En ces temps de rentrée des classes, la décision de la CNIL sanctionnant une société de location de véhicules de luxe à propos d’un système de géolocalisation de son parc de véhicules est un cas d’école qui doit servir de leçon à d’autres mauvais élèves qui s’ignorent peut-être.

Cette décision illustre le renforcement des contrôles et la multiplication des sanctions prononcées par la CNIL au cours des derniers mois pour rappeler que la Loi Informatique et Libertés protégeant les données à caractère personnel des citoyens s’applique et doit être respectée sous peine de sanctions.

Dans cette espèce, la CNIL reçoit une plainte d’un consommateur dénonçant la géolocalisation, à l’insu des clients, des véhicules de luxe mis en location par une société spécialisée dans ce domaine.

Après avoir adressé trois courriers recommandés restés sans réponse, la CNIL prend la décision de contrôler la société récalcitrante. Au cours de ces opérations, elle constate différents manquements de ladite société à ses obligations de responsable de traitement au sens de la Loi Informatique et Libertés et la met donc en demeure de régulariser sa situation sous un délai de 2 mois, en vain.

La CNIL inflige alors une sanction pécuniaire de 5 000 euros à la société poursuivie avec publication de ladite sanction.

L’obligation de déclaration du traitement

Le premier manquement reproché est l’absence de déclaration du traitement de données via un système de géolocalisation des véhicules loués aux clients.

En effet, si la société incriminée invoque un engagement de conformité à la norme simplifiée n°51 concernant les traitements de données mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés, la CNIL relève que cette norme n’a pas vocation à s’appliquer à un traitement destiné à géolocaliser des véhicules utilisés, non pas par ses employés, mais par des clients.

Premier enseignement :

Le responsable de traitements de données à caractère personnel qui a une obligation de déclaration de ses traitements doit opter pour les bonnes formalités auprès de la CNIL (déclaration simplifiée, normale ou demande d’autorisation). Comme en l’espèce, rien ne sert de déclarer que l’on respecte une norme simplifiée, sans s’assurer au préalable que les conditions et contraintes fixées dans cette norme sont effectivement respectées de manière effective.

Le respect du principe de proportionnalité

Le deuxième manquement constaté est celui du non-respect du principe de proportionnalité dans la mise en œuvre du traitement posé par l’article 6 de la Loi Informatique et Libertés qui énonce qu’ « un traitement ne peut porter que sur des données à caractère personnel qui (…) sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Or, en l’espèce, le système de géolocalisation mis en place par la société de location de voiture pour lutter contre les vols et non restitution de véhicules était paramétré pour un usage 7 jours / 7, 24 heures / 24.

La CNIL juge que la permanence de la géolocalisation est excessive et qu’elle doit être limitée au cas d’espèce aux seules situations de non restitution ou de vol de véhicules.

Deuxième enseignement :

Les données collectées doivent être en adéquation et proportionnées à la finalité du traitement mis en œuvre.

L’obligation d’information des personnes

Le troisième grief de la CNIL est le constat d’un manque d’information des clients de la mise en œuvre du traitement, en violation de l’article 32 de la Loi Informatique et Libertés.

Si la société incriminée se défend d’informer ses clients de manière orale, la CNIL constate que cette dernière n’apporte aucun élément de preuve de nature à corroborer ses affirmations, alors que la preuve du respect de son obligation d’information des personnes concernées lui incombe.

En outre, la CNIL pointe l’absence et l’insuffisance de mentions « Informatique et Libertés » dans les conditions générales de location de la société.

Troisième enseignement :

Tout responsable de traitement doit apporter la preuve qu’il informe les personnes dont il collecte et traite des données à caractère personnel de l’existence de son traitement et des modalités de sa mise en œuvre en respectant les dispositions de l’article 32 de la Loi Informatique et Libertés.

Cela passe notamment par l’apposition de mentions spéciales au bas des formulaires de collecte et dans les conditions générales de vente ou autre politique de confidentialité.

L’obligation d’assurer la sécurité des données

Enfin, la CNIL reproche un manquement à l’obligation d’assurer la sécurité des données collectées et traitées (article 34 de la Loi) après avoir constaté que l’accès au logiciel de géolocalisation, bien que protégé par un identifiant et un mot de passe, n’était pas sécurisé du fait de l’absence de renouvellement du mot de passe depuis plus de 2 ans.

Quatrième enseignement :

Tout responsable de traitement doit apporter la preuve qu’il informe les personnes dont il collecte et traite des données à caractère personnel de l’existence de son traitement et des modalités de sa mise en œuvre en respectant les dispositions de l’article 32 de la Loi Informatique et Libertés.

Cela passe notamment par l’apposition de mentions spéciales au bas des formulaires de collecte et dans les conditions générales de vente ou autre politique de confidentialité.

*******

La protection des données à caractère personnel est plus que jamais au cœur de l’actualité et la CNIL est bien décidée à intensifier ses contrôles et sanctions pour faire respecter la loi Informatique et Libertés aux responsables de traitement de données à caractère personnel.

Rien ne sert donc d’attendre d’être contrôlé pour se sensibiliser sur ces questions, via des formations et pour faire auditer ses traitements de données à caractère personnel en vue de leur mise en conformité avec la Loi.

Pour en savoir plus…

A propos de Délibération de la formation restreinte de la CNIL n°2014-294 du 22 juillet 2014