Cityscoot sanctionnée par la Cnil : des précisions utiles en matière de géolocalisation, de contractualisation avec les sous-traitants et d’utilisation de cookies

Le 16 mars 2023, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (Cnil) a sanctionné l’entreprise de location de scooters Cityscoot, en prononçant une amende administrative de 125 000 € à son encontre, au titre de divers manquements à la règlementation applicable en matière de traitements de données à caractère personnel, en particulier (mais non uniquement) en raison de ses pratiques de géolocalisation « quasi permanente » des véhicules loués.

 

Au nombre des thématiques prioritaires de contrôle de la Cnil pour l’année 2020 se trouvait le thème suivant : « Mobilités et services de proximité, les nouveaux usages des données de géolocalisation ». La Cnil précisait que « les contrôles porteront ainsi notamment sur la proportionnalité des données collectées dans ce cadre, les durées de conservation définies, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre ». La délibération prise par la formation restreinte de la Cnil à l’encontre de Cityscoot s’inscrit très précisément dans la lignée des éléments évoqués ci-dessus.

 

Cityscoot est une société proposant un service de location de scooters électriques en libre-service, via une application mobile éponyme. Les utilisateurs doivent y créer un compte pour louer un scooter, sans engagement et avec une facturation à la minute.

Les véhicules sont équipés d’un dispositif embarqué, composé d’une carte SIM et d’un système de géolocalisation GPS, permettant aux utilisateurs et à Cityscoot de connaître leur localisation.

Le 13 mai 2020, un contrôle en ligne a été effectué sur le site web de Cityscoot, « cityscoot.eu », ainsi que sur l’application mobile « Cityscoot ».

Des demandes de compléments d’information ont ensuite été adressées à la société, dans le courant de l’année 2020.

Le 17 mars 2022, Cityscoot recevait un rapport détaillant les manquements qui lui étaient reprochés aux dispositions du Règlement Général sur la Protection des Données (RGPD) et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés ».

Après plusieurs échanges d’observations et de réponses entre la rapporteure de la Cnil et Cityscoot, la société a été convoquée le 29 septembre 2022 pour une séance de la formation restreinte de la Cnil, ayant donné lieu à la délibération publiée le 16 mars dernier.

Les différents manquements présentés ci-après ont fondé la décision prise par la formation restreinte de la Cnil de condamner Cityscoot à une amende administrative s’élevant à 125 000 euros.

 

I. Le traitement des données de géolocalisation par Cityscoot

 

En l’espèce, les boîtiers électroniques permettant la géolocalisation des scooters collectaient les données de position de ces derniers toutes les 30 secondes, que le scooter soit actif et son tableau de bord allumé, qu’il soit en déplacement ou tout simplement prêt à rouler. Lorsque le véhicule était inactif, sa position était collectée toutes les 15 minutes.

Une « base de données scooter » gérée par Cityscoot contenait la position GPS du véhicule et un numéro de réservation, collectés durant la période de location du scooter. Les données de localisation collectées par Cityscoot comprenaient donc :

  • la localisation du scooter au départ et à l’arrivée de la réservation et ;
  • la localisation du véhicule pendant l’intégralité du trajet.

Les finalités suivantes étaient invoquées par Cityscoot pour justifier ce traitement : le traitement des infractions au code de la route, le traitement des réclamations clients et de la facturation, le support aux utilisateurs (afin d’appeler les secours en cas de chute d’un utilisateur) et la gestion des sinistres et des vols.

 

1. Le caractère « hautement personnel » des données de localisation

 

La formation restreinte de la Cnil commence par rappeler que les données de géolocalisation collectées par Cityscoot lors de la location du véhicule constituent des données à caractère personnel, puisqu’un rapprochement entre les différentes bases de données utilisées par la société était possible, et que les données de position du scooter se rapportaient à une personne physique identifiée ou identifiable.

La Cnil fait à cet égard référence aux lignes directrices du Groupe de travail de l’article 29 (G29) du 4 octobre 2017, dans lesquelles le G29 considère les données de localisation comme des « données à caractère hautement personnel » et sensibles, en raison de leur impact sur le droit fondamental que représente la liberté de circulation.

