Dans le cadre de sa thématique prioritaire de contrôle en 2020 relative aux nouveaux usages des données de géolocalisation dans le cadre des mobilités, la CNIL a contrôlé la société UBEEQO INTERNATIONAL dont l’activité est la location de véhicules pour une courte durée. Les vérifications portaient notamment sur les données collectées, les durées de conservation définies, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

Lors du contrôle, la CNIL a notamment constaté que, au cours de la location d’un véhicule par un particulier, la société collectait des données relatives à la géolocalisation du véhicule loué, tous les 500 mètres lorsque le véhicule était en mouvement, lorsque le moteur s’allumait et se coupait ou encore lorsque les portes s’ouvraient et se fermaient. En outre, la société conservait un historique de certaines des données de géolocalisation collectées, pendant une durée excessive.

Sur la base de ces constatations, la formation restreinte – organe de la CNIL chargé de prendre des sanctions – et en coopération avec les autres autorités européennes concernées (en Belgique, au Danemark, en Espagne, en Italie et en Allemagne) a prononcé à l’encontre de la société UBEEQO INTERNATIONAL une amende de 175 000 euros rendue publique.
Les manquements sanctionnés
Un manquement à l’obligation de veiller à la minimisation des données (article 5.1.c du RGPD)

La société a fait valoir que les données de géolocalisation des véhicules étaient collectées pour différentes raisons :

assurer la maintenance et la performance du service (vérifier que le véhicule est rendu au bon endroit, surveiller l’état du parc…) ;
retrouver le véhicule en cas de vol ;
porter assistance aux clients en cas d’accident.

Après avoir analysé quel était l’usage des données de géolocalisation pour chacune des finalités (objectifs) avancées par UBEEQO INTERNATIONAL, la CNIL considère qu’aucune de ces finalités ne justifie une collecte de données de géolocalisation aussi fine que celle effectuée par la société.

Une telle pratique est en effet très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués au cours d’un parcours.

Selon la CNIL, la société pourrait proposer un service identique sans géolocaliser ses clients en quasi-permanence. UBEEQO INTERNATIONAL a donc manqué au principe de minimisation des données : les données doivent être adéquates, pertinentes et non excessives au regard de l’objectif pour lequel elles sont collectées et utilisées.

Un manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée (article 5.1.e du RGPD)

Les données de géolocalisation étaient conservées pendant toute la durée de la relation commerciale avec un client puis durant trois ans après la fin de la location du véhicule.

La CNIL considère qu’une telle durée de conservation est excessive car elle ne correspond pas au strict besoin de la société qui collecte les données de géolocalisation afin de gérer la flotte de véhicules, de retrouver la voiture en cas de vol ou de porter assistance au client.

En outre, des données personnelles portant sur des utilisateurs inactifs depuis plus de huit ans étaient toujours présentes dans les bases de données de la société.

Un manquement à l’obligation d’informer les personnes (article 12 du RGPD)

La CNIL a constaté que, lors du parcours d’inscription sur l’application UBEEQO, les informations pertinentes relatives au traitement des données n’étaient pas suffisamment accessibles aux utilisateurs.

La société a mis en conformité le formulaire d’inscription sur ce point au cours de la procédure.

La délibération
Délibération de la formation restreinte n°SAN-2022-015 du 7 juillet 2022 concernant la société UBEEQO INTERNATIONAL