La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Anne DEBET, Monsieur Alain DRU, Monsieur Bertrand du MARAIS et Madame Christine MAUGÜÉ, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données, notamment ses articles 56 et 60 ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2020-090C du 12 mai 2020 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir du domaine […]et de l’application " X " ou portant sur des données à caractère personnel collectées à partir de ces derniers ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 12 avril 2021 ;
Vu le rapport de Madame Valérie Peugeot, commissaire rapporteure, notifié à la société X le 22 octobre 2021 ;
Vu les observations écrites versées par la société X le 22 novembre 2021 ;
Vu la réponse de la rapporteure à ces observations notifiées le 15 décembre 2021 à la société ;
Vu les observations écrites versées par la société X le 17 janvier 2022, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte du 27 janvier 2022 :
- Madame Valérie Peugeot, commissaire, entendue en son rapport ;
En qualité de représentants de la société X :
- […]
La société X ayant eu la parole en dernier ;
Après en avoir délibéré, la formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La société X (ci-après " X " ou " la société ") est une société par actions simplifiée unipersonnelle, dont le siège social est situé […]. La société est une filiale du groupe […]. Ce groupe a réalisé un chiffre d’affaires moyen de […] euros sur les années 2018, 2019 et 2020. En 2019, X a réalisé un chiffre d’affaires de […] euros, pour un résultat net […] euros. En 2020, X a réalisé un chiffre d’affaires de […] euros, pour un résultat net […] euros.
2. X met en œuvre une plateforme numérique de location de véhicules en auto-partage qu’elle propose à des clients particuliers et à des clients professionnels. Au 9 juillet 2020, la société comptait au moins […] clients en Europe dont, en France, […] clients particuliers et […] clients professionnels. Ses services sont accessibles directement via le téléchargement des applications " […] " (disponibles sous IOS et sous Android) et le site internet […]. Elle exerce son activité au travers de ses filiales établies notamment en France, en Belgique, en Allemagne, en Espagne, en Italie et au Danemark. À la fin du mois de juin 2020, l’effectif de X et de ses filiales était de […] salariés.
3. La société dispose de sa propre flotte de véhicules que les utilisateurs de la plateforme peuvent louer en créant un compte sur le site internet ou les applications mobiles […]. En 2019, la filiale française de X a enregistré […] réservations.
4. Pour les clients particuliers, la société propose une offre de location de véhicules partagés en boucle fermée : le client est tenu de récupérer et de restituer son véhicule sur la même station. Les véhicules sont en libre accès, dans des espaces privés ou non et aucun personnel de X n’est présent lors de la prise de véhicule ou lors de sa restitution, le service étant entièrement dématérialisé.
5. Au cours de leur location par des clients, la société collecte des données de géolocalisation des véhicules, notamment afin de gérer le parc de véhicules en vue des prochaines locations.
6. La structure du système d’information de X et de ses filiales est composée de deux plateformes distinctes :
- […] pour la France, l’Italie ainsi qu’une partie de l’activité en Belgique et en Allemagne ;
- […] pour l’Espagne, le Danemark et le reste de l’activité en Allemagne.
7. En application de la décision n° 2020-090C du 12 mai 2020 de la présidente de la CNIL, il a été procédé à une mission de contrôle en ligne afin de vérifier la conformité aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " RGPD ") et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après " loi du 6 janvier 1978 modifiée " ou " loi Informatique et Libertés ") de tout traitement accessible à partir du domaine […] et de l’application […] ou portant sur des données à caractère personnel collectées à partir de ces derniers. Le procès-verbal n° 2020-090/1 dressé à l’issue de ce contrôle a été notifié à X le 12 juin 2020.
8. Le 17 juin 2020, la délégation de contrôle a adressé un questionnaire à la société, auquel cette dernière a répondu par courrier du 10 juillet 2020. La délégation de contrôle a transmis des demandes complémentaires à la société, par courriels des 28 septembre et 26 octobre 2020. La société y a répondu par courriels des 7 octobre et 2 novembre 2020.
9. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 12 avril 2021, désigné Madame Valérie Peugeot en qualité de rapporteure, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
10. À l’issue de son instruction, la rapporteure a fait notifier à la société X, le 22 octobre 2021, un rapport détaillant les manquements aux dispositions du Règlement qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de la société une amende administrative et que la décision soit rendue publique.
11. Était également jointe au rapport une convocation à la séance de la formation restreinte du 9 décembre 2021 indiquant à la société X qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites en application des dispositions de l’article 40 du décret n° 2019-536 du 29 mai 2019.
12. La société a répondu au rapport de sanction par des observations écrites en date du 22 novembre 2021.
13. Le 30 novembre 2021, la rapporteure a sollicité un délai pour répondre aux observations formulées par la société. Par courrier du 1er décembre 2021, le président de la formation restreinte a avisé la rapporteure qu’elle bénéficiait d’un délai supplémentaire de huit jours pour produire ses observations. Par un courrier daté de ce même jour, la société a été avisée par le président de la formation restreinte qu’elle bénéficiait également d’un délai supplémentaire de huit jours pour produire ses observations.
14. Par courrier du 15 décembre 2021, la réponse de la rapporteure a été adressée à la société, accompagnée d’une convocation à la séance de la formation restreinte du 27 janvier 2022.
15. Par courriel du 18 décembre 2021, la société a sollicité un délai pour répondre aux observations formulées par la rapporteure. Par courrier du 21 décembre 2021, le président de la formation restreinte a avisé la société qu’elle bénéficiait d’un délai supplémentaire jusqu’au 17 janvier 2022.
16. Le 17 janvier 2022, la société X a produit de nouvelles observations en réponse à celles de la rapporteure.
17. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte.
