La CNIL[1] a sanctionné la société UBEEQO INTERNATIONAL, le 7 juillet 2022, pour n’avoir pas respecté le principe de minimisation des données du RGPD[2] et pour avoir conservé des données à caractère personnel pendant une période trop longue.

Cette société UBEEQO INTERNATIONAL, qui appartient au loueur EUROPCAR, proposait aux particuliers de louer des véhicules pour une durée variable. Au cours de la location, la position GPS des véhicules était envoyée à la société chaque fois que le véhicule se déplaçait de 500 mètres, mais aussi lorsque le moteur s’allumait ou se coupait et lorsque les portes du véhicule s’ouvraient ou se fermaient. La société UBEEQO indiquait réaliser ce traitement de données pour différentes raisons :

  • pour assurer la gestion de la flotte des véhicules, par exemple pour localiser le lieu de dépôt des véhicules ;
  • pour assurer la gestion des contrats de location, par exemple pour s’assurer que le véhicule ne sorte pas de certaines zones, comme la zone de péage urbain présente à Madrid, ou le territoire national ;
  • pour retrouver les véhicules en cas de vol ;
  • pour porter assistance aux clients, notamment en cas d’accident.

La société avait, par ailleurs, la possibilité de localiser les véhicules en temps réel.

La CNIL a rappelé à la société UBEEQO que seules les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[3] peuvent être traitées et que les données de localisation sont considérées comme des « données à caractère hautement personnel », car elles sont « particulièrement révélatrices des habitudes de vie des personnes » et « peuvent permettre de déduire le lieu de travail, le domicile ainsi que les centres d’intérêt » mais aussi « éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés »[4].

En l’espèce, la Commission française estime « qu’aucune des finalités avancées par la société ne justifie une collecte tous les 500 mètres des données de géolocalisation au cours de la location d’un véhicule ».

Dans le détail :

  • Concernant la finalité d’assurer la gestion de la flotte et plus particulièrement la nécessité de localiser les véhicules rendus, la CNIL considère, d’une part, que le moteur du véhicule devait être nécessairement coupé pour rendre le véhicule, ce qui déclenchait inévitablement la localisation du véhicule, et que d’autre part, le client devait contacter manuellement la société pour mettre un terme au contrat de location. La société pouvait ainsi se contenter de localiser le véhicule uniquement après que le client a manifesté sa volonté de mettre un terme à son contrat de location ;
  • Concernant la finalité de contrôler l’entrée ou la sortie d’une zone de péage urbain, la CNIL considère, d’une part, que cette spécificité concerne uniquement la ville de Madrid et que, d’autre part, « une collecte quasi permanente des données de géolocalisation sur l’ensemble des véhicules loués […] apparaît nécessairement disproportionnée » si la finalité est de facturer automatiquement certains frais aux clients ;
  • Concernant la finalité de respecter le contrat de location et plus particulièrement l’absence de sortie des « voies carrossables » ou du territoire national, la CNIL considère que la société UBEEQO n’a pas été en mesure d’établir que les données de géolocalisation étaient réellement utilisées pour atteindre cette finalité, ni les éventuelles conséquences d’un tel événement ;
  • Concernant la finalité de lutter contre le vol, la CNIL considère que la localisation du véhicule devrait avoir lieu uniquement à partir de la déclaration de vol, d’autant plus que, d’après les informations communiquées par la société, le vol du véhicule est réalisé dans 60 % des cas par le client et que la société ne recourt à aucun moyen alternatif pour atteindre cet objectif, comme un dépôt de garantie ;
  • Concernant la finalité de permettre la localisation le véhicule en cas d’accident, la CNIL considère que la localisation du véhicule devrait intervenir uniquement après une demande d’assistance de la part du client.

Par ailleurs, toutes les données de localisation étaient conservées pendant toute la durée du contrat de location, puis trois ans à compter de la dernière activité de l’utilisateur, c’est-à-dire une autre location, un clic sur un lien dans une newsletter ou la connexion à son compte personnel par exemple. Cette durée de conservation est jugée excessive par la Commission, qui estime que les données devraient être supprimées lorsque la location prend fin et que le contrat est clôturé[5].

Enfin, la CNIL reproche également à la société UBEEQO :

  • d’avoir conservé des données personnelles sur des clients inactifs plus longtemps que les trois ans prévus par la politique de l’entreprise ;
  • de ne pas avoir intégré sur le formulaire d’inscription de son site Internet, un moyen suffisamment accessible pour permettre aux internautes d’accéder aux informations relatives à la protection des données de l’entreprise[6].

Une amende de 175 000 euros a été prononcée à l’encontre de la société UBEEQO INTERNATIONAL, soit 0,007 % du chiffre d’affaires[7] du groupe EUROPCAR.