En effet, les données de localisation peuvent être particulièrement révélatrices des habitudes de vie des personnes concernées, leurs trajets pouvant permettre de déduire un lieu de travail, un domicile, des centres d’intérêts,… ainsi que des informations sensibles telles que la religion via la localisation d’un lieu de culte, ou l’orientation sexuelle de la personne par l’intermédiaire des lieux qu’elle fréquente.

Il incombe donc aux prestataires de service et responsables de traitement de ne collecter les données de localisation que si cela est « absolument nécessaire pour la finalité du traitement ».

 

2. La collecte des données de localisation par Cityscoot

 

A titre liminaire, la formation restreinte de la Cnil relève que ne sera analysée que la nécessité de la collecte et de la conservation des données de position collectées toutes les 30 secondes. La collecte des données de localisation au début et à la fin de la location s’avère, en effet, pertinente au regard des finalités poursuivies par Cityscoot.

En premier lieu, Cityscoot soutenait la nécessité d’une telle collecte en raison notamment de la facturation à la minute de son service et au cas où l’utilisateur ne parvenait pas à mettre fin correctement à sa location.

La rapporteure considérait quant à elle que la collecte des données de localisation toutes les 30 secondes pendant l’intégralité de la durée de la location n’était pas nécessaire aux fins de gestion de la facturation, des moyens moins intrusifs pouvant être utilisés.

A cet égard, la formation restreinte de la Cnil relève que l’utilisateur pouvait tout à fait prendre attache avec Cityscoot pour résoudre les difficultés qu’il rencontre, ce qui pourrait constituer le point de départ du déclenchement de la géolocalisation. Elle ajoute qu’il était possible de mettre en place des mécanismes alternatifs et moins intrusifs permettant à Cityscoot de s’assurer que l’utilisateur avait bien mis fin à la location ou, au contraire, de l’avertir lorsque ce n’est pas le cas, par exemple par l’envoi d’un SMS ou la confirmation, par une alerte via l’application, que la location a pris fin. La formation restreinte de la Cnil en déduit donc que la collecte et la conservation des données de géolocalisation des scooters toutes les 30 secondes n’étaient pas nécessaires ni proportionnées aux fins de gestion de la facturation.

 

En deuxième lieu, la formation restreinte de la Cnil relève que la collecte des données de géolocalisation tout au long du trajet de l’utilisateur n’est pas nécessaire pour identifier le responsable d’une infraction, dès lors qu’un recoupement entre le moment de l’infraction et le locataire du scooter sur cette période permet de le faire.

 

En troisième lieu, concernant le vol d’un véhicule, la rapporteure soulignait que la collecte et la conservation des données de localisation pouvait être considérée comme proportionnée dès lors qu’elle était rendue nécessaire par un fait générateur, tel qu’une déclaration ou une suspicion de vol.

Dans le même sens, les lignes directrices 01/2020 du Comité Européen de la Protection des Données (CEPD) sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité précisent que les données de localisation ne peuvent être collectées qu’à compter de la déclaration de vol, et qu’elles ne sauraient l’être en continu le reste du temps.

Or, Cityscoot collectait les données de localisation pour cette finalité avant tout fait générateur.

En outre, la société n’a pas pu produire de statistiques démontrant que la géolocalisation des scooters avait été efficace pour retrouver des véhicules volés.

La formation restreinte de la Cnil considère donc que la finalité de gestion des vols ne suffit pas à justifier la collecte, toutes les 30 secondes, des données de localisation de l’intégralité des trajets des utilisateurs.

 

En quatrième lieu, s’agissant de la finalité de gestion des accidents, la rapporteure retenait que la collecte des données de localisation ne pouvait intervenir en l’absence d’un fait générateur, constitué par une notification technique indiquant une inclinaison anormale du scooter ou par une demande d’assistance émanant du client.

La formation restreinte de la Cnil constate que, dans la grande majorité des cas, un fait générateur permet à Cityscoot d’avoir connaissance de l’accident, qu’il s’agisse de la notification technique ou de la prise de contact de l’utilisateur.

Ainsi, la géolocalisation toutes les 30 secondes de la totalité des scooters, préalablement à toute information portant sur un accident, n’est pas nécessaire pour porter assistance à l’utilisateur.