II. Motifs de la décision
18. Aux termes de l’article 56, paragraphe 1, du Règlement, " l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60 ".
19. À titre liminaire, la formation restreinte précise que la présente délibération ne vise pas les traitements effectués par la société dans le cadre de son offre à des clients professionnels.
20. La formation restreinte relève que l’établissement unique de la société X se trouve en France et qu’elle est immatriculée au registre du commerce et des sociétés en France depuis l’origine, ce qui conduit à faire de la CNIL l'autorité de contrôle chef de file compétente concernant les traitements transfrontaliers effectués par cette société, conformément à l’article 56 paragraphe 1 du Règlement.
21. Faisant application du mécanisme de coopération et de cohérence prévu au chapitre VII du RGPD, la CNIL a informé, le 15 décembre 2020, l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par la société, ouvrant ainsi la procédure pour la déclaration des autorités concernées sur ce cas.
22. En application de l’article 60, paragraphe 3, du RGPD, le projet de décision adopté par la formation restreinte a été transmis aux autres autorités de contrôle européennes compétentes le 3 juin 2022. La formation restreinte relève que les autorités de contrôle suivantes sont concernées par la présente procédure : Belgique, Danemark, Espagne, Italie, Bade-Wurtemberg et Berlin.
23. Au 1er juillet 2022, aucune des autorités de contrôle concernées n’avait formulé d’objection pertinente et motivée à l’égard de ce projet de décision, de sorte que, en application de l’article 60, paragraphe 6, du RGPD, ces dernières sont réputées l’avoir approuvé.
A. Sur les traitements en cause et la qualité de responsable de traitement de X
24. Le responsable de traitement est défini, aux termes de l’article 4, point 7, du RGPD, comme " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ".
25. Les traitements en cause dans la présente procédure sont les traitements de données relatifs à la création d’un compte utilisateur sur les applications mobiles ou le site […] et à la collecte de données de géolocalisation des véhicules loués.
26. En premier lieu, s’agissant de la responsabilité du traitement, il résulte des pièces du dossier que, en ce qui concerne les données collectées sur les applications mobiles ou le site web […], la société indique dans sa politique de confidentialité être responsable du traitement de ces données à caractère personnel. Ensuite, la société détermine notamment, pour l’ensemble des filiales, les catégories de données qui sont collectées lors du parcours d’inscription, telles que les données de contact. En ce qui concerne les traitements relatifs aux données de géolocalisation, il ressort des éléments fournis par la société que ces traitements sont communs à l’ensemble des filiales et que la société en a déterminé les différentes finalités (maintenance et performance du service, etc.). De plus, la société a établi une politique de durées de conservation des données unique, applicable tant à la société qu’à ses filiales. Enfin, la société a mis en place deux systèmes d’informations, […], qui sont chacun utilisés par plusieurs filiales, et la société peut accéder aux données à caractère personnel stockées dans ces deux systèmes.
27. En second lieu, la formation restreinte relève que la société X ne conteste pas sa qualité de responsable de traitement. Au demeurant, l’éventualité d’une responsabilité conjointe de ses filiales est sans influence sur sa responsabilité propre à l’égard des traitements en cause. En effet, la présente délibération porte sur la responsabilité de X pour les manquements visés et non sur celle de ses éventuels responsables conjoints de traitements.
28. Au regard de ces éléments, la formation restreinte estime que la société X détermine les finalités et les moyens des traitements relatifs à la création d’un compte utilisateur sur les applications mobiles ou le site web […] et à la collecte de données de géolocalisation des véhicules loués. Ainsi, la société doit être qualifiée de responsable de ces traitements.
B. Sur le manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées en application de l’article 5.1.c du RGPD
29. L’article 5, paragraphe 1, c) du RGPD prévoit que les données à caractère personnel doivent être " adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ". Lorsque les données sont collectées sur le fondement de l’intérêt légitime, cette collecte ne doit en outre pas porter une atteinte disproportionnée à la vie privée, au regard des objectifs poursuivis par la société.
30. La rapporteure relève que, dans le cadre de l’instruction, la délégation de contrôle de la CNIL a été informée que, au cours de la location d’un véhicule par un particulier, la société collecte des données de géolocalisation, tous les 500 mètres, lorsque le moteur s’allume et se coupe ou encore lorsque les portes s’ouvrent et se ferment. Les données de géolocalisation sont collectées par des systèmes internes aux véhicules puis transmises par le réseau GSM au système d’information du prestataire de service et ensuite communiquées aux plateformes de X. Les équipes opérationnelles disposent également d’un bouton permettant de rafraîchir la position du véhicule et de le localiser en temps réel.
31. La rapporteure note que la société a indiqué que les données de géolocalisation des véhicules étaient collectées en vue de différentes finalités :
- pour assurer la maintenance et la performance du service (vérifier que le véhicule est rendu au bon endroit, surveiller l’état du parc…),
- pour retrouver le véhicule en cas de vol,
- pour porter assistance aux clients en cas d’accident.
32. La rapporteure considère qu’aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un véhicule.
33. Il y a lieu d’examiner la pertinence de la collecte de ces données pour chacune de ces trois finalités. À titre liminaire, la formation restreinte souligne que, dès lors qu’un véhicule est en cours de location, les données de géolocalisation issues de ce véhicule sont associées à une personne et constituent des données à caractère personnel. Si les données de géolocalisation ne sont pas des données sensibles, au sens de l’article 9 du RGPD, elles sont néanmoins considérées par le groupe de travail de l’article 29 (dit " G29 " devenu le Comité européen de la protection des données (CEPD)) dans ses lignes directrices du 4 octobre 2017, comme étant des " données à caractère hautement personnel ". Le G29 estime que ces données sont considérées comme sensibles, au sens commun du terme, dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental. En effet, la collecte des données de localisation met en jeu la liberté de circulation.
