Vu la procédure suivante :
Par une requête sommaire, deux mémoires complémentaires, et un mémoire en réplique, enregistrés les 7 septembre et 8 décembre 2022, et les 16 janvier et 22 septembre 2023 au secrétariat du contentieux du Conseil d'Etat, la société Ubeeqo International demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2022-015 du 7 juillet 2022 de la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) prononçant à son encontre une amende administrative d'un montant de 175 000 euros ;
2°) de mettre à la charge de la CNIL la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Bruno Delsol, conseiller d'Etat,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Foussard, Froger, avocat de la société Ubeeqo International ;
Considérant ce qui suit :
1. Il résulte de l'instruction que les services de la Commission nationale de l'informatique et des libertés, (CNIL) ont procédé, le 26 mai 2020, à un contrôle de la conformité aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD) et de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, des traitements de données à caractère personnel accessibles depuis le site internet " ubeeqo.com " et l'application " Ubeeqo " ou portant sur des données à caractère personnel collectées à partir de ces derniers par la société Ubeeqo International. Cette dernière demande l'annulation de la délibération du 7 juillet 2022 par laquelle la formation restreinte de la CNIL, d'une part, a prononcé à son encontre une amende administrative d'un montant de 175 000 euros à raison de plusieurs manquements au RGPD, et notamment, au principe dit de minimisation des données et aux règles relatives à leur conservation, et, d'autre part, a décidé de rendre publique sa délibération.
2. D'une part, l'article 5 du RGPD dispose que " Les données à caractère personnel doivent être : (...) / c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ; (...) / e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (...) (limitation de la conservation) ; (...) ".
3. D'autre part, aux termes de l'article 56 du RGPD : " Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève (...) ". Aux termes du III de l'article 20 de la loi du 6 janvier 1978: " III.- Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut (...) saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : / (...) 7° (...) une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 (...) ". Aux termes de l'article 83 du RGPD : " 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. (...) / 5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu: / a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9; / b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22. "
Sur la régularité de la procédure de sanction :
4. Il résulte de l'instruction et notamment du compte-rendu de la formation restreinte de la CNIL du 27 janvier 2022 que, contrairement à ce que soutient la société requérante, la rapporteure n'a pas abandonné les poursuites engagées à raison de la méconnaissance des dispositions du c) du 1. de l'article 5 du RGPD. Il s'ensuit que les moyens d'irrégularité de la procédure qui sont tous fondés sur l'abandon du manquement portant sur le principe de minimisation des données ne peuvent qu'être écartés.
Sur le manquement au principe de minimisation des données :
5. Il résulte de l'instruction qu'à la date des contrôles menés par les services de la CNIL sur l'offre de location de véhicules automobiles en autopartage qu'elle propose à ses clients particuliers, comportant un service entièrement dématérialisé avec des véhicules en libre accès sans intervention du personnel de la société ni lors de la prise du véhicule, ni lors de sa restitution, la société Ubeeqo collectait, pour sa plateforme Inovia, déployée en France, en Italie, et partiellement en Belgique, les données de géolocalisation de ses véhicules tous les 500 mètres, ainsi que lorsque le moteur s'allume ou se coupe et lorsque les portières s'ouvrent ou se ferment. Ses équipes pouvaient en outre obtenir la localisation des véhicules en temps réel. Enfin, la société conservait l'historique de l'ensemble des données de localisation pour chaque contrat de location.
6. En premier lieu, il résulte de l'instruction que, d'une part, contrairement à ce que soutient la société requérante, la CNIL a bien apprécié le respect du principe de minimisation des données au regard du fonctionnement d'ensemble du traitement, la circonstance que ses caractéristiques aient évolué postérieurement aux contrôles diligentés par les services de la CNIL étant sans incidence sur la caractérisation de l'existence des manquements à la date de ces contrôles. D'autre part, si le respect du principe de minimisation des données nécessite de porter une appréciation sur le caractère adapté, pertinent et limité des données à caractère personnel au regard des finalités poursuivies par le traitement, les dispositions citées au point 2 ne font pas obstacle à ce que la CNIL prenne aussi en compte, le cas échéant, la nature des données conservées. Il s'ensuit que la CNIL n'a pas commis d'erreur de droit en appréciant le respect du principe de minimisation des données au regard de leur nature, à la date de ses contrôles.
