Géolocalisation des clients : une société sanctionnée à hauteur de 125 000 euros par la CNIL

Le 28 mars, la CNIL a rendu publique l'amende de 125 000 € infligée à la société Cityscoot pour avoir « notamment porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi-permanente ».

En pratique, plusieurs manquements au RGPD commis par la société de location de scooters ont été constatés :

• un manquement à l’obligation de veiller à la minimisation des données (article 5.1.c du RGPD) : « la société pourrait proposer un service identique sans géolocaliser ses clients en quasi-permanence », relève la CNIL ;
• un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)  : « trois contrats conclus avec les sous-traitants » ne contenaient pas toutes les mentions prévues par le RGPD ;
• un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel (article 82 de la loi Informatique et Libertés) : absence de recueil du consentement de l'utilisateur pour accéder aux informations stockées sur son équipement.