Le système de la géolocalisation figure parmi les technologies les plus innovantes de ces dernières années. Nous connaissons en effet les multiples usages que permet cette technique dans des domaines aussi variés que le transport, le médical ou encore la sécurité. L’indéniable utilité de cette technique ne fait cependant pas oublier les risques qu’elle fait peser sur la vie privée des personnes.
Nous revenons ici sur une récente décision du Conseil d’État qui s’est prononcé sur la question relative à la détermination du responsable du traitement de données collectées par un logiciel de géolocalisation de véhicules (Conseil d’État 18 décembre 2015 Loc Car Dream). En l’occurrence est concernée ici une société de location de véhicules de luxe qui s’est vue infliger par la CNIL une sanction pécuniaire de 5.000 euros en raison de manquements à ses obligations de déclaration et d’information concernant le dispositif de géolocalisation dont sont équipés ses 36 véhicules de location.
En effet, à la suite d’une plainte déposée par un client qui estimait n’avoir pas été informé de l’existence d’un GPS installé dans le véhicule loué, la CNIL, après avoir mis en demeure la société de se conformer aux exigences de la loi du 6 janvier 1978 en matière de déclaration et d’information concernant le traitement des données mis en œuvre, a procédé à un contrôle dans les locaux de cette société. Les contrôleurs ont pu constater que le dispositif de géolocalisation fonctionnait en permanence, jour et nuit, durant toute la durée de la location et ne comportait aucun système permettant de le désactiver. La CNIL considéra par ailleurs que l’information donnée oralement sur l’existence du dispositif, au moment de la signature du contrat de location, était insuffisante au regard des exigences de l’article 32 de la loi de 1978 relatives à l’information de la personne concernée par le traitement. La CNIL releva en outre que l’ordinateur de la société contenait des dossiers informatiques dans lesquels figuraient des permis de conduire, extraits K-bis et autre documents nominatifs et dont le traitement n’avait fait l’objet d’aucune formalité auprès de la CNIL.
La société contestera la délibération de la CNIL devant le Conseil d’État par une requête en annulation, soutenant qu’elle n’est pas propriétaire des véhicules équipés de la géolocalisation et que par conséquent elle ne peut être regardée comme le responsable du traitement des données collectées par le dispositif en cause. En effet, appartenant à un groupe de sociétés, cette qualité de responsable du traitement pourrait aussi bien revenir à la société holding du groupe ou à une de ses autres filiales qui a conclu le contrat de géolocalisation avec le fournisseur de la prestation. Après avoir rappelé les termes de l’article 3 de la loi de 1978 définissant le responsable du traitement comme la personne qui en détermine les finalités et les moyens, et fidèle à sa méthode du faisceau d’indices, le Conseil d’État conclut à la qualité de responsable de traitement de la société visée en premier lieu. Il confirme ainsi la sanction pécuniaire et la publication de celle-ci sur les sites de la CNIL et de Légifrance.
Nous revenons ici sur une récente décision du Conseil d’État qui s’est prononcé sur la question relative à la détermination du responsable du traitement de données collectées par un logiciel de géolocalisation de véhicules (Conseil d’État 18 décembre 2015 Loc Car Dream). En l’occurrence est concernée ici une société de location de véhicules de luxe qui s’est vue infliger par la CNIL une sanction pécuniaire de 5.000 euros en raison de manquements à ses obligations de déclaration et d’information concernant le dispositif de géolocalisation dont sont équipés ses 36 véhicules de location.
En effet, à la suite d’une plainte déposée par un client qui estimait n’avoir pas été informé de l’existence d’un GPS installé dans le véhicule loué, la CNIL, après avoir mis en demeure la société de se conformer aux exigences de la loi du 6 janvier 1978 en matière de déclaration et d’information concernant le traitement des données mis en œuvre, a procédé à un contrôle dans les locaux de cette société. Les contrôleurs ont pu constater que le dispositif de géolocalisation fonctionnait en permanence, jour et nuit, durant toute la durée de la location et ne comportait aucun système permettant de le désactiver. La CNIL considéra par ailleurs que l’information donnée oralement sur l’existence du dispositif, au moment de la signature du contrat de location, était insuffisante au regard des exigences de l’article 32 de la loi de 1978 relatives à l’information de la personne concernée par le traitement. La CNIL releva en outre que l’ordinateur de la société contenait des dossiers informatiques dans lesquels figuraient des permis de conduire, extraits K-bis et autre documents nominatifs et dont le traitement n’avait fait l’objet d’aucune formalité auprès de la CNIL.