34. À titre d’éclairage, la formation restreinte rappelle également que le CEPD a considéré, dans ses lignes directrices 01/2020 relatives aux traitements de données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité (les lignes directrices 01/2020) que " Lorsqu’ils collectent des données à caractère personnel, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient garder à l’esprit que les données de localisation sont particulièrement révélatrices des habitudes de vie des personnes concernées. Les trajets réalisés sont très caractéristiques en ce qu’ils peuvent permettre de déduire le lieu de travail, le domicile ainsi que les centres d’intérêt (loisirs) du conducteur, et peuvent éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés. Par conséquent, les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient particulièrement veiller à ne pas collecter de données de localisation, à moins que cela ne soit absolument nécessaire pour la finalité du traitement ". Ces lignes directrices soulignent également que la collecte de données de localisation est subordonnée au respect du principe selon lequel la localisation peut être activée " uniquement lorsque l’utilisateur lance une fonctionnalité qui nécessite de connaître la localisation du véhicule, et non par défaut et en continu au démarrage de la voiture ".
35. Dans ce cadre, la formation restreinte rappelle que l’appréciation du respect du principe de minimisation des données repose sur le caractère limité à ce qui est nécessaire des données traitées au regard de la finalité pour laquelle elles sont collectées. Son appréciation implique de procéder à une analyse de la proportionnalité des données à caractère personnel qui sont collectées au regard des finalités visées.
36. En premier lieu, s’agissant de la gestion de la flotte de véhicules et des contrats de location, la rapporteure considère que la collecte des données de géolocalisation pendant toute la durée de la location n’est pas nécessaire. Elle estime que la société peut avoir besoin de ces données pour gérer le début et la fin de la location mais qu’une telle collecte n’est pas justifiée sur l’ensemble de la période de location.
37. En défense, la société fait valoir que l’offre de services qu’elle propose repose sur une disponibilité immédiate des véhicules et une flexibilité impliquant une adaptation aux besoins de l’utilisateur qui évoluent au cours de la période de location. Elle rappelle que le système est entièrement dématérialisé et qu’il fonctionne en boucle fermée : le véhicule doit être pris et rapporté dans la même station. Elle soutient que limiter la collecte des données de géolocalisation à l’heure de fin de location prévue la priverait de la possibilité de gérer la flotte de manière flexible, en fonction de la localisation réelle des véhicules. La société soutient également qu’elle n’a pas connaissance à l’avance de l’heure de fin effective d’une location et que les clients peuvent rendre le véhicule de manière anticipée simplement en le rapportant dans la station de départ. Par conséquent, la géolocalisation à intervalles réguliers serait le seul moyen de déterminer l’heure de retour du véhicule.
38. La société fait valoir, s’agissant des contrats de location, que la géolocalisation lui permet de traiter des cas où le véhicule serait restitué ailleurs qu’à son emplacement de départ, notamment pour pouvoir clore la location ou récupérer un véhicule garé à un mauvais endroit. En outre, elle soutient qu’elle doit pouvoir contrôler la bonne exécution du contrat, par exemple lors d’une utilisation interdite du véhicule en dehors des voies carrossables ou hors du territoire national. La géolocalisation serait également nécessaire pour contrôler l’entrée et la sortie d’un véhicule de zones de péage urbain (notamment à Madrid) et ainsi rendre au client un service de facturation immédiate et automatisée.
39. La société soutient qu’elle a besoin de savoir immédiatement si un véhicule a été utilisé en dehors des conditions générales de location afin d’éviter que le véhicule ne soit remis en circulation, pour des raisons de sécurité ou " pour des raisons de bonne administration du service " (notamment assurantielles).
40. La formation restreinte prend note des arguments mis en avant par la société pour gérer sa flotte efficacement et de manière flexible.
41. La formation restreinte relève cependant que, à cette fin, la collecte des données de géolocalisation du véhicule tout au long du trajet (tous les 500 mètres lorsque le véhicule se déplace mais également lorsque le moteur du véhicule s’allume ou se coupe et lorsque les portes sont ouvertes ou fermées à l’aide d’un badge ou de l’application) n’est pas nécessaire.
42. En effet, la formation restreinte remarque que, d’une part, pour rendre le véhicule, le moteur doit nécessairement être coupé et, d’autre part, que cet événement déclenche la géolocalisation du véhicule. Ainsi, lorsqu’un utilisateur allume ou coupe le moteur du véhicule, ce véhicule transmet à la société la géolocalisation de celui-ci. Si la société constate alors que le véhicule est de retour à son point de départ et qu’il est fermé, elle peut mettre fin à la location en cours. La géolocalisation du véhicule à cet instant permet donc de déterminer si le véhicule est à son point de départ, prêt à être rendu. A contrario, la collecte des données de géolocalisation pendant le reste du trajet n’est pas nécessaire pour déterminer si le véhicule est de retour à sa station de départ en vue d’être restitué.
43. En ce qui concerne le cas où le véhicule est restitué ailleurs qu’à son emplacement de départ, il ressort des déclarations de la société que ce n’est pas la simple géolocalisation du véhicule qui permet de mettre fin à la location, comme dans le cas de fin de location sur la station de départ. En l’absence de procédé automatique, la fin de la location ne peut avoir lieu qu’après que le client a contacté la société. En outre, le recueil de la géolocalisation du véhicule lors de l’arrêt du véhicule, à un autre endroit que son point de départ, combiné à l’information que celui-ci n’a pas été rallumé ensuite, permet, dans cette hypothèse, de disposer de données permettant d’établir la fin de la location, en lien avec l’appel téléphonique de l’utilisateur. En outre, la formation restreinte estime que, dès lors que la société a connaissance de la volonté du client de restituer le véhicule à un autre endroit, elle peut activer la géolocalisation afin de gérer cette situation.
