Actualité
4 min de lecture
12 avril 2023
La CNIL a prononcé une sanction de 125 000 euros à l’encontre de la société Cityscoot, notamment pour avoir géolocalisé ses clients de manière quasi permanente et pour ne pas avoir suffisamment encadré les traitements effectués par certains sous-traitants.

Le 16 mars 2023, la formation restreinte de la CNIL a prononcé une amende administrative d’un montant total de 125 000 euros à l’encontre de la société Cityscoot qui propose un service de location de scooters électriques en « freefloating » dans des grandes métropoles. Agissant en tant qu’autorité chef de file, la formation restreinte a pris cette décision en coopération avec les autorités de protection des données espagnole et italienne dans la mesure où la société Cityscoot propose aussi ce service dans ces pays.

Si elle relève plusieurs manquements, certains méritent une attention plus particulière. Dans la continuité de ses précédents contrôles en matière de cookies, la formation restreinte reproche en effet à la société de ne pas avoir informé et obtenu le consentement de l’utilisateur à l’inscription et à la lecture de cookies lors de l’utilisation de son site web et de son application mobile conformément à l’article 82 de la loi Informatique et libertés du 6 janvier 1978. Mais l’intérêt de la décision réside principalement dans les deux autres reproches : l’un relatif à la conformité au règlement général sur la protection des données (RGPD) des services reposant sur l’utilisation de données de géolocalisation, l’autre relatif à l’encadrement du recours aux sous-traitants.

Le principe de minimisation des données et les services recourant aux données de géolocalisation

Au cours de la location d’un scooter par un particulier, la société Cityscoot collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes pour différentes finalités :

  • la gestion des réclamations clients ;
  • la gestion des amendes en cas d’infractions au code de la route ;
  • la gestion des accidents ;
  • la gestion des vols.

La formation restreinte estime néanmoins qu’une telle collecte constitue un manquement à l’obligation de veiller à la minimisation des données prévue à l’article 5, § 1, sous c) du RGPD.

Après avoir rappelé que l’appréciation du respect du principe de minimisation des données repose sur le caractère limité à ce qui est nécessaire au regard de la finalité pour laquelle les données sont collectées (point 30), la formation restreinte a analysé la nécessité de la collecte et de la conservation des données de géolocalisation du véhicule toutes les 30 secondes au regard de chacune des quatre finalités poursuivies. A cet égard, si les lignes directrices 01/2020 du CEPD du 9 mars 2021 relatives aux traitements de données dans le contexte des véhicules connectés et des applications liées à la mobilité ne sont pas applicables, elles « constituent un éclairage pertinent s’agissant des données de géolocalisation en général » (point 29).

Au terme de son analyse, la formation restreinte a estimé qu’aucune des finalités avancées par la société ne justifie une telle collecte, d’autant que la société pourrait proposer un service identique sans collecter les données de géolocalisation du véhicule de manière quasi-permanente et systématique. Cette pratique « est en effet très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours, ce qui revient à mettre en cause leur liberté de circuler anonymement » (point 63).

Un encadrement insuffisant des traitements effectués par certains sous-traitants

La société Cityscoot fait appel à quinze sous-traitants ayant un accès ou hébergeant des données personnelles mais certains contrats, qui ne prévoyaient pas expressément certaines mentions prévues par le RGPD, n’encadraient pas de manière suffisante les sous-traitants concernés.

Aux termes de l’article 28, § 3 du RGPD, le traitement effectué par un sous-traitant pour un responsable de traitement doit être régi par un contrat qui définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données personnelles, les catégories de personnes concernées ainsi que les obligations et les droits du responsable de traitement.

S’appuyant sur les lignes directrices 07/2020 du CEPD du 7 juillet 2021 concernant les notions de responsable du traitement et de sous-traitant, la formation restreinte estime que les mentions visées à l’article 28, § 3 doivent non seulement figurer dans le contrat de sous-traitance, mais elles doivent également être suffisamment précises et détaillées pour permettre d’assurer un traitement conforme des données personnelles (point 73).

Ainsi par exemple, la clause « accountability » ne peut se limiter à prévoir que le sous-traitant doit répondre aux questions du responsable de traitement et lui fournir, sur demande, tout document sollicité. Elle doit également expressément prévoir que le sous-traitant doit tenir à la disposition du responsable toutes les informations pour permettre la réalisation d’audits et contribuer à ces audits (point 74). De même, la clause « security », qui prévoit que le sous-traitant met en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, n’est pas assez précise (point 75). Également, la clause relative aux durées de conservation doit expressément mentionner le sort des données en cas de résiliation du contrat entre les deux sociétés (point 76).

La formation restreinte rappelle ainsi la vigilance que les responsables de traitements doivent avoir dans la rédaction des contrats de sous-traitance. Fixer les caractéristiques essentielles du traitement sous-traité, notamment quant aux données collectées, aux mesures de sécurité à mettre en place ou encore au sort des données en cas de résiliation des contrats constitue à la fois un gage de protection pour les personnes concernées mais aussi un gage de sécurité des relations contractuelles. Il appartient ainsi aux responsables de traitement d’être pro-actifs dans la diffusion d’une véritable culture de la protection des données auprès de leurs prestataires.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Emilie Debaets, Maître de conférences en droit public, Université Toulouse Capitole - IMH
Documents et liens associés
Aller plus loin
Code de la cybersécurité 2024 annoté et commenté
Prévenir le risque cyber, défendre son activité et son patrimoine immatériel.
79,00 € TTC
Code de la cybersécurité 2024 annoté et commenté