La société Ubeeqo, spécialiste de la location de voiture de courte durée est fortement sanctionnée par la Cnil pour avoir géo-localisé ses véhicules de manière quasi-permanente. La société Ubeeqo filiale d’Europcar, propose des voitures en libre-service ou de la location traditionnelle. Elle se voir infliger une amende de 175 000 € pour avoir porté une atteinte disproportionnée à la vie privée de ses clients.
Collecte de la géo-localisation du véhicule tous les 500 mètres
La Cnil a constaté que la société collectait les données de géolocalisation du véhicule loué, tous les 500 mètres, lorsque le moteur s’allumait et se coupait ou lorsque les portes s’ouvraient et se fermaient. En outre, la société conservait certaines données de géo-localisation collectées, pendant une durée excessive. La sanction est prise en coopération avec les autres autorités européennes concernées en Belgique, au Danemark, en Espagne, en Italie et en Allemagne.
Les raisons de cette collecte de données par la société n’ont pas convaincu la Cnil
La Cnil considère qu’aucune de ces finalités ne justifie une collecte de données de géo-localisation aussi fine que celle effectuée par la société. Elle estime que cette pratique est très intrusive dans la vie privée des utilisateurs. Elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou la totalité des arrêts effectués au cours d’un parcours.
La société pourrait proposer un service identique sans cette géo-localisation quasi-permanente
Selon la Cnil, la société pourrait proposer un service identique sans cette géo-localisation quasi permanente.
Ubeeqo a donc manqué au principe de minimisation des données défini par le RGPD (article 5.1.c du RGPD). Les données doivent être adéquates, pertinentes et non excessives au regard de l’objectif pour lequel elles sont collectées et utilisées.
Les données de géo-localisation étaient conservées 3 ans, ce qui est excessif
La Cnil considère que cette durée de conservation est excessive car elle ne correspond pas au strict besoin de la société. Celle-ci collecte les données de géo-localisation afin de gérer la flotte de véhicules, de retrouver une voiture en cas de vol ou de porter assistance au client. L’inspection des bases de données d’Ubeeqo a montré en outre que des données personnelles de clients portant sur des utilisateurs inactifs depuis plus de 8 ans étaient toujours présentes dans les bases de données de la société.
Défaut d’information des clients lors de leur inscription sur l’application
Enfin, Ubeeqo a manqué à l’obligation d’informer les personnes (article 12 du RGPD). Lors du parcours d’inscription sur l’application Ubeeqo, les informations relatives au traitement des données n’étaient pas suffisamment accessibles aux utilisateurs. Ubeeqo a mis en conformité le formulaire d’inscription sur ce point au cours de la procédure.