44. En ce qui concerne le respect des conditions générales d’utilisation et en particulier l’utilisation du véhicule hors des voies carrossables et hors du territoire national, la société, interrogée à ce sujet lors de la séance de la formation restreinte, n’a pas apporté d’éléments relatifs à son utilisation effective des données de géolocalisation pour détecter de tels usages, ni pour en tirer d’éventuelles conséquences. Il n’est ainsi notamment pas établi si les données de géolocalisation sont utilisées pour ces finalités et le cas échéant, comment et dans quelles proportions. En particulier, la société n’a pas donné d’indication sur les actions mises en œuvre lors de la sortie d’un véhicule du territoire national. La formation restreinte souligne à cet égard que, en tout état de cause, le client pourrait être tenu responsable de tout usage du véhicule hors des conditions générales d’utilisation. La formation restreinte relève, à titre surabondant, que l’utilisation d’une géolocalisation régulière pour repérer une circulation d’un véhicule loué en dehors des voies carrossables n’est pas habituelle et pose des questions de proportionnalité. Dans ces conditions, la volonté de la société de s’assurer du respect des conditions générales d’utilisation par les utilisateurs ne saurait justifier une géolocalisation des véhicules tous les 500 mètres.
45. En ce qui concerne l’usage de la géolocalisation pour contrôler l’entrée et la sortie d’un véhicule d’une zone de péage urbain, la formation restreinte relève tout d’abord que cela ne concerne (dans les États de l’Union européenne concernés par les traitements en cause) que la ville de Madrid. Ensuite, une collecte quasi permanente des données de géolocalisation sur l’ensemble des véhicules loués, sur le fondement de l’intérêt légitime, apparaît nécessairement disproportionnée par rapport à la finalité avancée qui est celle d’une facturation immédiate et automatisée des frais aux clients. La formation restreinte relève que cela vaut d’autant plus en ce qui concerne la location de véhicules dans les villes autres que Madrid.
46. En deuxième lieu, s’agissant de la lutte contre le vol des véhicules, la rapporteure souligne que, pour être considéré comme proportionné, le traitement de données de géolocalisation doit être rendu nécessaire à cette finalité par un fait générateur, tel qu’une déclaration de vol ou une suspicion de vol. Les données de géolocalisation des véhicules ne peuvent donc être considérées comme strictement nécessaires à la poursuite de la finalité liée au risque de vol, avant tout fait générateur.
47. En défense, la société soutient que la collecte des données de géolocalisation tous les 500 mètres permet de retrouver le véhicule en cas de vol ou de suspicion de vol, notamment lors d’incohérences entre la localisation réelle du véhicule et son lieu de restitution prévu. En effet, la géolocalisation serait le seul moyen efficace de répondre à l’objectif légitime de prévention du vol. La société soutient qu’elle ne peut interroger les clients sur la localisation du véhicule car, dans 60% des cas recensés par X en France en 2021, le client est l’auteur du vol. En outre, l’usage de la géolocalisation à compter d’un fait générateur permettrait au mieux d’obtenir une information trop tardive, voire aucune information. En effet, les systèmes de géolocalisation seraient soit désactivés, soit rendus hors d’usage en plaçant le véhicule dans une zone où le signal ne pourrait émettre (parking souterrain…). Connaître la dernière position connue du véhicule permettrait donc de réduire la zone de recherche du véhicule si celui-ci était volé et n’émettait plus de signal.
48. La formation restreinte souligne que, comme le relève la rapporteure, avant tout fait générateur, les données de géolocalisation des véhicules ne peuvent, en principe, être considérées comme strictement nécessaires à la poursuite de cette finalité et leur collecte en permanence ou de manière très rapprochée doit être considérée comme excessive.
49. À titre d’éclairage, la formation restreinte relève que les lignes directrices 01/2020 indiquent que les données de localisation ne peuvent être remontées qu’à partir de la déclaration de vol et ne sauraient être collectées en continu le reste du temps. À cet égard, le CEPD recommande également que le responsable de traitement informe clairement la personne concernée qu’il n’existe pas de traçage permanent du véhicule et que les données de géolocalisation ne peuvent être collectées et transmises qu’à partir de la déclaration de vol.
50. En outre, la formation restreinte souligne que l’appréciation du caractère limité à ce qui est nécessaire, au sens de l’article 5.1.c du RGPD, est éclairée par les dispositions du considérant 39 du RGPD, selon lequel " [l]es données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens ". L’existence de moyens moins intrusifs pour atteindre les mêmes finalités doit ainsi être prise en compte, qu’il s’agisse de moyens alternatifs ou de données traitées moins fréquemment ou en moins grand nombre.
51. La formation restreinte prend note des observations de la société et notamment du fait que, dans 60% des cas de vol en France, le vol est le fait de l’utilisateur du véhicule. Dans ces cas, cet utilisateur ne signalerait donc pas, ou du moins en temps utile, le vol en question et ne fournirait pas à la société la dernière position connue du véhicule. Toutefois, dans ces hypothèses, la société dispose en principe de l’identité de cette personne, qui a été vérifiée au cours du parcours d’inscription de l’utilisateur, en collectant des copies d’une pièce d’identité et du permis de conduire de cette personne.
52. La formation restreinte note également que, par conséquent, dans 40% des cas en France, l’utilisateur n’étant pas le voleur du véhicule, il peut communiquer à la société la dernière position connue du véhicule avant qu’il ne disparaisse.
