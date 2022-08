in

La CNIL ne baisse pas sa garde, et punit une filiale d’un grand groupe de 175.000 €, pour atteinte disproportionnée à la vie privée. Ubeeqo écope d’une amende de la CNIL de 175 000 € pour atteinte disproportionnée à la vie privée, malgré ses réclamations et ses justifications.

Le loueur de voitures est reconnu couple d’avoir collecté des informations sur des véhicules en mouvement, sans demander l’autorisation de ses clients. Par ailleurs, la CNIL lui reproche aussi de ne pas avoir respecté les durées de conservation des données personnelles de ses clients.

L’entreprise Ubeeqo est pour information une filiale du groupe Europcar. Présente à Paris et dans plusieurs grandes villes européennes, elle développe des services d’autopartage à destination du grand public et des entreprises.

Récemment, la filiale d’un grand groupe de location de véhicules a écopé d’une amende de 175 000 € pour atteinte disproportionnée à la vie privée, et malgré ses motivations et ses réclamations l’organisme français semble avoir maintenu, l’amende.

Ubeeqo, qui reçoit une amende de 175 000 €

Le 21 juillet dernier, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 175.000 euros au loueur de voitures Ubeeqo pour avoir géo-localisé ses clients de manière quasi permanente, et ce sans leur consentement.

Créée en 2008 par Benoît Chatelier et Alexandre Crosby, Ubeeqo (Carbox à l’époque) est une entreprise française spécialisée dans les solutions d’autopartage et de gestion de flotte basées sur les nouvelles technologies de mobilité. Elle adresse plusieurs marchés que sont la gestion de flotte, l’autopartage et le transport du quotidien en proposant des solutions de mobilité innovantes pour les flottes

Comme toute entreprise technologique, les performances de services d’Ubeeqo reposent principalement sur les données collectées sur ses clients. Et malheureusement, il s’avère que Ubeeqo a fait un mauvais usage de ces dernières.

En effet, lors de récents contrôles de l’entreprise par la CNIL, cette dernière a identifié quelques infractions notables. Ubeeqo aurait collecté des données relatives à la géolocalisation d’un véhicule loué tous les 500 mètres lorsque le véhicule était en mouvement. Par ailleurs, la société aurait également conservé un historique de certaines des données de géolocalisation collectées pendant une durée qui dépasse la limite autorisée.

Le 21 juillet 2022, sur la base de ces infractions constatées, la CNIL chargée de prendre des sanctions a prononcé à l’encontre de la société UBEEQO une amende de 175 000 euros pour avoir porté une atteinte disproportionnée à la vie privée de ses clients.

Une collecte de données jugée « très intrusive » par la CNIL

Pour la CNIL, rien ne justifiait la collecte des données relatives à la géolocalisation des véhicules faite par la société UBEEQO. En effet, selon elle, « la société aurait bien pu proposer un service identique sans géolocaliser ses clients en quasi-permanence. »

La collecte de données de géolocalisation cachait donc d’autres intentions, estime l’autorité de protection de données. Mais surtout, elle est jugée « très intrusive » de la vie privée des utilisateurs, dans la mesure où elle pouvait potentiellement révéler des informations privées telles que « les déplacements », « les lieux de fréquentation » ou encore « les arrêts qu’ont effectués les clients durant chaque trajet ».

UBEEQO, de son côté, a expliqué que les données de géolocalisation collectées servaient surtout à assurer la maintenance et la performance du service. Ces données seraient également utiles pour vérifier en temps réel si les véhicules sont bien arrivés au bon endroit et en bon état. Sans elles, il serait difficile pour la société de retrouver les véhicules en cas de panne ou de vol ou encore de porter assistance aux clients en cas de problème.

Seulement, ces explications n’ont pas suffi à convaincre la Cnil, qui, comme on le sait, a finalement décidé de prononcer une amende à l’encontre de la société.

Une durée de conservation des données également « excessive »

La CNIL a été claire là-dessus : les données personnelles ne peuvent être conservées indéfiniment, ni trop longtemps. Selon les règles prévues par le RGPD (Règlement général sur la protection des données) et la loi Informatique et Libertés, si certains types de données comme le double de bulletins de paie d’un salarié peuvent effectivement être sauvegardés pendant 5 ans, généralement le délai ne doit pas excéder 2 ans.

Or, lors des contrôles, la CNIL a découvert que l’entreprise a conservé des données des clients 3 ans après la fin de la location du véhicule. En outre, la CNIL a aussi déclaré avoir découvert des « données personnelles de clients inactifs depuis plus de 8 ans dans la base de données de la société.

Défaut d’information des clients lors de leur inscription sur l’application

Enfin, la CNIL reproche aussi à UBEEQO d’avoir manqué à l’obligation de communiquer à ses utilisateurs les informations relatives au traitement des données, comme l’article 12 du RGPD le souligne. Il s’agit pour information de l’article qui traite de la « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée ».

