Géolocalisation des véhicules : une nouvelle sanction de la CNIL
Frédéric Saffroy et Alice Bastien
Depuis plusieurs années, la collecte de données de géolocalisation des véhicules est devenue un enjeu majeur pour les entreprises de nombreux secteurs : transport, logistique, location de véhicules, gestion de flotte, assurance et financement de véhicules, maintenance prédictive, protection contre le vol, etc. Ces données leur permettent notamment de gérer en temps réel et d’anticiper les besoins en personnels et en véhicules, d’assister l’utilisateur, de suivre les déplacements effectués, de facturer des prestations (autopartage, location, financement, assurance), de repérer – et bloquer – les véhicules volés ou encore traiter les infractions au Code de la route.
Ces données sont toutefois révélatrices de la vie privée des utilisateurs des véhicules connectés (engins de chantier, bus, camions, automobiles, motos, scooters, vélos, trottinettes, etc.). Leur traitement (collecte, analyse, utilisation, conservation, etc.) soulève donc des questions structurantes en matière de protection des données personnelles et de respect des droits et libertés fondamentaux.
1. Un encadrement strict par le RGPD et les lignes directrices
Dès 2006, la Commission nationale de l’informatique et des libertés (la « CNIL ») a réglementé la géolocalisation des véhicules des salariés (« NS-051 » modifiée en 2015). Après l’adoption du Règlement Général sur la Protection des Données 2016/679 du 27 avril 2016 (« RGPD »), des lignes directrices ont été élaborées pour encadrer la collecte et le traitement des données de géolocalisation.
En France, la CNIL a publié en 2017 un pack de conformité « Véhicules connectés et données personnelles »[1] rappelant les principes clés à respecter au regard de la loi n° 78-17 du 6 janvier 1978, telle que modifiée (« Loi Informatique et Libertés ») et du RGPD. Ces principes reposent notamment sur l’obligation de disposer d’une base légale, la loyauté de la collecte des données, une finalité légitime, l’application du principe de proportionnalité, une durée de conservation limitée et la mise en place de mesures de sécurité.
L’année suivante, la CNIL publiait des lignes directrices sur la géolocalisation des véhicules des salariés remplaçant la NS-051[2]. Les dispositifs de géolocalisation installés dans des véhicules mis à dispositions de salariés ne peuvent pas être utilisés pour contrôler le respect des limitations de vitesse, contrôler les employés ou encore calculer leur temps de travail. Leurs droits doivent aussi être respectés (information sur le traitement, la finalité, la base légale, la durée, ainsi que les droits d’accès, de rectification, de suppression et d’opposition) et les institutions représentatives du personnel doivent être consultées.
En 2020, les lignes directrices européennes 01/2020 sur les données de géolocalisation pour les véhicules connectés et des applications liées à la mobilité sont publiées[3]. Fortement inspirées des lignes directrices de la CNIL, elles fixent un cadre interprétatif européen pour la collecte, le traitement et l’utilisation des données de géolocalisation.
Après avoir rappelé que « leur caractère de plus en plus intrusif peut, en effet, mettre à rude épreuve les possibilités actuelles de préserver son anonymat », le Comité européen de la protection des données (« CEPD ») précise que les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement doivent être vigilants à l’égard des données de géolocalisation, lesquelles permettent de révéler des habitudes de vie et de déduire un lieu de travail, un domicile, voire même des informations sensibles, comme la religion ou l’orientation sexuelle. Les données de localisation ne doivent donc pas être collectées, à moins que cette collecte soit absolument nécessaire pour la finalité du traitement.
A l’instar de la CNIL, le CEPD précise que la collecte des données de géolocalisation doit respecter les principes suivants :
- un paramétrage adéquat de la fréquence d’accès aux données de localisation collectées et de la finesse de ces données par rapport à la finalité du traitement,
- la fourniture d’une information précise sur les finalités du traitement,
- lorsque le traitement est basé sur le consentement, le recueil d’un consentement valable (libre, spécifique et éclairé) distinct des conditions générales de vente ou d’utilisation,
- l’activation de la localisation uniquement lorsque l’utilisateur lance une fonctionnalité qui nécessite de connaître la localisation du véhicule et
- la fixation d’une durée de conservation limitée.
Bien que ces lignes directrices ne soient pas contraignantes, la CNIL s’y est expressément référé dans sa décision de sanction du 16 mars 2023 à l’encontre de la société Cityscoot[4].
2. La sanction à l’encontre de Cityscoot
Cityscoot est une entreprise de location de scooters électriques. Ces scooters sont équipés de boîtiers électroniques comprenant une carte SIM et un système de géolocalisation GPS, collectant des données de position toutes les 30 secondes lorsque le scooter est actif et que son tableau de bord est allumé.
