Ubeeqo International écope d’une amende de 175 000 euros, rendue publique ce jour par la CNIL. La société, spécialisée dans la location de véhicules pour une courte durée, est sanctionnée pour plusieurs indélicatesses avec le RGPD.
La géolocalisation fut l'une des thématiques de contrôle de la CNIL en 2020. Deux ans plus tard, Ubeeqo, filiale d’Europcar, est sanctionnée par l'autorité administrative.
Cette société édite une plateforme de location de véhicules en autopartage, épaulée par l’application Ubeeqo dédiée aux professionnels comme aux particuliers. Le service se veut simple, comme le résume le site officiel : « 1. Inscrivez-vous et réservez avec l’application. 2. Déverrouillez la voiture avec votre téléphone et c’est parti ! 3. Remettez la voiture sur la place de parking d'origine lorsque vous avez terminé » (la liste de ces parkings, à Paris).
« Au cours de leur location par des clients, la société collecte des données de géolocalisation des véhicules, notamment afin de gérer le parc de véhicules en vue des prochaines locations » souligne la CNIL dans sa délibération. Concentrée sur les locations aux particuliers, avec le képi d’autorité-chef de file, la commission a en effet repéré plusieurs contrariétés avec le règlement européen du 25 mai 2018.
Celui-ci exige que les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». C’est le fameux principe de minimisation des données qui implique qu’on ne collecte pas plus d’informations personnelles que nécessaire.
Un principe un peu trop malmené lorsqu'on sait que la société collecte des données de géolocalisation, transmises par réseau GSM, « tous les 500 mètres, lorsque le moteur s’allume et se coupe ou encore lorsque les portes s’ouvrent et se ferment ». Elle peut également localiser en temps réel d’une simple pression sur un bouton.
Des finalités qui ne peuvent tout justifier
Pour justifier un tel rythme de collecte, Ubeeqo a mis en avant la nécessité d’ « assurer la maintenance et la performance du service (vérifier que le véhicule est rendu au bon endroit, surveiller l’état du parc…) », « pour retrouver le véhicule en cas de vol », et « porter assistance aux clients en cas d’accident ».
Pour la Commission, ces données de géolocalisation deviennent des données personnelles puisqu’elles sont associées à une personne. Des données « hautement personnelles » même, puisqu’associées à la liberté de circulation du client. Le Comité européen de la protection des données estime qu’elles peuvent parfois devenir « sensibles » quand les trajets révèlent « des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés ».
L'autorité française n’a pas été convaincue par les explications de l’entreprise. Une telle collecte ne répond pas au principe de nécessité, déjà parce que « pour rendre le véhicule, le moteur doit nécessairement être coupé ». Et ce fait même déclenche de lui-même la géolocalisation. « Ainsi, lorsqu’un utilisateur allume ou coupe le moteur du véhicule, ce véhicule transmet à la société la géolocalisation de celui-ci. Si la société constate alors que le véhicule est de retour à son point de départ et qu’il est fermé, elle peut mettre fin à la location en cours ».
Ainsi, « la collecte des données de géolocalisation pendant le reste du trajet n’est pas nécessaire pour déterminer si le véhicule est de retour à sa station de départ en vue d’être restitué ». De plus, dans l’hypothèse où un client voudrait rendre le véhicule à un autre endroit, la société peut toujours « activer la géolocalisation afin de gérer cette situation ».
Géolocalisation et risque de vol
Les données de géolocalisation des véhicules ne peuvent pas plus « être considérées comme strictement nécessaires à la poursuite de la finalité liée au risque de vol, avant tout fait générateur ». Ce n’est donc qu’en cas de suspicion ou de déclaration de vol que cette géolocalisation peut être justifiée.
La société a tenté de justifier ce traçage tous les 500 mètres en imaginant « le véhicule [placé] dans une zone où le signal ne pourrait émettre (parking souterrain…) ». Ainsi, « connaître la dernière position connue du véhicule permettrait donc de réduire la zone de recherche du véhicule si celui-ci était volé et n’émettait plus de signal ». Et la société d’insister : dans 60 % des cas, c’est le client qui est l’auteur du vol.
Les arguments n’ont pas plus prospéré : cela veut donc dire que dans 6 cas sur 10, « la société dispose en principe de l’identité de cette personne, qui a été vérifiée au cours du parcours d’inscription de l’utilisateur, en collectant des copies d’une pièce d’identité et du permis de conduire de cette personne ».
