Difficile mois de mars pour Cityscoot. Le service, qui met en location des scooters électriques dans une application, a perdu le marché niçois face à son concurrent Yego. Et maintenant, l’entreprise vient de se voir infliger une amende de 125 000 euros sanctionnant son atteinte disproportionnée à la vie privée de sa clientèle.
C’est la Commission nationale de l’informatique et des libertés (Cnil) qui s’est trouvée à la manœuvre. En 2020, l’autorité administrative indépendante lançait un programme de contrôles axés sur la géolocalisation pour les services de proximité. Cityscoot entrant dans ce cadre, elle était amenée à se faire scruter par l’instance chargée de contrôler l’usage des données personnelles.
Une localisation du scooter toutes les 30 secondes
C’est là que la Cnil a relevé les excès de Cityscoot en matière de géolocalisation — un dispositif nécessaire pour que l’entreprise sache où se trouve sa flotte, et à quel endroit envoyer sa clientèle pour en récupérer un disponible. Sauf qu’ici, Cityscoot avait poussé le système jusqu’à en abuser : les véhicules étaient géolocalisés toutes les 30 secondes.
« Lors du contrôle, la Cnil a constaté qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes. En outre, la société conservait l’historique de ces trajets », écrit l’autorité. À ce niveau, cela s’apparente à de la géolocalisation quasi-permanente.
« Une telle pratique est très intrusive dans la vie privée des utilisateurs, dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués au cours d’un parcours », dit encore l’instance administrative. Il n’est pourtant pas nécessaire d’avoir un suivi aussi fin pour bien opérer le service.
À ce titre, la Cnil considère qu’il s’agit ici d’un manquement à l’un des principes du Règlement général sur la protection des données (RGPD) : la minimisation des données. Si leur collecte est possible, cela doit en se limitant à ce qui est adéquat, pertinent et raisonnable, selon les buts pour lesquels elles sont collectées et utilisées.
Deux autres écarts ont par ailleurs été relevés. Un manque d’encadrement pour des traitements effectués par un sous-traitant, mais aussi un défaut d’information quant aux conséquences de l’utilisation d’un outil de vérification (un CAPTCHA) fourni par Google. Cet outil transmettait des données techniques (matérielles et logicielles) à Google sans que l’internaute soit informé au préalable.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.