La Commission nationale de l’informatique et des libertés (CNIL) vient de rendre publique une sanction infligée le 22 juillet dernier à une société spécialisée dans la location de véhicules de luxe. LocCar Dream a en effet écopé d’une amende de 5 000 euros, notamment pour avoir géolocalisé ses clients à leur insu.
Lamborghini, Viper, Maserati, Mustang... Habituellement, la CNIL n’ouvre pas le capot de ce type de machines. Pourtant, l’institution est bien venue se pencher en juin 2013 sur la trentaine de véhicules de luxe proposés à la location par la société LocCar Dream. Et pour cause. Un client s’était plaint auprès d’elle d’un dispositif de géolocalisation qui l’aurait pisté, à son insu. Après trois courriers restés lettre morte, la gardienne des données personnelles s’était décidée à effectuer un contrôle sur place.
Résultat ? « La délégation a constaté que 36 véhicules sans chauffeur sont proposés à la location et enregistrés dans [ce dispositif de géolocalisation], qui ne dispose d’aucun système de désactivation et dont les plages d’utilisation sont paramétrées pour un usage 24h/24 et 7 jours/7 » résume la CNIL. Depuis son ordinateur, le responsable du magasin pouvait ainsi savoir en temps réel où se trouvaient ses véhicules, à n’importe quelle heure du jour et de la nuit, et même reconstituer les trajets effectués par ses clients.
Après avoir mis en demeure la société d’effectuer différents changements, en vain, la CNIL a ouvert durant l’automne 2013 une procédure de sanction. Cette dernière s’est soldée le 22 juillet par une amende de 5 000 euros pour le loueur, réprimande ayant vocation à être rendue publique (voir la délibération).
Une géolocalisation en temps réel, 24h/24 et sans information à l'égard des clients
Car les reproches de la Commission étaient en réalité assez nombreux. Outre le fait qu'elle n’ait pas accompli toutes les formalités relatives à la mise en place d’un traitement de données, LocCar Dream a été sanctionnée en raison du caractère disproportionné de son système de géolocalisation. « À supposer que la finalité de ce dispositif soit de lutter contre la non restitution ou le vol de véhicules de la société », expose la CNIL, la permanence de la géolocalisation reste en effet « excessive ». L’institution ajoute qu’un mécanisme si intrusif aurait pu être utilisé, mais uniquement pour retrouver des véhicules volés ou non restitués par les clients.
La Commission est également venu resserrer quelques boulons sur le terrain de l’information des clients quant à l’existence de ce dispositif de géolocalisation. La société affirmait qu’elle prévenait les loueurs, oralement, lors de la remise des clés du véhicule. La CNIL se montre cependant très dubitative, retenant que LocCar Dream n’a pas réussi à démontrer un tel argument. De surcroît, elle observe qu’aucune mention de ce dispositif de géolocalisation n’est faite dans les contrats de location signés par les clients. Le loueur a ainsi été reconnu coupable de manquement à son obligation d’informer préalablement les personnes visée par ce suivi en temps réel.
Le dispositif était « excessif » et insufisamment sécurisé
Ensuite, c’est sur la piste de la sécurisation des données collectées au travers de ce dispositif de géolocalisation que la CNIL est venu brandir le drapeau à damier. Lors de son contrôle, la gardienne des données personnelles a en effet constaté que l’accès au système se faisait grâce à un mot de passe qui n’avait pas été changé depuis plus de deux ans. Celui-ci était par ailleurs trop simple, car il n’était composé que de caractères alphanumériques. Or tout cela va à l’encontre des exigences de la Commission, qui réclame un renouvellement régulier du sésame ainsi qu’un jonglage entre chiffres, minuscules, majuscules et caractères spéciaux (il en faut au moins trois parmi ces quatre).
Enfin, LocCar Dream a été reconnu coupable de manquement à son obligation de coopérer avec la CNIL. L’institution n’a visiblement pas apprécié que la société de location ne réponde pas à ses courriers, dont deux lettres recommandées envoyées au début de l’année 2013. En ne donnant pas non plus de suite à la mise en demeure de la Commission, l’entreprise n’a manifestement pas arrangé son cas. Elle n’a par ailleurs présenté aucune défense lors de la séance plénière au cours de laquelle son dossier fut examiné préalablement à sa sanction.