7. En second lieu, il résulte de l'instruction que la CNIL, dès lorsqu'elle ne s'est pas opposée au principe même de la géolocalisation des véhicules loués dans le cadre de l'activité d'autopartage proposée par la société requérante, doit être regardée comme ayant estimé que seule la conservation de l'intégralité des données de géolocalisation de chaque véhicule tous les 500 mètres pour chaque contrat de location, et non leur collecte, n'était pas justifiée au regard des trois finalités poursuivies tenant à la gestion de la flotte de véhicules et du service, notamment pour limiter le temps écoulé entre chaque location et assurer la flexibilité du service, à la prévention et à la lutte contre le vol et à l'assistance à l'utilisateur en cas d'accident. La société requérante n'apporte pas d'élément remettant en cause cette appréciation. Par suite, la formation restreinte de la CNIL a pu légalement estimer que la conservation de la totalité des données de géolocalisation des véhicules tous les 500 mètres n'était pas nécessaire au regard des finalités poursuivies et retenir l'existence d'un manquement aux dispositions du c) du 1. de l'article 5 du RGPD.
Sur le manquement relatif à la durée de conservation des données :
8. Il résulte de l'instruction et notamment de la politique de conservation des données de la société Ubeeqo que, par principe, les données à caractère personnel relatives aux utilisateurs non professionnels sont conservées pour une durée de trois ans à partir de la fin de la relation commerciale, sauf si ce dernier demande l'effacement anticipé de ses données. Il en va ainsi des données de géolocalisation des véhicules, dont il n'est pas sérieusement contesté qu'elles sont rattachées aux données de l'utilisateur. Les éléments produits par la société requérante ne permettent pas de remettre en cause ces constatations opérées par les services de la CNIL au cours de leurs contrôles. Il s'ensuit que la formation restreinte de la CNIL a pu légalement estimer que la société Ubeeqo conservait les données de géolocalisation pour une durée excessive au regard des finalités poursuivies et retenir l'existence d'un manquement aux dispositions du e) du 1. de l'article 5 du RGPD.
Sur le caractère proportionné de la sanction et des mesures de publicité prononcées :
9. En premier lieu, il résulte de l'instruction que, pour fixer le montant de la sanction infligée à la société requérante, la formation restreinte de la CNIL a tenu compte, d'une part, de la nature des manquements retenus ainsi que du nombre d'utilisateurs concernés, soit 250 000 personnes sur le territoire de six Etats membres de l'Union européenne et, d'autre part, de la nature de l'activité de la société, de sa situation financière, de son chiffre d'affaires annuel, de 5,1 millions d'euros en 2020, et de ce qu'elle est une filiale du groupe Europcar Mobility Group, dont le chiffre d'affaires moyen est de 2,57 milliards d'euros pour les années 2018 à 2020. En infligeant une sanction d'un montant de 175 000 euros, la formation restreinte de la CNIL, qui a également tenu compte du fait que la société requérante avait modifié son traitement postérieurement aux opérations de contrôle en ne conservant désormais que la dernière position connue des véhicules, a retenu un montant de sanction qui n'excède pas le plafond fixé par l'article 20 de la loi du 6 janvier 1978 et qui ne présente pas, eu regard de l'ensemble des circonstances de l'espèce, un caractère disproportionné.
10. En second lieu, compte tenu de la gravité des manquements en cause et du grand nombre d'utilisateurs concernés, la formation restreinte de la CNIL a pu légalement décider de rendre publique sa délibération et de ne procéder à son anonymisation qu'à l'issue d'un délai de deux ans.
11. Il résulte de tout ce qui précède que la société Ubeeqo International n'est pas fondée à demander l'annulation de la délibération qu'elle attaque. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à ce titre à la charge de la CNIL qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
--------------
Article 1er : La requête de la société Ubeeqo International est rejetée.
Article 2 : La présente décision sera notifiée à la société Ubeeqo International et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 15 novembre 2023 où siégeaient : M. Christophe Chantepy, président de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; Mme Nathalie Escaut, M. Nicolas Polge, M. Vincent Daumas, M. Alexandre Lallet, M. Didier Ribes, conseillers d'Etat et M. Bruno Delsol, conseiller d'Etat-rapporteur.
Rendu le 6 décembre 2023.
Le président :
Signé : M. Christophe Chantepy
Le rapporteur :
Signé : M. Bruno Delsol
La secrétaire :
Signé : Mme Chloé-Claudia Sediang