Et dans les 4 cas sur 10 restants, « l’utilisateur n’étant pas le voleur du véhicule, il peut communiquer à la société la dernière position connue du véhicule avant qu’il ne disparaisse ».
Quant au scénario d’un système GPS désactivé au fond d’un parking, « la proportion de ces hypothèses n’a […] pas été communiquée par la société ».
Au regard de ce tableau, la CNIL considère qu’un suivi des véhicules tous les 500 mètres est bien too much et injustifié d’autant que des mesures moins intrusives pourraient être envisagées comme un dépôt de garantie. « L’absence de mise en place de moyens alternatifs de prévention du vol, moins attentatoires à la vie privée des utilisateurs, tend à renforcer la conclusion selon laquelle il est disproportionné de faire reposer la prévention du vol de véhicules sur la collecte quasi permanente de données de géolocalisation ».
Géolocalisation et assistance aux victimes
Quant à la dernière justification, la CNIL ne doute pas qu'« il est légitime pour la société de vouloir porter assistance aux utilisateurs victimes d’un accident de la circulation pendant la location d’un véhicule. Cependant, pour porter une telle assistance aux utilisateurs, la société doit nécessairement avoir connaissance de la survenance d’un incident ou d’un accident ».
Des données conservées trop longtemps
La collecte quasi permanente des données de géolocalisation n’a pas été la seule indélicatesse identifiée.
La CNIL, lors de ses contrôles, a relevé que la société conservait l’historique des géolocalisations en base active trois ans à compter de la date de dernière activité de l’utilisateur. Or, la durée de conservation ne doit pas excéder celle nécessaire compte tenu des finalités qui ont justifié la collecte.
Si la société a fait évoluer son système d’information après ce contrôle, la commission s’est arrêtée à la photographie prise lors de son enquête. Au passage, l’autorité a sanctionné la présence de données nominatives associées à des utilisateurs inactifs depuis... plus de huit ans.
Défaut d'information des personnes concernées
Et enfin, elle a épinglé ce prestataire pour un défaut d’information des personnes concernées. Quand le RGPD exige que l’information sur les traitements soit faite « d’une façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples », l’autorité lui reproche d’avoir fourni ces informations au prix d’« un parcours de plusieurs clics ».
De même, « pour prendre connaissance des informations relatives à la protection des données à caractère personnel, les personnes étaient amenées à les rechercher parmi les conditions générales d’utilisation », qui n’est pas leur lieu de prédilection. La société a promis de se mettre en conformité, mais la promesse est toujours tardive puisque la CNIL arrête ses conclusions au jour de son enquête.
Ubeeqo International a donc été frappée d'une amende administrative de 175 000 euros, rendue publique. Une publicité justifiée en raison « de la pluralité des manquements relevés, de leur gravité et de la nature particulière des données concernées ». Ubeeqo peut désormais contester cette décision administrative devant le Conseil d’État.
Commentaires (30)
#1
Ce genre de chose jette un froid sur la jolie histoire de l’auto-partage “que l’on aura tous en ville” plutôt que 1 véhicule / personne comme actuellement….
Le concept est sympa, dommage que les sociétés pionnières de ce domaine fasse peu de cas de la RGPD pourtant indispensable dans ce genre d’usage…
#1.1
Malheureusement de plus en plus de véhicules personnels prennent également la position en quasi continu, avec une flopée d’autres infos. Et autant dire que le opt-out est rarement appliqué …
#1.2
Je n’ai pas vu de opt-out sur la mienne. Et Jeep récupère bien plus que les données gps.
#1.3
C’est une Jeep électrique ?
#1.4
électrique, à mazout, à air comprimé, ça change quoi ?
#1.5
L’importance ! tout simplement car les constructeurs ajoute une carte SIM et puce GPS à leurs batteries “louées”, sur des véhicules vendus hein, pour pouvoir les couper à distance si tu ne payes plus.
#1.6
Je pensait que la location de batterie avait disparue !
#1.7
Je ne peux pas l’affirmer mais vu le nombre grandissant de pubs te proposant les voitures électriques en location (il devient de plus en plus rare de voir un prix) et vu qu’en France il est assez rare de voir un business rentable (limite mafieux) disparaître, le message de @nextdrOp m’a fait m’interroger, d’où ma question
#1.10
Il semblerait que j’ai vu juste
Par contre, pour dissiper un doute, es tu propriétaire de ta batterie ?
#1.11
Oui. Elle est garantie 8 ans. Le ticket est de 13k€ pour la changer. Ça promet.
#1.9
Oui. Jeep m’indique l’état de santé de la voiture sur 14 points.
#1.8
C’est peut être pas un cas général, mais sur mon véhicule c’était désactivé par défaut, si je veux l’activer j’ai une demande de confirmation indiquant les informations fournies, à qui, pourquoi. Propre.
#2
L’histoire ne dit pas d’où vient le contrôle de la CNIL. Est-ce quite à une plainte d’un usager ? Ou c’est un contrôle “au pif” ?
Quand je vois ce que deviennent les plaintes (elles finissent dans un trou noir), j’envie les gens qui réussissent à aller plus loin que l’accusé de réception de la plainte.
#3
Y’a pas que les voitures en autopartage, les trottinettes ça se passe comment ? Idem qu’ici, ie de la géolocalisation quasi temps-réel, où c’est un peu plus propre ?
#4
Ok pour l’encadrement de ces pratiques, mais les arguments apportés semblent complètement absurdes …
Le type qui visite un lieu de culte ou un bar gay va probablement couper le moteur… Donc la décision de la CNIL ne changera strictement rien pour ces cas, mais l’argument est tout de même utilisé pour justifier la décision?
Suis-je le seul à trouver l’argument ridicule et hors sujet? Il y a une différence majeure entre avoir une copie des papier du conducteur déclaré, et connaître la dernière position du véhicule.
#5
Franchement, je comprends pas cet avis de la CNIL. Le fait que le véhicule d’auto-partage soit tracé me semble tout à fait pertinent. Je pensais même que le trajet exact était envoyé, même pas une approximation tous les 500m.
#5.1
Si l’usager est d’accord avec cette pratique qui nuit au caractère confidentiel de ses déplacements?
Personnellement, cela m’embêterai d’être tracé aussi dans ce cas d’usage.
#6
Ça sent le dev (stagiaire ?) en startup qui a fait le plus possible pour impressionner l’investisseur (tuteur de stage)… Bon raté le plus n’est pas toujours le mieux ! Et le RGPD ça n’est pas inné !
C’est exactement ce que reproche la CNIL, c’est argument (retrouver le véhicule en cas de vol) ne justifie pas du tout de géolocalisé le particulier en quasi-permanence.
#7
J’avoue que je suis un peu perplexe de la décision de la CNIL.
Pour éliminer tout de suite le point où je suis d’accord avec elle : la durée de conservation des données, qui était bien trop importante par rapport aux finalités (la position GPS ne devrait être conservé que quelques jours sans incident (vol, …) déclaré) pas 3 ans après la dernière utilisation par l’utilisateur.
Concernant le suivi GPS tous les 500m et le risque d’atteinte à la vie personnelle (risque de déduction des orientations sexuelles / religieux / politiques). J’avoue ne pas comprendre. On peut très bien passer à proximité des lieux simplement parce que c’est le chemin que l’on prend pour aller là où on doit aller ! Donc non, le trajet en lui-même n’est pas un risque. Point de départ et d’arrivée oui, trajet non.
Concernant le suivi GPS au démarrage et arrêt du véhicule. Là, effectivement, cela pourrait représenter un risque pour la vie privée de l’utilisateur. MAIS ! La CNIL reconnait elle-même que la récupération de la position GPS à ces moments là seraient suffisant pour assurer l’intérêt légitime de l’entreprise (retour à la station, vol).
La CNIL a-t-elle communiqué sur la proportion de l’hypothèse du risque sur la vie privée de passer à proximité (j’ai bien dit passé, pas s’arrêter) à côté d’un lieu “sensible” pour la vie privée comme un lieu de culte ? Bref, elle utilise de la main droite l’argument qu’elle a balayé de la main gauche.
Les systèmes existent. L’airbag se déclenchent bien en cas d’accident. Pourquoi serait-il impossible de remonter cette information ?
La CNIL ira dire aux personnes ayant perdu un être cher ayant eu un accident et incapable d’appeler les secours que cet être cher est mort faute de secours, parce que bon, suivre une voiture de location tous les 500m c’est attentatoire à la vie privée
(sachant que les positions d’allumage/coupure du moteur sont, quant à elles, connues)
Bref, si je suis d’accord avec certains points (durée de conservation disproportionné), l’avis sur le GPS me semble lui beaucoup plus discutable et semble relevé plus du dogme qu’autre chose.
#8
Ce n’est pas non plus 500m de précision. C’est transmis tous les 500m ou sur évènement. La précision, on imagine qu’ils l’ont!
Après, je ne trouve pas cela totalement déconnant non plus, personnellement, ça ne me dérange absolument pas. Je suis peut-être naïf, mais tant que ça reste chez eux, je ne vois pas ce qu’ils pourraient en faire d’autre.
#9
Je ne vois pas pourquoi Jeep mémoriserait la position de votre véhicule en temps réel, il y’a des systèmes de géolocalisations dans les véhicules modernes (notamment pour le bouton SOS obligatoire), par contre ça ne signifie pas que la position remonte en permanence à Jeep.
La position remonte quand on presse le bouton et/ou qu’on utilise un service / appli pour géolocaliser le véhicule: Dans ce cas il y’a une requête pour aller chercher les infos sur le véhicule, et surtout des CGU dans l’appli à accepter avant d’envoyer la requête de géolocalisation.
#10
Je trouve hallucinant que le suivi en quasi continu des déplacements soit accepté sans problème par un certain nombre de personnes. Le concept de vie privée est en train de disparaître à vitesse V parce que la technologie permet ce suivi que qu’on ne s’y oppose pas suffisamment fort.
#11
Sauf que justement, le point de départ et d’arrivé était aussi communiqué et conservé.
Les données étant collecté au démarrage / arrêt du moteur et à l’ouverture / fermeture des portes …
Et pourquoi ne pas communiquer la position du véhicule lors d’un accident (au déclenchement des airbags par exemple) ?
Ah, le fameux “je n’ai rien à cacher” qui permet de justifier un tracking de plus en plus présent, tout en se masquant les yeux pour ne pas voir les évidentes dérives qui parfois peuvent être dramatiques …
#12
Toi tu n’as pas lu mon commentaire… (“Concernant le suivi GPS au démarrage et arrêt du véhicule. Là, effectivement, cela pourrait représenter un risque pour la vie privée de l’utilisateur. MAIS ! La CNIL reconnait elle-même que la récupération de la position GPS à ces moments là seraient suffisant pour assurer l’intérêt légitime de l’entreprise (retour à la station, vol).”)
Toi tu n’as pas lu mon commentaire… (“Les systèmes existent. L’airbag se déclenchent bien en cas d’accident. Pourquoi serait-il impossible de remonter cette information ?”)
Je n’ai jamais dit ça. Je dis qu’il me parait illogique, dans la décision de la CNIL, de valider le traçage GPS au démarrage/coupure du moteur, mais de l’interdire sur le trajet. Le trajet n’apporte pas d’information au regard du point de départ et d’arrivée. D’où mon incompréhension de la décision.
#13
Pour le parking, je suppose que le logiciel intégré pourrait gérer ce cas : en cas de perte des signaux GPS, envoyer la dernière position connue. Il y a une grosse différence entre garder quelques données dans une mémoire du logiciel interne et l’envoyer pour collecte.
Peut-être la peur de perde aussi les signaux mobiles ?
#13.1
Oui je vois aussi ce problème technique. Quid de ceux qui stationnent le véhicule loué dans un parking souterrain (voir un parking aérien), même pas dans le but de voler mais simplement de se réserver le véhicule pour un usage exclusif ? Ce cas d’usage a été vu à Paris avec des vélos en location.
#14
Ce qui est reproché, c’est surtout de collecter beaucoup plus que nécessaire.
Je suis désolé, mais si on voit sur le trajet que tu t’es arrêté plusieurs heures au pied d’une société, puis 5mn devant un bistro, puis devant une école, puis une nuit devant une maison, on peut en déduire que:
Tu bosse à la société X, tu es fumeur, tu as des enfants en école primaire et tu habite à tel adresse.
A partir de là, on peut imaginer beaucoup de dérive si les données fuitent dans la nature (voir même des indélicatesses en interne de la boite).
L’importance des informations privée est très sous-estimé par le public. Je comprend parfaitement la sanction.
#14.1
Certains te reprocheront leur liste excuses pour nous imposer ce qu’ils devraient refuser: “Google le fait bien”, “j’ai rien à cacher”, “si ca peut sauver des gens/choper un délinquant”,…
Comme dit l’adage attribué à Franklin:
“« Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux »
#15
#16
éternel débat entre une nouvelle technologie (géolocation) et son utilisation. Cette techno est super.
Je suppose que dans le cas cité, ils installent leurs propres GPS. peut être même une centrale inertielle
Pour ceux que ça intéresse, un projet de géolocalisation sans satellite, partage des données anonymisées https://foam.space/ . Ca utilise la techno blockchain entre autres.