Cityscoot sanctionné à cause de la géo-localisation excessive de ses scooters

Le loueur de scooters électriques Cityscoot est sanctionné d’une amende de 125 000 € par la Cnil. La Cnil estime que Cityscoot a porté une atteinte disproportionnée à la vie privée de ses clients en les géo-localisant de manière quasi permanente, en l’occurrence toutes les 30 secondes. De plus, Cityscoot conservait l’historique de ces déplacements.

La Cnil veut se rapprocher des préoccupations quotidiennes des Français

Le contrôle a eu lieu afin de se rapprocher des préoccupations quotidiennes des Français dont la géo-localisation pour les services de proximité. La Cnil a vérifié les données collectées et le recueil du consentement des utilisateurs avant d’inscrire et de lire des informations sur leur équipement terminal de communication électronique.

La Cnil a constaté qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géo-localisation du véhicule toutes les 30 secondes. En outre, la société conservait l’historique de ces trajets. La sanction infligée à Cityscoot a été prise en coopération avec les autorités de protection des données espagnole et italienne car Cityscoot propose aussi ses services dans ces pays.

La Cnil fait référence au manquement à l’obligation de veiller à la minimisation des données (article 5.1.c du RGPD). Cityscoot collectait les données de géo-localisation pour le traitement des infractions au code de la route ; le traitement des réclamations clients ; le support aux utilisateurs afin d’appeler les secours en cas de chute d’un utilisateur ; la gestion des sinistres et des vols.

La géo-localisation fine des clients était injustifiée selon la Cnil

La Cnil considère qu’aucune de ces finalités ne justifie une collecte de données de géo-localisation aussi fine que celle effectuée par la société. La Cnil estime que cette collecte est très intrusive dans la vie privée des utilisateurs, dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués au cours d’un parcours.

L’autorité déclare que Cityscoot pourrait proposer un service identique sans géo-localiser ses clients en quasi-permanence. Cityscoot selon la Cnil a manqué au principe de minimisation des données qui exige que les données doivent être adéquates, pertinentes et non excessives au regard de l’objectif pour lequel elles sont collectées et utilisées.

Autre point, la Cnil a constaté que trois contrats conclus avec des sous-traitants ne contenaient pas toutes les mentions prévues par le RGPD. C’est un  manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD). Les contrats doivent inclure un socle minimal de clauses, par exemple sur les données collectées, les mesures de sécurité à mettre en place et le sort des données en cas de résiliation des contrats.

L’usage du reCaptcha de Google en question

Enfin, Cityscoot utilisait un mécanisme de reCAPTCHA de Google lors de la création du compte sur l’application mobile ainsi que lors de la connexion et de la procédure de mot de passe oublié sur le site web. Ce mécanisme fonctionne avec une collecte d’informations matérielles et logicielles telles que les données sur les appareils et les applications. Ces données sont transmises à Google.

La Cnil reproche à Cityscoot de ne pas avoir fourni d’information à l’utilisateur et de n’avoir pas recueilli pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci. Cityscoot a indiqué, en cours de procédure, qu’il cesserait d’avoir recours à ce mécanisme. Il s’agit d’un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel (article 82 de la loi Informatique et Libertés).