Lire :

Ma réaction à cette décision

Il est aujourd’hui techniquement possible et peu coûteux de collecter un grand nombre de données sur tous les objets, dont les véhicules. De nombreuses entreprises, comme EUROPCAR, ne se posent donc probablement plus la question de savoir si cela est bien nécessaire. On a d’ailleurs bien souvent l’impression que la motivation initiale est de collecter le maximum de données et que des finalités, réelles ou fictives, sont recherchées à postériori pour justifier le traitement. On en vient presque à regretter le passé où la question n’était pas de savoir si l’on devait faire quelque chose, mais si l’on pouvait le faire.

Par ailleurs, le Comité européen de la protection des données (CEPD) est très clair concernant les données de localisation des véhicules : les données ne devraient pas être collectées, « à moins que cela ne soit absolument nécessaire pour la finalité du traitement ». Si le Comité est aussi strict avec ces données, c’est parce qu’elles sont « particulièrement intrusives ». L’accès à ces données permet, dans de nombreux cas, d’identifier les personnes et de connaître une grande partie de leur vie : ce qu’ils font, ce qu’ils achètent, ce qu’ils aiment. Pour ne pas faire prendre de risques inutiles aux personnes concernées, il est donc préférable de ne pas collecter ces données, ou les conserver dans des conditions strictes, ce qui n’était manifestement pas le cas pour la filiale d’EUROPCAR, pourtant spécialiste du domaine. L’historique complet des données de localisation était conservé pendant une période glissante de trois ans. Si la personne se connectait à son compte ou cliquait simplement sur un lien dans un mail envoyé par UBEEQO, cette période était étendue. Inacceptable et inconscient. Imaginez les conséquences si ces données se retrouvent dans la nature – et on sait maintenant que la question n’est plus de savoir si cela arrivera ou pas, mais quand cela arrivera.

Enfin, j’ai consulté la politique relative à la protection des données du site de la société UBEEQO pour connaître ce qui était désormais expliqué en termes de données de localisation :

« Nous recueillons diverses informations par l’intermédiaire de nos véhicules connectés, y compris : l’état du véhicule, les renseignements sur les dommages ou les accidents, les données de performance du véhicule, les données de fonctionnement et de diagnostic, les renseignements sur le kilométrage, les vitesses d’accélération et de freinage, la consommation de carburant et les niveaux de carburant, la pression des pneus, les relevés de l’indicateur de distance, l’emplacement du véhicule et d’autres renseignements relatifs au véhicule. »

Je ne sais pas si UBEEQO a changé sa pratique, mais la politique indique toujours que « l’emplacement du véhicule » est collecté, sans plus de précision. D’ailleurs, « d’autres renseignements relatifs au véhicule » sont également collectés, ce qui peut inclure tout et n’importe quoi. Pour quelles finalités ces données sont-elles collectées ? Difficile à dire au vu du tableau des finalités présenté. On ne peut donc pas dire que les deux ans et demi de procédure de la CNIL concernant UBEEQO a eu pour conséquence un changement radical des pratiques de la société, notamment d’un point de vue de la transparence des traitements effectués.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD indique que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » (source : RGPD, article 5-1-c). La société UBEEQO ne pouvait donc pas collecter la localisation des GPS des véhicules en quasi-permanence si aucune finalité prédéfinie le justifiait réellement. Voir « Quelles données à caractère personnel peut-on collecter ? ».
  4. Cette interprétation des données de localisation est issue des travaux du Comité européen de la protection des données (EDPB), qui indique que les données de localisation des véhicules doivent être considérées comme des données à caractère personnel et que ces données « sont particulièrement révélatrices des habitudes de vie des personnes concernées » et « particulièrement intrusives », car les « les trajets réalisés sont très caractéristiques en ce qu’ils peuvent permettre de déduire le lieu de travail, le domicile ainsi que les centres d’intérêt (loisirs) du conducteur, et peuvent éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés ». Le CEPD estime, par conséquent, que les responsables de traitement « devraient particulièrement veiller à ne pas collecter de données de localisation, à moins que cela ne soit absolument nécessaire pour la finalité du traitement » (source : EDPB, Lignes directrices 01/2020 sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité, §63 et §70).
  5. Le RGPD demande de conserver les données personnelles « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-e). La société UBEEQO devait donc conserver les données de localisation pendant une période adaptée et ne pouvait pas les conserver pendant une période générique, commune aux autres données personnelles des clients. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  6. Le RGPD demande que les informations relatives à la protection des données soient communiquées « d’une façon concise, transparente, compréhensible et aisément accessible » (source : RGPD, article 12-1). La société UBEEQO devait donc s’assurer que les internautes puissent aisément accéder à la politique de confidentialité, ce qui n’était pas le cas, car la page d’inscription contenait un lien vers les conditions générales et non pas un lien direct vers la politique de confidentialité. Voir « Comment fournir les informations relatives à un traitement de données à caractère personnel ? ».
  7. La société UBEEQO INTERNATIONAL appartient au groupe EUROPCAR MOBILITY GROUP, qui déclare réaliser un chiffre d’affaires moyen de 2,57 milliards d’euros en 2018-2020 (source : délibération de la CNIL).