Dans sa délibération du 7 juillet 2022, la CNIL sanctionné UBEEQO pour avoir géolocalisé des véhicules de location en infraction au principe de minimisation et pour n’avoir pas respecté les principes de limitation de la conservation et d’information des personnes.
La plateforme numérique de location de véhicules en auto-partage UBEEQO, filiale du groupe Europcar, a fait l’objet d’une enquête de la CNIL, révélant des manquements au RGPD.
Après avoir qualifié la plateforme de responsable du traitement, la CNIL a notamment reproché à UBEEQO 3 manquements.
En premier lieu, il a été reproché à UBEEQO de ne pas respecter le principe de minimisation. En effet, la CNIL a relevé que la plateforme collectait les données de géolocalisation des voitures (i) tous les 500 mètres, (ii) lorsque le moteur s’allume et se coupe, et (iii) lorsque les portes s’ouvrent et se ferment. Au surplus, les équipes opérationnelles disposaient d’une possibilité de localiser en temps réel le véhicule.
La CNIL, a d’abord rappelé que les données de géolocalisation, à défaut d’être des données sensibles, sont des « données à caractère hautement personnel » car elles ont un « impact sur l’exercice d’un droit fondamental ».
Partant de ce constat, la CNIL a examiné la pertinence de la collecte de ces données pour chacune des 3 finalités invoquées par UBEEQO, à savoir : la maintenance et la performance du service, la possibilité de retrouver le véhicule en cas de vol et la possibilité de porter assistance à la personne en cas d’accident.
La CNIL a considéré que la géolocalisation des véhicules n’était pas strictement nécessaire à la poursuite de la finalité liée au risque de vol et à la possibilité de porter assistance en cas d’accident. En ce qui concerne la gestion de la flotte de véhicules pour une finalité de maintenance et performance du service, la CNIL a considéré que la simple collecte des données de géolocalisation au début et à la fin de la location était suffisante.
En deuxième lieu, UBEEQO s’est vu reproché un non-respect du principe de limitation de la conservation. La CNIL a considéré que la durée de conservation des données prévue par la plateforme, à savoir une conservation des données de géolocalisation pendant toute la durée de la relation commerciale puis pendant 3 ans à compter de la date de dernière activité de l’utilisateur, était excessive au regard des finalités.
La CNIL a constaté la présence d’utilisateurs inactifs depuis plus de huit ans dans le système d’information, signe du non-respect par UBEEQO de sa propre politique de conservation.
Enfin, la CNIL a relevé que la page d’inscription de la plateforme ne permettait pas à l’utilisateur d’accéder directement aux informations puisqu’un « parcours de plusieurs clics était nécessaire », et que la personne devait rechercher les « informations relatives à la protection des données personnelles » dans les « conditions générales d’utilisation », et non dans une politique de confidentialité.
Bien qu’UBEEQO ait mis en conformité son formulaire d’inscription au cours de la procédure, la CNIL a considéré qu’à la date du contrôle, le manquement à l’obligation d’information était caractérisé.
Compte tenu de tout ce qui précède, la CNIL a prononcé une amende de 175.000 € à l’encontre de la société pour non-respect des principes de minimisation, de limitation de la conservation et d’information des personnes, et, compte tenu de la pluralité des manquements relevés, de leur gravité et de la nature particulière des données concernées, a rendu publique sa délibération.
Source : ici