53. La formation restreinte relève ensuite que dans les hypothèses où le véhicule disparaît et que la dernière position connue n’est pas communiquée par l’utilisateur, la société peut en principe activer à distance la géolocalisation du véhicule. Ce n’est que dans les cas où soit le véhicule se trouve dans une zone où le signal n’émet pas (zone blanche ou parking souterrain notamment), soit le système de géolocalisation a été démonté en vue du vol, que la société n’aura pas accès à la géolocalisation du véhicule. La proportion de ces hypothèses n’a cependant pas été communiquée par la société.
54. À cet égard, la formation restreinte considère que lorsque le système de géolocalisation a été sciemment rendu inutilisable, l’information que représente la dernière position connue du véhicule a une valeur relative en vue de rechercher le véhicule.
55. Ainsi, la formation restreinte souligne que, au regard des considérations qui précèdent, les cas où, d’une part, la géolocalisation est le seul moyen de connaître la dernière position connue du véhicule et où, d’autre part, cette dernière position connue est effectivement proche de la localisation du véhicule, apparaissent limités. Dans ces situations, la formation restreinte ne remet pas en cause l’utilité de connaître la dernière position connue du véhicule grâce à la dernière donnée de géolocalisation. Cependant, cette hypothèse ne suffit pas à justifier la collecte de l’ensemble des données de géolocalisation de l’ensemble des trajets des utilisateurs.
56. Au surplus, la formation restreinte relève que d’autres mesures de sécurité pourraient être mises en place pour prévenir le vol des véhicules. En effet, par exemple, aucun dépôt de garantie n’est demandé à l’utilisateur pour louer un véhicule. La formation restreinte souligne que l’absence de mise en place de moyens alternatifs de prévention du vol, moins attentatoires à la vie privée des utilisateurs, tend à renforcer la conclusion selon laquelle il est disproportionné de faire reposer la prévention du vol de véhicules sur la collecte quasi permanente de données de géolocalisation.
57. Au regard de l’ensemble de ces considérations, la formation restreinte considère que, dans une grande partie des cas d’usage, la collecte de données de géolocalisation tous les 500 mètres au cours de la location du véhicule n’est pas nécessaire à l’objectif de prévention du vol du véhicule. Le fait de procéder systématiquement à cette collecte pour les cas d’usages où elle pourrait être effectivement utile, alors que d’autres moyens de prévention et de lutte contre le vol existent, sur le fondement de l’intérêt légitime de la société, apparaît porter une atteinte disproportionnée à la vie privée. En effet, comme cela a été souligné ci-dessus, la collecte et la conservation par la société de l’ensemble des trajets des utilisateurs des véhicules la conduisent à manipuler et à conserver des données hautement personnelles.
58. En troisième lieu, s’agissant de la localisation du véhicule en cas d’accident, la rapporteure soutient que la collecte de données de géolocalisation à cette fin ne peut intervenir qu’à compter d’un fait générateur, notamment une demande d’assistance par le client, rendant cette collecte nécessaire.
59. En défense, la société soutient que limiter le déclenchement de la géolocalisation à l’hypothèse d’une demande d’assistance équivaudrait à la priver de la possibilité de porter assistance à son client alors même qu’il serait dans l’impossibilité de la solliciter. En outre, identifier la dernière localisation connue du véhicule serait important lorsque le véhicule est accidenté dans une zone " blanche ".
60. La formation restreinte souligne d’abord qu’il est légitime pour la société de vouloir porter assistance aux utilisateurs victimes d’un accident de la circulation pendant la location d’un véhicule. Cependant, pour porter une telle assistance aux utilisateurs, la société doit nécessairement avoir connaissance de la survenance d’un incident ou d’un accident.
61. La formation restreinte considère que, dès lors que la société a connaissance de la survenance d’un accident concernant un véhicule loué, elle peut géolocaliser ce véhicule pour, le cas échéant, porter assistance à l’utilisateur.
62. En revanche, la formation restreinte estime que la géolocalisation tous les 500 mètres de l’ensemble des véhicules au cours de toute la durée de location, préalablement à toute information relative à un accident, n’est pas nécessaire pour porter assistance à un utilisateur. La collecte de données de géolocalisation quasi permanente n’est donc ni adéquate, ni pertinente au regard de cette finalité.
63. Il résulte de l’ensemble de ce qui précède que la formation restreinte considère qu’aucune des finalités avancées par la société ne justifie une collecte tous les 500 mètres des données de géolocalisation au cours de la location d’un véhicule. Une telle pratique est en effet très intrusive dans la vie privée des utilisateurs dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation, la totalité des arrêts effectués au cours d’un parcours journalier, ce qui revient à mettre en cause leur liberté de circulation. La formation restreinte relève à cet égard qu’il ressort des développements supra que la société pourrait proposer un service identique sans collecter des données de géolocalisation de manière quasi permanente.
64. En outre, la formation restreinte prend acte de ce que la société a déclaré que sa pratique avait évolué et qu’elle ne conservait plus d’historique des données de géolocalisation. La formation restreinte estime qu’il s’agit d’une bonne pratique, dans la mesure où le risque d’atteinte à la vie privée des utilisateurs est moins importante. Cependant, à la date des contrôles, la société conservait un historique des données de géolocalisation dans le système d’information Inovia.
65. La formation restreinte considère par conséquent que ces faits constituent un manquement à l’article 5.1.c du RGPD.
C. Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement en application de l’article 5.1.e du RGPD
66. Aux termes de l’article 5.1.e du Règlement, les données à caractère personnel doivent être " conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ".