 

La formation restreinte conclut donc qu’aucune des finalités avancées par Cityscoot ne permet de justifier une collecte toutes les 30 secondes des données de géolocalisation lors de la location d’un scooter, ni leur conservation.

Elle souligne le caractère intrusif de cette pratique pour la vie privée des utilisateurs, et relève que Cityscoot pourrait proposer un service identique sans la collecte quasi-permanente des données de localisation.

Elle en déduit que Cityscoot a manqué au principe de minimisation des données à caractère personnel issu de l’article 5 du RGPD.

 

II. Les contrats conclus entre Cityscoot et ses sous-traitants

 

La formation restreinte de la Cnil rappelle ensuite les dispositions de l’article 28 du RGPD qui imposent au responsable de traitement d’encadrer par un contrat le traitement effectué pour son compte par un sous-traitant.

Ce contrat doit définir l’objet et la durée du traitement, sa nature et ses finalités, le type de données à caractère personnel traitées, les catégories de personnes concernées, les obligations et les droits du responsable de traitement, ainsi que les conditions dans lesquelles le sous-traitant s’engage à mener les opérations de traitement, mais également un certain nombre d’obligations à la charge du sous-traitant, tel que prévues par le texte susvisé.

Il doit aussi, notamment, prévoir que le sous-traitant prend toutes les mesures techniques et organisationnelles de sécurité des données requises au titre de l’article 32 du RGPD et la mise à disposition du responsable du traitement de toutes les informations nécessaires pour démontrer le respect des obligations prévues par l’article 28, ainsi que pour permettre la réalisation d’audits par le responsable de traitement.

Le contrat doit également prévoir la suppression ou le renvoi au responsable de traitement de toutes les données à caractère personnel une fois le traitement achevé, et la destruction des copies desdites données par le sous-traitant.

En l’espèce, il est relevé que Cityscoot faisait appel à quinze sous-traitants ayant accès ou hébergeant des données à caractère personnel. Or, la formation restreinte de la Cnil constate que les contrats conclus avec certains de ces sous-traitants ne comprenaient pas toutes les mentions requises par le RGPD.

Notamment, l’un des contrats ne prévoyait que de manière très générale les obligations de sécurité qui pesaient sur le sous-traitant, et il ne visait pas non plus l’obligation du sous-traitant de démontrer le respect des obligations de sécurité lui incombant, ainsi que la réalisation d’audits pouvant être conduits par le responsable de traitement.

A cet égard, il est important de noter que la formation restreinte considère que la clause “security”, qui prévoit que le sous-traitant met en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, aurait dû être plus précise. Elle rappelle en effet, à titre d’illustration, que dans ses lignes directrices 07/2020, le CEPD affirme que “l’accord devrait éviter de se contenter de répéter ces obligations d’assistance et devrait contenir des précisions sur la manière dont le sous-traitant est invité à aider le responsable du traitement à remplir les obligations énumérées. Par exemple, des procédures et des formulaires types peuvent être joints en annexes à l’accord pour permettre au sous-traitant de fournir au responsable du traitement toutes les informations nécessaires […] le sous-traitant est d’abord tenu d’aider le responsable du traitement à respecter l’obligation d’adopter des mesures techniques et organisationnelles appropriées afin de garantir la sécurité du traitement. Bien que cela puisse, dans une certaine mesure, empiéter sur l’exigence selon laquelle le sous-traitant adopte lui-même des mesures de sécurité appropriées, lorsque les opérations de traitement du sous-traitant relèvent du champ d’application du RGPD, ces deux obligations demeurent distinctes, l’une se référant aux mesures propres au sous-traitant et l’autre à celles du responsable du traitement“. La formation restreinte ajoute qu’ici, seuls les objectifs de sécurité à atteindre étaient décrits dans le contrat, sans précision sur les moyens d’y parvenir, tels qu’une description des processus ou mécanismes qui auraient dû être développés dans des annexes au contrat. En l’absence de précision sur les moyens pour remplir l’obligation de mettre en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, la formation restreinte considère que le contrat ne répond pas aux exigences du RGPD.

Un autre contrat ne prévoyait aucune procédure de suppression ou de renvoi des données à caractère personnel du sous-traitant vers le responsable de traitement une fois le contrat échu.

L’un des contrats ne prévoyait pas l’objet du traitement, ni sa durée.

Enfin, le dernier contrat visé par la formation restreinte de la Cnil ne comprenait pas d’information sur la catégorie de personnes concernées par le traitement.

Cityscoot affirmait avoir modifié lesdits contrats à la suite des contrôles de la Cnil, et la formation restreinte de la Commission prend acte des modifications effectuées pour mettre ces contrats en conformité avec les exigences du RGPD.

Elle relève, néanmoins, que les conventions ne répondaient pas à ces exigences au moment du contrôle. Elle caractérise donc le manquement à l’article 28 du RGPD, en dépit de la mise en conformité effectuée par Cityscoot.

 

III. L’information et le consentement de l’utilisateur à l’utilisation de cookies sur le site et l’application mobile de Cityscoot

 

La formation restreinte rappelle par ailleurs qu’en vertu de l’article 82 de la loi Informatiques et Libertés, l’utilisateur d’un service de communications électroniques doit être informé préalablement à toute opération de lecture et/ou d’écriture d’informations effectuées dans son terminal.

Cityscoot utilisait la technologie reCAPTCHA, fournie par la société Google et permettant de différencier un utilisateur humain d’un ordinateur de façon automatisée, lors de la création de son compte par l’utilisateur sur l’application mobile, ainsi que lors de sa connexion et en cas d’oubli de mot de passe sur le internet de la société.

L’utilisation de cet outil implique le dépôt de cookies sur le terminal de l’utilisateur.

Or, la rapporteure avait constaté que Cityscoot ne fournissait aucune information sur la collecte d’informations stockées dans le terminal de l’utilisateur du fait de l’utilisation du mécanisme de reCAPTCHA. Le consentement de l’utilisateur à l’utilisation d’un tel outil n’était pas non plus collecté, et il ne disposait d’aucun moyen lui permettant de s’opposer à la collecte de ces données par ce moyen.

Le consentement de l’utilisateur pour l’accès aux informations stockées sur son équipement ou pour l’inscription d’informations sur ce dernier n’était donc jamais recueilli.

Pourtant, l’usage de la technologie reCAPTCHA implique le dépôt et l’utilisation de cookies par des tiers devant également être considérés comme des responsables de traitement.

La formation restreinte de la Cnil rappelle que, depuis la délibération de la Cnil n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs (ayant depuis été abrogée et remplacée par la délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » et par une délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») : « lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d’entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l’article 32-II précité [actuel article 82 de la loi « Informatique et Libertés »] ». Une position similaire a également été retenue par le Conseil d’Etat ou encore par la formation restreinte de la Cnil elle-même dans certaines décisions de sanctions.

Ainsi, Cityscoot ne pouvait pas affirmer qu’aucune obligation ni responsabilité ne lui incombait au regard des opérations effectuées par Google via le reCAPTCHA disponible sur son site.

Cityscoot était donc également responsable, en qualité d’éditeur du site internet et de l’application mobile, du respect des obligations posées par l’article 82 de la loi « Informatique et Libertés », et notamment de l’information des personnes et du recueil de leur consentement préalable.

 

Par ailleurs, la formation restreinte considère que Cityscoot n’était pas fondée à se prévaloir de l’exemption à l’information et au recueil du consentement existant lorsque les opérations de lecture et d’écriture effectuées dans le terminal d’un utilisateur ont pour seule finalité la sécurisation d’un mécanisme d’authentification au bénéfice des utilisateurs.

En effet, cette exemption n’est pas applicable lorsque ces opérations poursuivent d’autres finalités qui ne sont pas strictement nécessaires à la fourniture du service.

Or, le mécanisme de reCAPTCHA de Google n’a pas pour finalité unique la sécurisation du mécanisme d’authentification. Elle permet également que soient réalisées des opérations d’analyse de la part de Google.

Cityscoot aurait donc dû informer les utilisateurs et recueillir leur consentement à l’utilisation de la technologie reCAPTCHA.

