Cityscoot sanctionné par la Cnil : l’application nous géolocalisait en permanence

 
Ce 16 mars, la Cnil a prononcé une sanction de 125 000 euros contre Cityscoot. En cause : la géolocalisation quasi permanente de ses utilisateurs. Les scooters de l’application sont géolocalisés toutes les 30 secondes, c’est trop selon la Commission.

On connaît surtout la Cnil pour ses grandes amendes infligées aux « Gamam », mais la Commission ne se limite pas à ses seules entreprises. Ce 28 mars, elle a annoncé avoir sanctionné à hauteur de 125 000 euros la société Cityscoot, qui loue en libre-service des scooters électriques à Paris.

Pour la Cnil, Cityscoot collectait trop de données

Parmi les manquements constatés, il y a celui de l’article 5.1.c du RGPD, relatif à la minimisation des données : en clair, Cityscoot en collectait trop. En réalité, le service géolocalise les scooters afin de pouvoir les suivre (sinistres, vols, infractions au code de la route, réclamations clients), mais aussi tout simplement de les proposer dans l’application.

Dans ses contrôles réalisés dans le cadre d’une action sur la « géolocalisation pour les services de proximité », la Cnil s’est intéressée à cette entreprise de scooters électriques en libre-service. Elle dit avoir « constaté qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes. » De plus, Cityscoot « conservait l’historique de ces trajets. »

cityscoot

Toutefois, la Cnil dit considérer « qu’aucune de ces finalités ne justifie une collecte de données de géolocalisation aussi fine ». Une pratique jugée « très intrusive dans la vie privée des utilisateurs, dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués au cours d’un parcours. » En résumé, la géolocalisation oui, mais pas toutes les 30 secondes.

Cityscoot : d’autres problèmes de gestion des données et de consentement

Deux autres manquements sont inscrits dans la décision rendue publique par la Cnil. Le premier, c’est le manquement « à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat ». La Commission a pu lire les contrats passés entre Cityscoot et ses sous-traitants et a constaté qu’il manquait des « mentions prévues par le RGPD », notamment sur des mesures de sécurité nécessaires.

Deuxième manquement supplémentaire, c’est celui relatif à « l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel ». Dans les faits, Cityscoot demandait aux utilisateurs de remplir un Captcha, mais pas n’importe lequel : reCaptcha, de Google (principalement lors de la création d’un compte ou de la connexion). S’il est légal de transmettre certaines données à Google, ce qui ne l’est pas, c’est de ne fournir aucune information et de ne pas recueillir de consentement au préalable. En réaction à cela, Cityscoot a indiqué « qu’elle cesserait d’avoir recours à ce mécanisme », mentionne le communiqué de la Cnil.

125 000 euros d’amende : une sanction juste ?

Au regard des sanctions de parfois plusieurs millions d’euros, celle de 125 000 euros paraît assez réduite, alors que Cityscoot a manqué au respect du RGPD et de la Loi Informatique et Libertés. En réalité, on peut considérer que cette amende financière est juste et justifiée.

Dans son communiqué, la Cnil précise que « le montant de la sanction tient compte du chiffre d’affaires de la société, de la gravité des manquements constatés, mais également des mesures prises par la société pour y remédier lors de la procédure. » Or, on sait que Cityscoot s’est engagé auprès de la Cnil pour changer certaines de ses pratiques et que les deux derniers manquements ne sont pas les plus graves qui puissent exister.

Aussi, on apprenait en septembre dernier dans La Tribune que « la flotte parisienne a été quasiment réduite de moitié passant de 3 600 véhicules à moins de 2 500. ». Une réduction qui avait permis de reconditionner certains scooters pour les vendre directement aux particuliers. De plus, la société avait pour objectif fin 2022 de devenir enfin rentable et avait nécessité une recapitalisation. Du côté de Nice, c’est bientôt terminé : d’ici la fin du mois, nous ne verrons plus de scooters électriques floqués Cityscoot dans les rues de la ville. La société a perdu l’appel d’offres face à son concurrent Yego.


Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.

Cityscoot

Cityscoot

Cette application n'est plus disponible