La société contestera la délibération de la CNIL devant le Conseil d’État par une requête en annulation, soutenant qu’elle n’est pas propriétaire des véhicules équipés de la géolocalisation et que par conséquent elle ne peut être regardée comme le responsable du traitement des données collectées par le dispositif en cause. En effet, appartenant à un groupe de sociétés, cette qualité de responsable du traitement pourrait aussi bien revenir à la société holding du groupe ou à une de ses autres filiales qui a conclu le contrat de géolocalisation avec le fournisseur de la prestation. Après avoir rappelé les termes de l’article 3 de la loi de 1978 définissant le responsable du traitement comme la personne qui en détermine les finalités et les moyens, et fidèle à sa méthode du faisceau d’indices, le Conseil d’État conclut à la qualité de responsable de traitement de la société visée en premier lieu. Il confirme ainsi la sanction pécuniaire et la publication de celle-ci sur les sites de la CNIL et de Légifrance.
Risques pour la vie privée
Avant de voir comment le Conseil d’État a pris sa décision, rappelons ce qu’est la géolocalisation de véhicule et quelles obligations pèsent sur le responsable de traitement automatisé de données.
Le système de la géolocalisation permet de localiser un objet ou une personne avec une certaine précision, de l’ordre de 4 à 5 mètres pour le GPS et légèrement au-dessus pour le GSM. Pour le GPS, la technique consiste à équiper le véhicule d’un terminal qui transmettra les informations collectées en temps réel à un serveur accessible directement grâce à une connexion Internet. Ainsi, dès lors que la balise embarquée dans le véhicule se situe en zone pouvant recevoir le signal GPS, le véhicule pourra être localisé à partir d’un ordinateur ou Smartphone et parfois sans installation de logiciel selon certaines solutions proposées par des fournisseurs. Cette technologie, au fur et à mesure de ses nouvelles formes ou applications qui s’étendent désormais à la surveillance des salariés, des enfants, des plaques d’immatriculation ou des assurés, a suscité quelques inquiétudes de la part de la CNIL. Il est reproché au système de la géolocalisation d’être trop intrusif et de ne pas toujours respecter les dispositions de l’article 9 du Code civil se rapportant au droit à la protection de l’intimité de la vie privée.
En matière de géolocalisation de véhicules professionnels, système qui consiste à suivre en temps réel les déplacements de l’employé à partir d’un accès web au sein de l’entreprise, la Cour de cassation veille au caractère proportionnel du recours à la géolocalisation, lequel porte nécessairement atteinte à la vie privée du salarié lorsqu’il n’est pas justifié par les intérêts légitimes de l’employeur (Chambre sociale, 26 novembre 2012 n°00-42401).
La CNIL demeure vigilante face au système de la géolocalisation. Elle a émis à différentes reprises des réserves à propos de l’utilisation qui pouvait être faite de ce système. Son avis du 19 décembre 2013 relatif au projet de loi sur la géolocalisation dans le domaine des enquêtes judiciaires (loi du 28 mars 2014) lui permet ainsi de souligner que la géolocalisation est « particulièrement sensible au regard des libertés individuelles ». La Commission s’est par ailleurs fermement opposée à ce que les sociétés d’assurance géolocalisent les véhicules de leurs assurés, service d’assurance qui existe dans certains pays sous le nom de « pay as you drive». La CNIL a considéré qu’un tel système, même s’il permet de moduler les primes payées par les conducteurs assurés, constitue une atteinte trop manifeste à la liberté d’aller et venir et permet surtout de détenir des informations portant sur des infractions pénales (Délibération 2005-278 du 17 nov. 2005 MAAF Assurance).