Les données sont collectées pour les finalités suivantes : traitement des infractions au Code de la route, traitement des réclamations clients, support aux utilisateurs (appel des secours en cas de chute d’un utilisateur), gestion des sinistres et des vols. Elles sont stockées dans trois bases de données distinctes : une « base de données scooter », contenant les données remontées par les capteurs fixés sur le scooter ; une « base de données réservation », contenant les dates et heures de début et de fin de chaque location et une « base de données client » comprenant les données permettant de gérer la facturation.
La CNIL considère que ces données de géolocalisation sont des données personnelles, dès lors qu’un rapprochement est possible entre les différentes bases de données distinctes de l’entreprise, permettant d’affecter des positions ou un trajet à un utilisateur.
Dans sa décision, la CNIL considère « qu’aucune des finalités avancées par la société ne justifie une collecte toutes les 30 secondes des données de géolocalisation au cours de la location d’un scooter et la conservation de ces données » et qu’ « une telle pratique est en effet très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours, ce qui revient à mettre en cause leur liberté de circuler anonymement ».
Concernant la fin de la location et les réclamations sur la facturation en découlant, la CNIL relève qu’il serait possible « de mettre en place des mécanismes alternatifs et moins intrusifs permettant à la société de s’assurer que l’utilisateur a bien mis fin à la location ou, au contraire, de l’avertir lorsque ce n’est pas le cas, par exemple par l’envoi d’un SMS ou la confirmation, par une alerte via l’application, que la location a pris fin. ».
Pour la gestion des amendes, la formation restreinte de la CNIL considère que « la collecte et la conservation des données de position des scooters, toutes les 30 secondes, est excessive dans la mesure où elle concerne la totalité des scooters loués par la société alors qu’elle ne répond qu’à une finalité incidente dans le cas où un utilisateur aurait besoin de ces données pour contester une infraction au code de la route. ».
De même, seule la dernière position connue du scooter est nécessaire pour la gestion des vols lors d’une période de location. Cette hypothèse « ne suffit pas à justifier la collecte des données de géolocalisation toutes les 30 secondes de l’ensemble des trajets des utilisateurs. ».
Enfin, « la notification technique du scooter trop incliné ou l’appel de l’utilisateur » suffit à informer Cityscoot d’un accident, afin de porter assistance à un utilisateur. La géolocalisation n’est donc ni adéquate ni pertinente au regard de cette finalité.
En conséquence, la CNIL a prononcé une amende de 125 000 euros à l’encontre de Cityscoot au regard des manquements constitués aux articles 5, paragraphe 1, c) et 28, paragraphe 3 du RGPD et une amende de 25 000 euros au regard du manquement constitué à l’article 82 de la Loi Informatique et Libertés.
Cette décision s’inscrit dans le droit fil de celle du 7 juillet 2022 à l’encontre d’Ubeeqo, filiale d’autopartage d’Europcar.
Il appartient donc aux acteurs des mobilités mettant en œuvre la géolocalisation de respecter strictement les principes suivants :
- l’obtention d’un consentement spécifique de l’utilisateur, distinct des conditions générales de vente ou d’utilisation ;
- la configuration adéquate des conditions de la géolocalisation par rapport à la finalité du traitement (activation/désactivation, fréquence, précision, etc.) ;
- la possibilité de désactiver la géolocalisation à tout moment (si cela est compatible avec le service fourni) ;
- l’activation de la géolocalisation uniquement lorsque l’utilisateur lance une fonctionnalité qui nécessite de connaître la localisation du véhicule, et non par défaut et en permanence ;
- informer l’utilisateur que la géolocalisation a été activée, notamment au moyen d’icônes sur l’application et/ou le tableau de bord du véhicule ;
- fournir des informations précises sur la finalité du traitement ;
- définir une durée de conservation limitée.
Pour toute information complémentaire, n’hésitez pas à contacter l’équipe Protection des données personnelles.
Frédéric Saffroy, Associé et Alice Bastien, Avocat
[1] https://www.cnil.fr/sites/default/files/atoms/files/pack_vehicules_connectes_web.pdf
[2] https://www.cnil.fr/fr/la-geolocalisation-des-vehicules-des-salaries
[3] https://edpb.europa.eu/system/files/2021-08/edpb_guidelines_202001_connected_vehicles_v2.0_adopted_fr.pdf (version 2.0 du 9 mars 2021)
[4] Délibération SAN-2023-003 du 16 mars 2023 concernant la société Cityscoot