1. S’agissant de la durée de conservation des données de géolocalisation
67. La rapporteure relève qu’il ressort de la politique de conservation des données de la société que les données de géolocalisation des clients particuliers sont conservées en base active pendant toute la durée de la relation commerciale puis durant trois ans à compter de la date de dernière activité de l’utilisateur. Au cours de cette relation commerciale, un client conclut un nouveau contrat avec la société pour chaque location d’un véhicule. La rapporteure note que les finalités pour lesquelles les données de géolocalisation sont collectées sont liées à un contrat de location d’un véhicule précis et non à l’ensemble de la relation commerciale, qui dure jusqu’à la dernière manifestation d’intérêt à la relation commerciale de l’utilisateur (notamment : une location ou réservation en cours, le fait de cliquer sur un lien dans une newsletter, l’inscription à une offre […] ou une connexion au compte […]).
68. Au regard de ces éléments, la rapporteure fait grief à la société de ne pas lier la durée de conservation des données de géolocalisation à chaque contrat de location mais à la relation commerciale avec le client. En effet, la date de dernière activité de l’utilisateur et non celle de la fin du contrat de location est prise en considération pour faire courir la durée de conservation. Elle considère, par conséquent, que les données de géolocalisation collectées au cours de la location d’un véhicule sont conservées pour une durée qui excède les finalités pour lesquelles elles sont traitées.
69. En défense, la société soutient qu’elle ne conserve aucun historique des données de géolocalisation. Elle fait valoir que chaque donnée de géolocalisation collectée remplace la donnée précédemment collectée, tant dans le système d’information […] que dans le système d’information […]. Ainsi, n’est conservée que la dernière position connue d’un véhicule. Par conséquent, il ne saurait selon elle lui être fait grief de conserver les données de géolocalisation qu’elle collecte pour une durée excessive.
70. La formation restreinte rappelle que la durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées, ou faire l’objet d’un archivage intermédiaire, pour une durée déterminée, lorsque leur conservation est nécessaire par exemple pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. La formation restreinte souligne également que l’effectivité de la mise en œuvre d’une politique de durées de conservation des données est le pendant nécessaire de sa définition et permet d’assurer que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet par ailleurs, notamment, de réduire les risques d’usage non autorisé des données en cause, par un salarié ou par un tiers (voir CNIL, FR, 29 octobre 2021, Sanction, n° SAN-2021-019, publiée).
71. En l’espèce, la formation restreinte relève qu’il ressort des pièces du dossier que, à la date des contrôles de la délégation de la CNIL, la société conservait, dans le système d’information Inovia, un historique des données de géolocalisation. Les données de géolocalisation étaient conservées, en application de la politique de durées de conservation, en base active durant trois ans à compter de la date de dernière activité de l’utilisateur. Le point de départ de la durée de conservation de ces données était ainsi lié à la fin de la relation commerciale entre la société et l’utilisateur. Cette pratique concernait une partie de l’activité de la société, c’est-à-dire les données collectées dans les pays où le système d’information Inovia était utilisé (France, Italie et, partiellement, Belgique).
72. Or, la formation restreinte remarque que les finalités pour lesquelles des données de géolocalisation sont collectées ne sont pas liées à l’ensemble de cette relation commerciale mais à chaque contrat de location d’un véhicule. En effet, s’agissant, premièrement, de la finalité liée à la gestion de la flotte de véhicules et du contrat de location, les données de géolocalisation du véhicule ne sont plus nécessaires à cette finalité dès lors que le véhicule a été restitué et que la location a pris fin. Deuxièmement, s’agissant de la finalité liée à la prévention du vol, les données de géolocalisation seraient nécessaires uniquement en cas de vol du véhicule, le temps de l’instruction du dossier par les autorités judiciaires compétentes ou jusqu’à l’issue d’une procédure de levée de doute n’aboutissant pas à la confirmation du vol du véhicule. Troisièmement, s’agissant de la finalité liée à l’assistance des utilisateurs en cas d’accident, si des données de géolocalisation des véhicules peuvent être nécessaires à l’accomplissement d’un service d’assistance, elles ne le sont plus dès lors que ce service ou les procédures qui y sont liées prennent fin.
73. La formation restreinte souligne que, le cas échéant, à l’issue des procédures liées au vol d’un véhicule ou à un accident, des données de géolocalisation en lien avec ces procédures peuvent être conservées par la société, notamment en vertu d’obligations légales ou pour se constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable. Ces données doivent cependant faire l’objet d’un tri puis être conservées dans une base d’archivage dédiée, distincte de la base active, pour une durée liée aux finalités recherchées. En outre, le point de départ de la durée de conservation de ces données doit être lié aux situations et événements justifiant la collecte de ces données et ne saurait, en l’espèce, dépendre de manière mécanique et systématique de la fin de la relation commerciale avec le client.
74. Par conséquent, la formation restreinte considère que le fait que le point de départ de la durée de conservation des données de géolocalisation soit lié non pas au contrat de location mais à la fin de la relation commerciale avec l’utilisateur ne permettait pas de respecter le principe selon lequel les données à caractère personnel ne doivent pas être conservées pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
75. Par ailleurs, il ressort des éléments du dossier que la société a modifié sa politique de conservation des données de géolocalisation. Ainsi, à la date du contrôle de la délégation de la CNIL, la société conservait, dans le système d’information […], un historique des données de géolocalisation. La formation restreinte relève que la société soutient que cette pratique a évolué au cours de la présente procédure de sanction et que, désormais, aucun historique des données de géolocalisation n’est conservé. En effet, chaque donnée de géolocalisation collectée remplacerait la donnée précédemment collectée dans le système d’information. La dernière donnée collectée effacerait donc la précédente. Partant, à un instant donné, seule la dernière position connue du véhicule serait enregistrée dans le système d’information.
