Ubeeqo, entreprise de location de véhicule en libre-service, a écopé le 7 juillet dernier d’une amende de 175 000 euros suite à un jugement rendu par la Commission nationale de l’informatique et des libertés (CNIL). La société française, qui a ouvert son service au grand public en 2015, a été condamnée pour avoir collecté et conservé les données de géolocalisation des utilisateurs, au-delà des besoins pour le fonctionnement du service. Cela constitue un manquement au respect du Règlement général sur la protection des données (RGPD).

Une collecte excessive des données de géolocalisation

Via une application mobile dédiée, Ubeeqo permet à ses utilisateurs de louer un véhicule en libre-service durant une période courte. Le téléphone est utilisé pour déverrouiller et verrouiller le véhicule, qui doit être stationné à son emplacement initial à la fin de la durée de la location.

Lors d’une opération de contrôle, la CNIL a repéré plusieurs manquements au respect du RGPD de la part du service. Ubeeqo explique avoir conservé les données des utilisateurs pour « garantir la maintenance et la performance du service (vérifier que le véhicule est rendu au bon endroit et surveiller l’état du parc), retrouver le véhicule en cas de vol et porter assistance aux clients en cas d’accident ».

Cependant, la CNIL a conclu que ces finalités fixées par l’entreprise ne correspondaient pas à la quantité et à la précision des données collectées par Ubeeqo. En effet, l’emplacement du véhicule en circulation est rapporté tous les 500 mètres, ainsi qu’au moment du démarrage et de l'extinction du moteur, et même à l’ouverture et à la fermeture des portes.

Les données de géolocalisation sont également conservées pendant la durée de la relation commerciale entre le service et le client puis trois ans après la fin de la location du véhicule. Cette période, trop longue selon la CNIL, ne correspond pas aux finalités mentionnées par l’entreprise pour gérer la flotte de véhicules en cours de circulation.

Une pratique intrusive selon la CNIL

Pour la CNIL, il s’agit d’un manquement évident au principe de minimisation des données rattaché au RGPD. Les données sont collectées et stockées de manière excessive par rapport aux objectifs de l’entreprise liés à leur utilisation. Elle a estimé que cette pratique est intrusive dans la vie privée des utilisateurs, puisqu’elle permet de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués lors d’un parcours.

La géolocalisation est un sujet clé dans la protection de la vie privée des utilisateurs de services numériques. La CNIL a entamé en juin dernier une étude d’ampleur sur les données de géolocalisation conservées par les applications. L’autorité indépendante va notamment se concentrer sur 850 000 identifiants différents, c’est-à-dire des smartphones, qui ont déjà été géolocalisés au moins dix fois. L’objectif est de sensibiliser les entreprises au respect du RGPD.