 

Lors du contrôle en ligne effectué par la Cnil, la seule information destinées aux utilisateurs se trouvait dans la politique de confidentialité de Cityscoot, et en ces termes : « Lors de votre visite sur notre Site ou Application, des données de navigation et de localisation, issues des cookies ou des technologies similaires, seront collectées ».

Ainsi, les finalités précises des cookies utilisés, la possibilité pour l’utilisateur de s’y opposer ou encore la référence au nécessaire consentement préalable de l’utilisateur ne figuraient pas parmi les informations fournies. De surcroît, l’information n’était fournie qu’après le dépôt de cookies sur le terminal de l’utilisateur.

 

La formation restreinte de la Cnil conclut donc au manquement par Cityscoot à ses obligations résultant de l’article 82 de la loi « Informatique et Libertés », en permettant le dépôt de cookies sur le terminal des utilisateurs via le mécanisme de reCaptcha fourni par la société Google sans informer les utilisateurs et sans recueillir leur consentement préalable.

 

Compte tenu de ces divers manquements, la formation restreinte de la Cnil prononce, à l’encontre de Cityscoot, une amende administrative d’un montant de 125 000 euros.

Pour expliciter le montant de cette sanction, la Commission rappelle que les données à caractère personnel traitées par la société concernent 247 000 personnes, réparties sur le territoire de trois Etats membres de l’Union européenne.

Elle souligne également que l’atteinte aux droits des personnes résultant du manquement au principe de minimisation des données à caractère personnel est « particulièrement importante », en raison de la nature même des données de géolocalisation.

Enfin, la Commission considère que la publicité de la sanction est justifiée « au regard de la nature particulière des données concernées qui portent sur des données de géolocalisation et de l’atteinte à la vie privée des utilisateurs ».

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.

 

Le 28 mars 2023, Cityscoot a publié une communication sur son profil LinkedIn, en réponse à la délibération de la Cnil, dans laquelle elle indique réfléchir à contester la décision de la formation restreinte de la Cnil devant le Conseil d’Etat.

Le Conseil d’Etat pourrait donc être amené à se prononcer sur la sanction infligée par la formation restreinte de la Cnil à l’encontre de Cityscoot, en cas de recours de cette dernière.

 

 

Ce qu’il faut retenir :

 

Cette décision est l’occasion de rappeler que le traitement de données de géolocalisation doit faire l’objet d’une analyse extrêmement stricte concernant sa nécessité et sa proportionnalité au regard des finalités pour lesquelles il est mis en œuvre, sous peine de contrevenir au principe de minimisation des données à caractère personnel posé par l’article 5 du RGPD.

Cette décision rappelle également que les contrats conclus entre responsables de traitement et sous-traitants et encadrant des traitements de données à caractère personnel doivent comprendre l’intégralité des mentions exigées par l’article 28 du RGPD, et que ces mentions doivent être suffisamment précises et détaillées pour être considérées comme conformes aux dispositions applicables, notamment s’agissant des mesures techniques et organisationnelles de sécurité que le sous-traitant doit s’engager à mettre en œuvre.

Enfin, nombreux sont les sites ayant recours à la technologie reCAPTCHA développée par Google. Cette délibération permet donc à la formation restreinte de la Cnil de rappeler que (i) l’utilisation de la technologie reCAPTCHA développée par Google est obligatoirement soumise à l’information et au consentement préalable de l’utilisateur et que (ii) l’éditeur d’un site ou d’une application mobile, permettant le dépôt de cookies, même tiers, soumis au consentement lors de la visite de son site ou de son application par un utilisateur, doit être considéré comme responsable de la fourniture aux utilisateurs d’une information suffisamment précise sur ces cookies et du recueil du consentement préalable desdits utilisateurs au dépôt et à l’utilisation de ces cookies.

 

Le pôle « IT, Data protection & Cybercriminalité » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel (ex : assistance à projets, rédaction et négociation de contrats avec les partenaires,…), et en matière de mise en conformité de vos sites internet et applications mobiles.

 

Par AGIL’IT – Pôle ITData & Sécurité

Laure LANDES-GRONOWSKI, Avocate associée

Kassandra BERTRAND-BOURDON, Avocate