76. Si la formation restreinte prend bonne note de cette évolution, elle relève que ce n’est pas la pratique qui a été constatée lors du contrôle.
77. La formation restreinte en conclut que la société a conservé les données de géolocalisation en cause pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées et a ainsi méconnu ses obligations au regard de l’article 5.1.e du RGPD.
2. S’agissant de la mise en œuvre effective de la politique de conservation des données
78. La rapporteure fait grief à la société de ne pas respecter sa politique de conservation dans la mesure où il a été constaté lors du contrôle que des données à caractère personnel relatives à des utilisateurs inactifs depuis plus de huit ans étaient présentes dans le système d’information […]. La rapporteure soutient que les données sont ainsi conservées pour une durée excédant les finalités pour lesquelles elles sont traitées.
79. En défense, la société fait valoir que les données en cause se rapporteraient à son activité dans le cadre de l’offre de services à des professionnels (B2B) et que la politique de conservation évoquée dans le rapport ne s’applique pas dans le contexte de l’offre aux professionnels.
80. La formation restreinte relève que les éléments du dossier ne corroborent pas l’affirmation de la société.
81. En effet, premièrement, la formation restreinte note que, dans sa réponse à la CNIL du 10 juillet 2020, en réponse aux questions de la délégation quant au nombre d’utilisateurs en base de données ne s’étant pas connectés à leur compte depuis plus de trois ans, cinq ans, huit ans, la société a fourni des extraits de la base de données du système d’information […] montrant des données à caractère personnel relatives à […] utilisateurs inactifs depuis plus de huit ans, […] utilisateurs inactifs depuis plus de cinq ans et […] utilisateurs inactifs depuis plus de trois ans. La formation restreinte relève que, bien que la délégation de contrôle ait demandé de " distinguer par type d’utilisateur, le cas échéant ", la société a produit un seul résultat et n’a pas mentionné la distinction entre les utilisateurs des services offerts aux particuliers et aux professionnels.
82. Deuxièmement, la société avait précisé, dans cette même réponse, que " Ce résultat [donnait] lieu à des investigations complémentaires pour comprendre les raisons justifiant ce résultat. " La formation restreinte retient que cela tend à indiquer que la société avait alors considéré ce résultat comme non conforme à sa politique de conservation des données.
83. Troisièmement, l’affirmation selon laquelle toutes les données en cause se rapportent à des données collectées dans le cadre des services offerts aux professionnels implique que les données relatives aux services offerts à des professionnels et les données relatives à des services offerts à des particuliers soient conservées dans une même base de données dans le système d’information […]. Interrogée sur ce point lors de la séance de la formation restreinte, la société n’a pas explicité comment, dans l’hypothèse où l’ensemble des données étaient conservées dans une même base de données, elle mettrait en œuvre les purges nécessaires, en distinguant les données relatives aux services offerts à des professionnels et les données relatives à des services offerts à des particuliers.
84. La formation restreinte considère qu’il n’est ainsi pas démontré que les données en cause, conservées respectivement depuis plus de trois ans, cinq ans et huit ans, soient exclusivement des données collectées dans le cadre de services offerts à des professionnels. Partant, il convient d’appliquer à ces données les durées de conservation définies par la société.
85. Par conséquent, sur la base des éléments constatés par la délégation de contrôle et des éléments de réponse de la société, la formation restreinte estime que la société a conservé les données en cause pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
86. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le manquement à l’article 5, paragraphe 1, e), du RGPD est caractérisé.
D. Sur le manquement relatif à l’obligation d’informer les personnes en application de l’articles 12 du RGPD
87. L’article 12.1 du Règlement dispose que " le responsable de traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. […] "
88. La rapporteure fait grief à la société de ne pas fournir aux personnes concernées les informations visées à l’article 13 du RGPD de manière suffisamment accessible lors de la collecte de données à caractère personnel en vue de l’inscription au service […].
89. En défense, la société fait valoir qu’il s’agissait d’un dysfonctionnement, qui a été corrigé.
90. La formation restreinte relève tout d’abord, à titre d’éclairage, que s’agissant du caractère aisément accessible de l’information, le G29 précise, dans ses lignes directrices du 11 avril 2018 sur la transparence au sens du règlement (UE) 2016/679, que " le critère " aisément accessible " signifie que la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder : par exemple, ces informations pourraient être communiquées aux personnes concernées directement ou au moyen d’un lien qui leur serait adressé […] ". Il " recommande à titre de bonne pratique que, dans un contexte en ligne, un lien vers la déclaration ou l’avis sur la protection de la vie privée soit fourni au point de collecte des données à caractère personnel, ou que ces informations soient consultables sur la même page que celle où les données à caractère personnel sont collectées ". Ces lignes directrices précisent également que les informations " devraient être clairement différenciées des autres informations non liées à la vie privée telles que des clauses contractuelles ou des modalités d’utilisation générale ". Les lignes directrices indiquent que "la personne concernée ne doit pas avoir à chercher activement les informations couvertes par [les articles 13 et 14] parmi d’autres informations telles que les conditions d’utilisation d’un site […] ".
91. En l’espèce, la formation restreinte remarque que, lors du contrôle en ligne du 26 mai 2020, en suivant le parcours d’inscription d’un utilisateur sur l’application, il a été constaté que, pour s’inscrire, un utilisateur devait renseigner différentes données à caractères personnel (prénom, nom, date de naissance, coordonnées) sur un formulaire d’inscription. Il a également été constaté que le formulaire d’inscription contenait un lien renvoyant vers les conditions générales d’utilisation. Dans ce document, se trouvait un lien vers la politique de confidentialité de la société, dans laquelle étaient présentées les informations prévues à l’article 13 du RGPD.
