Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Cityscoot, 16 mars 2023

Résumé des faits

Après avoir effectué un contrôle auprès de la société Cityscoot qui propose la location de scooters pour une courte durée, la CNIL a constaté la collecte de données relatives à la géolocalisation du véhicule de manière quasi-permanente et une conservation de l’historique des trajets.

La CNIL a ainsi décidé, en coopération avec les autorités de protection des données espagnole et italienne, de sanctionner la société d’une amende publique de 125 000 euros pour plusieurs manquements, notamment pour non-respect du principe de minimisation, pour ne pas avoir mis en place un contrat de sous-traitance conforme ainsi que pour ne pas avoir informé les personnes de manière appropriée et pour ne pas avoir collecté leur consentement lors du dépôt de cookies tiers dans le cadre de l’utilisation du ReCaptcha Google.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 5.1.c du RGPD

Collecte de données non nécessaires au regard des finalités.

  • Non-respect de l’art. 28.3 du RGPD

Absence de certaines mentions obligatoires dans le contrat de sous-traitance

  • Non-respect de l’art. 82 de la loi Informatique et Libertés

Absence d’information appropriée et de recueil du consentement

Que retenir de la décision ?

  • Bien que les données soient stockées dans des bases de données distinctes, le rapprochement possible entre les différentes bases permettant un recoupement entre des données correspondant à une personne physique identifiée ou identifiable, doit permettre d’admettre le caractère personnel des données, et ce même si le rapprochement n’est que ponctuel.
  • Les données de géolocalisation constituent des données à caractère hautement personnel, ayant un impact sur l’exercice d’un droit fondamental (liberté de la circulation).
  • L’appréciation du respect du principe de minimisation des données implique d’effectuer une analyse de nécessité des données personnelles collectées au regard des finalités.
  • Les données personnelles ne doivent être traitées que si la finalité ne peut être raisonnablement atteinte par d’autres moyens moins intrusifs.
  • Les mentions devant être intégrées dans un contrat de sous-traitance doivent être précises et détaillées pour permettre d’assurer un traitement conforme des données.
  • Le contrat de sous-traitance doit inclure une clause précisant que le sous-traitant doit tenir à la disposition du responsable de traitement toutes les informations nécessaires pour permettre la réalisation d’audits et contribuer à ces audits.
  • La clause sur la sécurité intégrée dans le contrat de sous-traitance doit non seulement prévoir que le sous-traitant met en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, mais doit inclure également des précisions sur la manière dont le sous-traitant procédera pour aider le responsable de traitement à remplir ces obligations, voire une description des processus et mécanismes intégrés.
  • Le mécanisme de reCaptcha Google ne permet pas uniquement la sécurisation de l’authentification, mais permet également d’effectuer des opérations d’analyse de la part de Google.
  • L’éditeur d’un site qui permet le dépôt de cookies tiers lors de la visite de son site doit vérifier auprès de ses partenaires que l’ensemble des dispositions légales sont respectées.
  • L’éditeur d’un site qui autorise le dépôt de cookies tiers doit être considéré comme un responsable de traitement, notamment lorsqu’il a seul la maitrise du respect de sa finalité ou de sa durée de conservation.
  • Lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies, chacun d’entre eux doit être considéré comme coresponsable des obligations légales.
  • L’utilisation d’un même traceur pour plusieurs finalités dont certaines ne sont pas concernées par les exemptions de consentement exige de recueillir le consentement au préalable.
  • Pour garantir la validité de l’information des utilisateurs et du consentement dans le cadre du dépôt de cookies, l’information doit être spécifique et fournie avant le dépôt.

Le + DLD

  • Pour décider du prononcé d’une amende, plusieurs critères sont pris en compte, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données personnelles concernées par la violation.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la nature des données concernées et de l’atteinte à la vie privée des personnes.

Délibération Complète de la CNIL

Consulter

À lire aussi