Pour le cas de UBEEQO, si effectivement les informations relatives au traitement des données étaient réellement disponibles, elles n’étaient malheureusement pas suffisamment accessibles aux utilisateurs, a reproché la CNIL.

Contrôle sur la géolocalisation pour les services de proximité, première préoccupation de la CNIL depuis 2020

En mars 2020, la CNIL dévoile sa stratégie de contrôle pour l’année et annonce qu’elle va axer son action de contrôle sur 3 thématiques prioritaires, à savoir les données de santé, les cookies et autres traceurs et enfin la géolocalisation pour les services de proximité.

Ces 3 thématiques sont en lien avec les préoccupations quotidiennes des Français. Voilà pourquoi la CNIL a décidé d’en faire ses priorités depuis 2020. Cela pourrait donc aussi expliquer pourquoi l’autorité de protection de données n’a accordé aucune faveur à Ubeeqo pour les infractions qu’elle a commises.

La CNIL, très déterminée à faire respecter les règles

Pour l’année 2021, la CNIL a annoncé une année record dans le cadre de ses pouvoirs répressifs concernant la protection des données. Cette année encore, elle multiplie les contrôles, les sanctions, les amendes et les mises en demeure de sociétés qui enfreignent les règles.

Organismes Français par excellence; l’un des principaux rôles de la CNIL est la protection des données personnelles et de la vie privée dans le secteur de la digitalisation et du numérique qui est un sujet au centre de bon nombre de préoccupations.

D’origine française, la Commission Nationale de l’Informatique et des Libertés, abrégée en « CNIL », est un organisme administratif autonome chargé de répondre à ces préoccupations. Sa mission principale est de s’assurer que l’informatique ne porte préjudice ni au citoyen ni à ses droits. Cet article vous en dira plus sur le rôle de la CNIL.

Quel est le rôle principal de la CNIL ?

Le rôle de la CNIL est la protection de la vie privée des citoyens à travers les données numériques personnelles. Aujourd’hui, une partie de la vie de chacun d’entre nous est virtuelle. Des données concernant la vie privée de chacun sont stockées quelque part, encore qu’il convient de savoir où elles sont stockées et dans quelles conditions.

Voici une liste de sociétés amendées dernièrement par la CNIL dernièrement qui ont particulièrement retenu l’attention des observateurs :

Société SLIMPAY

Le 28 décembre 2021, la CNIL sanctionne la société SLIMPAY à hauteur de 180 000 euros pour violation de données. Les manquements constatés sont :

Des cookies publicitaires qui se déposaient sur le terminal de l’utilisateur dès son arrivée sur la page d’accueil ;

Des opérations de dépôt et de lecture de cookies publicitaires dans l’équipement terminal de l’utilisateur par des partenaires du média.

Société FREE MOBILE

En janvier 2022, FREE MOBILE est reconnue coupable de non-respect des droits des personnes et de la sécurité des données de ses utilisateurs. La CNIL a prononcé une sanction de 300 000 euros à l’encontre de la société. Quatre manquements au RGPD ont été retenus :

Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant ;

Un manquement à l’obligation de respecter le droit d’opposition des personnes concernées ;

Un manquement à l’obligation de protéger les données dès la conception ;

Et enfin, un manquement à l’obligation d’assurer la sécurité des données personnelles.

Société DEDALUS BIOLOGIE

En avril 2022, pour cause de fuite de données de santé, la CNIL a prononcé une sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE.

Trois manquements ont été relevés :

Un manquement au respect des instructions du responsable de traitement ;

Un manquement à l’obligation d’assurer la sécurité des données personnelles ;

Et enfin, un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement.

Société TOTALENERGIES

En juin 2022, La CNIL sanctionne TOTALENERGIES, de la somme de 1 million d’euros pour avoir enfreint les règles en matière de prospection commerciale et de droits des personnes.

Deux manquements ont été relevés :

Un manquement à l’obligation de permettre aux personnes de s’opposer à de la prospection commerciale ;

Des manquements à l’obligation d’information et au respect de l’exercice des droits.

Conclusion sur la CNIL et ses contrôles,

La CNIL continue de jouer un rôle de gendarme dans le monde du numérique et du digital, car soyons conscients que sans un tel outil, les gens feraient du n’importe quoi et n’importe comment, c’est donc un rôle nécessaire, même si parfois il est mal perçu.

Et son rôle s’est encore accru, depuis la mise en place du RGPD (Norme Européenne des données personnelles, et de leur localisation).

D’autres grands noms de sociétés ont aussi été amendés, mais le but du présent article n’est pas de faire une liste à la Prévert, et c’est pourquoi nous arrêtons là, la liste.

Auteur Antonio Rodriguez Editeur et Directeur de Clever Technologies