92. La formation restreinte relève que la page du formulaire d’inscription ne permettait ainsi pas à l’utilisateur d’accéder directement à une information exhaustive relative à la protection des données dans la mesure où un parcours de plusieurs clics était nécessaire pour l’obtenir. Elle note également que, pour prendre connaissance des informations relatives à la protection des données à caractère personnel, les personnes étaient amenées à les rechercher parmi les conditions générales d’utilisation. Or, la présentation des informations relatives à la protection des données à caractère personnel dans un document accessible depuis un lien présent dans les conditions générales d’utilisation du site web ne saurait être regardée comme satisfaisant aux exigences d’une information aisément accessible. En effet, s’il n’est pas nécessaire de faire figurer les informations visées par l’article 13 du RGPD dès le formulaire de collecte, celui-ci doit, à tout le moins, présenter un moyen tel qu’un lien hypertexte permettant à l’utilisateur de prendre aisément connaissance de l’ensemble des informations obligatoires.
93. La formation restreinte prend acte de ce que la société a mis en conformité le formulaire d’inscription sur ce point au cours de la procédure.
94. Cependant, elle retient que, à la date du contrôle, le manquement relatif à l’absence d’information directement publiée ou accessible sur l’interface de recueil des données à caractère personnel a été caractérisé au regard des dispositions de l’article 12 du Règlement.
III. Sur la sanction et la publicité
95. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :
" Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]
7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".
96. L’article 83 du RGPD prévoit que " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
97. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.
98. En premier lieu, en ce qui concerne le prononcé d’une amende, la formation restreinte considère d’abord que la société a fait preuve de défaillances graves en matière de protection des données à caractère personnel puisque des manquements sont constitués à des principes fondamentaux et élémentaires du RGPD que sont les principes de minimisation des données, de limitation de la durée de conservation des données et d’accessibilité de l’information.
99. La formation restreinte relève ensuite que l’atteinte aux droits des personnes qui résulte du manquement au principe de minimisation des données à caractère personnel est particulièrement importante, au regard de la nature particulière des données de géolocalisation. En effet, la société procède à une collecte quasi permanente de données de géolocalisation des utilisateurs des véhicules qu’elle loue. La collecte quasi permanente de ces données géolocalisation est particulièrement intrusive pour les utilisateurs de véhicules de location. En effet, elle permet de suivre l’ensemble des trajets réalisés par l’utilisateur, d’identifier les lieux où il se rend, pouvant révéler ainsi des informations sur son comportement, ses habitudes de vie, ce qui est susceptible de porter atteinte à sa liberté de circulation et à sa vie privée.
100. La formation restreinte souligne également que les données à caractère personnel traitées par la société concernent environ […] utilisateurs (clients et prospects), répartis sur le territoire de six États membres de l’Union européenne.
101. En ce qui concerne la durée de conservation des données, d’une part, des données de géolocalisation des utilisateurs ont été conservées pendant une période excessive, qui n’était pas liée au terme du contrat de location, sans justification particulière. D’autre part, la société conserve des données à caractère personnel au-delà des durées de conservation qu’elle a définie, en méconnaissance de l’effectivité de sa politique de durée de conservation, ce qui révèle une négligence certaine en la matière.
102. En outre, il est d’autant plus important, dans le contexte de la collecte de données de géolocalisation, que la société fournisse aux personnes concernées une information de manière transparente et accessible, au sens de l’article 12 du RGPD. En effet, les personnes concernées doivent être mises en mesure de comprendre quelles données sont collectées, comment ces données sont utilisées et quels sont leurs droits. La formation restreinte relève à cet égard qu’au regard de l’essor de la collecte de données de géolocalisation, notamment dans le cadre des services de mobilité partagée, les responsables de traitement doivent être particulièrement vigilants et transparents dans le traitement de ces données.
103. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative au regard des manquements aux articles 5.1.c, 5.1.e et 12 du RGPD.
104. En deuxième lieu, s’agissant du montant de l’amende, la formation restreinte rappelle que le paragraphe 3 de l’article 83 du Règlement prévoit qu’en cas de violations multiples, comme c’est le cas en l’espèce, le montant total de l’amende ne peut excéder le montant fixé pour la violation la plus grave. Dans la mesure où il est reproché à la société un manquement aux articles 5.1.c, 5.1.e et 12 du Règlement, le montant maximum de l’amende pouvant être retenu s’élève à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
105. La formation restreinte rappelle que les amendes administratives doivent être effectives, proportionnées et dissuasives. Elle considère en particulier que l’activité de l’organisme et sa situation financière doivent être notamment prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’un chiffre d’affaires en 2020 s’établissant à environ […] euros pour un résultat net […] euros. […] . La formation restreinte rappelle également que la société est une filiale du groupe […]. Ce groupe a réalisé un chiffre d’affaires moyen de […] euros sur les années 2018, 2019 et 2020.
106. Dès lors, au regard des critères pertinents de l’article 83, paragraphe 2, du RGPD évoqués ci-avant, la formation restreinte considère que le prononcé d’une amende administrative de 175 000 euros apparaît proportionné.
107. En troisième lieu, s’agissant de la publicité de la sanction, la formation restreinte considère que, au regard de la pluralité des manquements relevés, de leur gravité et de la nature particulière des données concernées, la publicité de la présente décision se justifie.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
- prononcer à l’encontre de la société X une amende administrative d’un montant de 175 000 (cent soixante-quinze mille) euros au regard des manquements constitués aux articles 5.1.c, 5.1.e et 12 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données.
- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société X à l’expiration d’un délai de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.