Avocats en Données Personnelles

La collecte et la conservation des données de position de scooters en location, toutes les 30 secondes, est excessive dans la mesure où elle concerne la totalité des scooters loués par la société Cityscoot alors qu’elle ne répond qu’à une finalité incidente dans le cas où un utilisateur aurait besoin de ces données pour contester une infraction au code de la route.

150 000 de sanction contre Cityscoot  

La CNIL a considéré qu’aucune des finalités avancées par la société Cityscoot ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un scooter.

Le privacy by design n’empêche pas le recoupement 

Si les données de position des scooters sont décorrélées de toute information relatives aux utilisateurs dans la ” base de données scooter ” et sont conservées dans une base distincte de celle stockant les données relatives aux utilisateurs, à savoir la ” base de données client “, ce qui constitue un choix d’architecture informatique respectueux de la vie privée (privacy by design), il n’en demeure pas moins que ces données peuvent être recoupées avec les données présentes dans les autres bases, notamment par le biais du numéro de réservation présent dans chacune des bases, en disposant d’un accès étendu et simultané aux bases de données.

Nature juridique des données de géolocalisation

Si les données de géolocalisation ne sont pas des données sensibles, au sens de l’article 9 du RGPD, elles sont néanmoins considérées par le groupe de travail de l’article 29 (dit ” G29 ” devenu le Comité européen de la protection des données (CEPD)) dans ses lignes directrices du 4 octobre 2017, comme étant des ” données à caractère hautement personnel “. Le CEPD estime que ces données sont considérées comme sensibles, au sens commun du terme, dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental : la collecte des données de localisation met en jeu la liberté de circulation.

Le CEPD a considéré, dans ses lignes directrices 01/2020 relatives aux traitements de données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité (les lignes directrices 01/2020) que ” lorsqu’ils collectent des données à caractère personnel, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient garder à l’esprit que les données de localisation sont particulièrement révélatrices des habitudes de vie des personnes concernées. 

Les trajets réalisés sont très caractéristiques en ce qu’ils peuvent permettre de déduire le lieu de travail, le domicile ainsi que les centres d’intérêt (loisirs) du conducteur, et peuvent éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés. 

Par conséquent, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient particulièrement veiller à ne pas collecter de données de localisation, à moins que cela ne soit absolument nécessaire pour la finalité du traitement “. 

Ces lignes directrices soulignent également que la collecte de données de localisation est subordonnée au respect du principe selon lequel la localisation peut être activée ” uniquement lorsque l’utilisateur lance une fonctionnalité qui nécessite de connaître la localisation du véhicule, et non par défaut et en continu au démarrage de la voiture “.