Localiser ses scooters, c’est une chose. Mais les localiser toutes les 30 secondes, c’en est une autre. La Cnil a jugé ce suivi excessif. Cela équivalait à pister quasiment tout le temps sa clientèle.

Difficile mois de mars pour Cityscoot. Le service, qui met en location des scooters électriques dans une application, a perdu le marché niçois face à son concurrent Yego. Et maintenant, l’entreprise vient de se voir infliger une amende de 125 000 euros sanctionnant son atteinte disproportionnée à la vie privée de sa clientèle.

C’est la Commission nationale de l’informatique et des libertés (Cnil) qui s’est trouvée à la manœuvre. En 2020, l’autorité administrative indépendante lançait un programme de contrôles axés sur la géolocalisation pour les services de proximité. Cityscoot entrant dans ce cadre, elle était amenée à se faire scruter par l’instance chargée de contrôler l’usage des données personnelles.

Une localisation du scooter toutes les 30 secondes

C’est là que la Cnil a relevé les excès de Cityscoot en matière de géolocalisation — un dispositif nécessaire pour que l’entreprise sache où se trouve sa flotte, et à quel endroit envoyer sa clientèle pour en récupérer un disponible. Sauf qu’ici, Cityscoot avait poussé le système jusqu’à en abuser : les véhicules étaient géolocalisés toutes les 30 secondes.

« Lors du contrôle, la Cnil a constaté qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes. En outre, la société conservait l’historique de ces trajets », écrit l’autorité. À ce niveau, cela s’apparente à de la géolocalisation quasi-permanente.

Un CityScoot dans la ville // Source : CityScoot
Un CityScoot dans la ville. // Source : CityScoot

« Une telle pratique est très intrusive dans la vie privée des utilisateurs, dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués au cours d’un parcours », dit encore l’instance administrative. Il n’est pourtant pas nécessaire d’avoir un suivi aussi fin pour bien opérer le service.

À ce titre, la Cnil considère qu’il s’agit ici d’un manquement à l’un des principes du Règlement général sur la protection des données (RGPD) : la minimisation des données. Si leur collecte est possible, cela doit en se limitant à ce qui est adéquat, pertinent et raisonnable, selon les buts pour lesquels elles sont collectées et utilisées.

Deux autres écarts ont par ailleurs été relevés. Un manque d’encadrement pour des traitements effectués par un sous-traitant, mais aussi un défaut d’information quant aux conséquences de l’utilisation d’un outil de vérification (un CAPTCHA) fourni par Google. Cet outil transmettait des données techniques (matérielles et logicielles) à Google sans que l’internaute soit informé au préalable.

une comparateur meilleur vpn numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !