteinte à la vie privée.
Faits – Ainsi, la Commission a procédé au contrôle de la société UBEEQO. Spécialisée dans la location de voiture à court terme, cette dernière collectait des données relatives à la géolocalisation des véhicules, « tous les 500 mètres, lorsque le moteur s’allume et se coupe ou encore lorsque les portes s’ouvrent et se ferment. […] ». De plus, l’historique de données de géolocalisation était conservé pendant une durée excessive.
Motifs – La CNIL justifie sa décision après avoir relevé de nombreux manquements au RGPD. Premièrement, l’autorité constate un manquement à l’obligation de veiller à la minimisation des données (article 5.1.c du RGPD). En effet, la CNIL considère les finalités présentées par la société, à savoir, assurer la maintenance et la performance du service, retrouver le véhicule en cas de vol mais aussi porter assistance aux clients en cas d’accident, ne justifiait pas une telle collecte de données.
Deuxièmement, la CNIL constate un manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnées (article 5.1.e). En effet, la société conservait les données pendant toute la durée de la relation commerciale avec ses clients puis durant trois ans après la fin de la location du véhicule, de plus, certaines données d’utilisateurs inactifs depuis plus de huit ans étaient conservées. La CNIL observe donc que la conservation a été faite sur une durée excessive.
Enfin, la CNIL relève un manquement à l’obligation d’informer les personnes (article 12) sur le traitement des données.
Sanction – Une amende de 175.000 a été prononcé à l’encontre de la société UBEEQO pour manquements aux principes du RGPD. La société peut exercer un recours devant le Conseil d’Etat pour contester la décision.
Pour en savoir plus :
Délibération du 7 juillet 2022 : Délibération SAN-2022-015 du 7 juillet 2022 – Légifrance (legifrance.gouv.fr)
Communiqué de la CNIL, 21 juillet 2022 : Géolocalisation de véhicules de location : sanction de 175 000 euros à l’encontre d’UBEEQO INTERNATIONAL | CNIL