Ubeeqo International écope d’une amende de 175 000 euros, rendue publique ce jour par la CNIL. La société, spécialisée dans la location de véhicules pour une courte durée, est sanctionnée pour plusieurs indélicatesses avec le RGPD.
La géolocalisation fut l'une des thématiques de contrôle de la CNIL en 2020. Deux ans plus tard, Ubeeqo, filiale d’Europcar, est sanctionnée par l'autorité administrative.
Cette société édite une plateforme de location de véhicules en autopartage, épaulée par l’application Ubeeqo dédiée aux professionnels comme aux particuliers. Le service se veut simple, comme le résume le site officiel : « 1. Inscrivez-vous et réservez avec l’application. 2. Déverrouillez la voiture avec votre téléphone et c’est parti ! 3. Remettez la voiture sur la place de parking d'origine lorsque vous avez terminé » (la liste de ces parkings, à Paris).
« Au cours de leur location par des clients, la société collecte des données de géolocalisation des véhicules, notamment afin de gérer le parc de véhicules en vue des prochaines locations » souligne la CNIL dans sa délibération. Concentrée sur les locations aux particuliers, avec le képi d’autorité-chef de file, la commission a en effet repéré plusieurs contrariétés avec le règlement européen du 25 mai 2018.
Celui-ci exige que les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». C’est le fameux principe de minimisation des données qui implique qu’on ne collecte pas plus d’informations personnelles que nécessaire.
Un principe un peu trop malmené lorsqu'on sait que la société collecte des données de géolocalisation, transmises par réseau GSM, « tous les 500 mètres, lorsque le moteur s’allume et se coupe ou encore lorsque les portes s’ouvrent et se ferment ». Elle peut également localiser en temps réel d’une simple pression sur un bouton.
Des finalités qui ne peuvent tout justifier
Pour justifier un tel rythme de collecte, Ubeeqo a mis en avant la nécessité d’ « assurer la maintenance et la performance du service (vérifier que le véhicule est rendu au bon endroit, surveiller l’état du parc…) », « pour retrouver le véhicule en cas de vol », et « porter assistance aux clients en cas d’accident ».
Pour la Commission, ces données de géolocalisation deviennent des données personnelles puisqu’elles sont associées à une personne. Des données « hautement personnelles » même, puisqu’associées à la liberté de circulation du client. Le Comité européen de la protection des données estime qu’elles peuvent parfois devenir « sensibles » quand les trajets révèlent « des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés ».
L'autorité française n’a pas été convaincue par les explications de l’entreprise. Une telle collecte ne répond pas au principe de nécessité, déjà parce que « pour rendre le véhicule, le moteur doit nécessairement être coupé ». Et ce fait même déclenche de lui-même la géolocalisation. « Ainsi, lorsqu’un utilisateur allume ou coupe le moteur du véhicule, ce véhicule transmet à la société la géolocalisation de celui-ci. Si la société constate alors que le véhicule est de retour à son point de départ et qu’il est fermé, elle peut mettre fin à la location en cours ».
Ainsi, « la collecte des données de géolocalisation pendant le reste du trajet n’est pas nécessaire pour déterminer si le véhicule est de retour à sa station de départ en vue d’être restitué ». De plus, dans l’hypothèse où un client voudrait rendre le véhicule à un autre endroit, la société peut toujours « activer la géolocalisation afin de gérer cette situation ».
Géolocalisation et risque de vol
Les données de géolocalisation des véhicules ne peuvent pas plus « être considérées comme strictement nécessaires à la poursuite de la finalité liée au risque de vol, avant tout fait générateur ». Ce n’est donc qu’en cas de suspicion ou de déclaration de vol que cette géolocalisation peut être justifiée.
La société a tenté de justifier ce traçage tous les 500 mètres en imaginant « le véhicule [placé] dans une zone où le signal ne pourrait émettre (parking souterrain…) ». Ainsi, « connaître la dernière position connue du véhicule permettrait donc de réduire la zone de recherche du véhicule si celui-ci était volé et n’émettait plus de signal ». Et la société d’insister : dans 60 % des cas, c’est le client qui est l’auteur du vol.
Les arguments n’ont pas plus prospéré : cela veut donc dire que dans 6 cas sur 10, « la société dispose en principe de l’identité de cette personne, qui a été vérifiée au cours du parcours d’inscription de l’utilisateur, en collectant des copies d’une pièce d’identité et du permis de conduire de cette personne ».
Et dans les 4 cas sur 10 restants, « l’utilisateur n’étant pas le voleur du véhicule, il peut communiquer à la société la dernière position connue du véhicule avant qu’il ne disparaisse ».
Quant au scénario d’un système GPS désactivé au fond d’un parking, « la proportion de ces hypothèses n’a […] pas été communiquée par la société ».
Au regard de ce tableau, la CNIL considère qu’un suivi des véhicules tous les 500 mètres est bien too much et injustifié d’autant que des mesures moins intrusives pourraient être envisagées comme un dépôt de garantie. « L’absence de mise en place de moyens alternatifs de prévention du vol, moins attentatoires à la vie privée des utilisateurs, tend à renforcer la conclusion selon laquelle il est disproportionné de faire reposer la prévention du vol de véhicules sur la collecte quasi permanente de données de géolocalisation ».
Géolocalisation et assistance aux victimes
Quant à la dernière justification, la CNIL ne doute pas qu'« il est légitime pour la société de vouloir porter assistance aux utilisateurs victimes d’un accident de la circulation pendant la location d’un véhicule. Cependant, pour porter une telle assistance aux utilisateurs, la société doit nécessairement avoir connaissance de la survenance d’un incident ou d’un accident ».
Des données conservées trop longtemps
La collecte quasi permanente des données de géolocalisation n’a pas été la seule indélicatesse identifiée.
La CNIL, lors de ses contrôles, a relevé que la société conservait l’historique des géolocalisations en base active trois ans à compter de la date de dernière activité de l’utilisateur. Or, la durée de conservation ne doit pas excéder celle nécessaire compte tenu des finalités qui ont justifié la collecte.
Si la société a fait évoluer son système d’information après ce contrôle, la commission s’est arrêtée à la photographie prise lors de son enquête. Au passage, l’autorité a sanctionné la présence de données nominatives associées à des utilisateurs inactifs depuis... plus de huit ans.
Défaut d'information des personnes concernées
Et enfin, elle a épinglé ce prestataire pour un défaut d’information des personnes concernées. Quand le RGPD exige que l’information sur les traitements soit faite « d’une façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples », l’autorité lui reproche d’avoir fourni ces informations au prix d’« un parcours de plusieurs clics ».
De même, « pour prendre connaissance des informations relatives à la protection des données à caractère personnel, les personnes étaient amenées à les rechercher parmi les conditions générales d’utilisation », qui n’est pas leur lieu de prédilection. La société a promis de se mettre en conformité, mais la promesse est toujours tardive puisque la CNIL arrête ses conclusions au jour de son enquête.
Ubeeqo International a donc été frappée d'une amende administrative de 175 000 euros, rendue publique. Une publicité justifiée en raison « de la pluralité des manquements relevés, de leur gravité et de la nature particulière des données concernées ». Ubeeqo peut désormais contester cette décision administrative devant le Conseil d’État.
