Fausse route pour Cityscoot en matière de protection des données personnelles. La CNIL vient en effet de condamner le loueur de scooter électrique en libre-service à 125 000 euros d’amende pour manquement au RGPD. En l’espèce, les reproches se sont focalisés sur la politique de géolocalisation de la société.
En effet, les scooters sont équipés de boîtiers électroniques comprenant une carte SIM et un système de géolocalisation GPS. Ces boîtiers collectent des données de position des scooters toutes les 30 secondes quand ils sont actifs. Quand ils ne roulent pas, cette collecte se déroule toutes les 15 minutes. Ces données alimentent une base de données spécifique au scooter comprenant la position GPS, l’état de la batterie, les capteurs de la selle,..). Le loueur dispose de deux autres bases de données sur les données de réservation et clients. Si cette séparation des bases est jugée respectueuse du principe de privacy by design, la formation restreinte de la Cnil considère que « ces données peuvent être recoupées avec les données présentes dans les autres bases, notamment par le biais du numéro de réservation présent dans chacune des bases, en disposant d’un accès étendu et simultané aux bases de données ».
Des solutions alternatives moins intrusives existent
Mais c’est sur les données de position récoltées toutes les 30 secondes que se focalise la Cnil. En effet, elle juge cette fréquence trop fine et trop intrusive. Pour sa défense, Cityscoot met en avant la nécessité de cette collecte de données dans différents cas comme la surfacturation, la gestion des accidents ou des vols. Des arguments qui n’ont pas convaincu le régulateur qui estime que « cette pratique est en effet très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours, ce qui revient à mettre en cause leur liberté de circuler anonymement ». Selon la Cnil, il existe des solutions alternatives (envoi d’un SMS, appel,…)
Le loueur de scooter est aussi taclé sur les contrats avec des sous-traitants qui ne contiennent pas toutes les mentions prévues par le RGPD. Les contrats ont été modifiés mais la Cnil juge caractérisé le manquement à l’article 28 paragraphe 3 du RGPD. Enfin dernier point soulevé par la formation restreinte, le recours à la solution d’authentification ReCaptacha de Google pour la création d’un compte ou de récupération de mot de passe oublié sur le site et l’application mobile de Cityscoot. Or le service de Google récupère des données et le loueur « ne fournit aucune information, notamment par une fenêtre de consentement, de la collecte d’informations stockées sur l’équipement de l’utilisateur, ni des moyens de refuser cette collecte ». Au cours de la procédure, Cityscoot a indiqué ne plus recourir à cette technique d’authentification.
Citiscoot n'est pas le seul à être tombé sous le coup d'une sanction de la Cnil pour sa politique de géolocalisation trop fine et intrusive. En juillet dernier cela avait aussi été le cas du service d'autopartage en ligne Ubeeqo qui avait lui écopé d'une amende de 175 000 €.
Commentaire