Le système de la géolocalisation permet de localiser un objet ou une personne avec une certaine précision, de l’ordre de 4 à 5 mètres pour le GPS et légèrement au-dessus pour le GSM. Pour le GPS, la technique consiste à équiper le véhicule d’un terminal qui transmettra les informations collectées en temps réel à un serveur accessible directement grâce à une connexion Internet. Ainsi, dès lors que la balise embarquée dans le véhicule se situe en zone pouvant recevoir le signal GPS, le véhicule pourra être localisé à partir d’un ordinateur ou Smartphone et parfois sans installation de logiciel selon certaines solutions proposées par des fournisseurs. Cette technologie, au fur et à mesure de ses nouvelles formes ou applications qui s’étendent désormais à la surveillance des salariés, des enfants, des plaques d’immatriculation ou des assurés, a suscité quelques inquiétudes de la part de la CNIL. Il est reproché au système de la géolocalisation d’être trop intrusif et de ne pas toujours respecter les dispositions de l’article 9 du Code civil se rapportant au droit à la protection de l’intimité de la vie privée.
En matière de géolocalisation de véhicules professionnels, système qui consiste à suivre en temps réel les déplacements de l’employé à partir d’un accès web au sein de l’entreprise, la Cour de cassation veille au caractère proportionnel du recours à la géolocalisation, lequel porte nécessairement atteinte à la vie privée du salarié lorsqu’il n’est pas justifié par les intérêts légitimes de l’employeur (Chambre sociale, 26 novembre 2012 n°00-42401).
La CNIL demeure vigilante face au système de la géolocalisation. Elle a émis à différentes reprises des réserves à propos de l’utilisation qui pouvait être faite de ce système. Son avis du 19 décembre 2013 relatif au projet de loi sur la géolocalisation dans le domaine des enquêtes judiciaires (loi du 28 mars 2014) lui permet ainsi de souligner que la géolocalisation est « particulièrement sensible au regard des libertés individuelles ». La Commission s’est par ailleurs fermement opposée à ce que les sociétés d’assurance géolocalisent les véhicules de leurs assurés, service d’assurance qui existe dans certains pays sous le nom de « pay as you drive». La CNIL a considéré qu’un tel système, même s’il permet de moduler les primes payées par les conducteurs assurés, constitue une atteinte trop manifeste à la liberté d’aller et venir et permet surtout de détenir des informations portant sur des infractions pénales (Délibération 2005-278 du 17 nov. 2005 MAAF Assurance).
Des obligations de déclarations
Cependant, le contentieux judiciaire que soulève l’utilisation de cette nouvelle technologie a surtout pour origine le non-respect de certaines dispositions de la loi du 6 janvier 1978. Le responsable du traitement omet parfois soit d’accomplir les formalités de déclaration du traitement de données, soit encore de porter à la connaissance de la personne concernée par ce traitement les différentes informations prévues aux articles 7 et 32 de la loi de 1978. Ainsi, l’article 22 de cette loi pose le principe selon lequel les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL. Ce texte et les articles suivants prévoient toutefois à cette obligation de déclaration quelques exceptions, mais qui restent encadrées. La CNIL a, elle-même, adopté le 16 mars 2006 une norme permettant de simplifier la déclaration des dispositifs de géolocalisation installés dans les véhicules mis à disposition des employés. Cette norme simplifiée de 2006 figure d’ailleurs parmi les éléments sur lesquels le Conseil d’État s’est fondé en l’espèce pour qualifier la société de responsable du traitement mis en œuvre.
En matière de géolocalisation il existe encore une exception importante à l’obligation de déclaration préalable, elle est prévue à l’article 230-32 du code de procédure pénale (issu de la loi du 28 mars 2014 relative à la géolocalisation en matière judiciaire) et prévoit que « la technique de géolocalisation est destinée à la localisation en temps réel sur l’ensemble du territoire français d’une personne à son insu ».
Dans cette situation c’est l’autorité judiciaire qui autorise ou rejette la demande de géolocalisation dans le cadre de l’enquête judiciaire, aucune formalité auprès de la CNIL n’est à accomplir. Cette obligation de déclaration est prévue afin de mieux protéger la vie privée des personnes à raison du traitement automatisé qui est fait de leurs données personnelles. L’article 6 de la loi de 1978 prévoit à cet égard que les données doivent être collectées loyalement et licitement. Il ajoute notamment qu’elles sont collectées pour des finalités déterminées. D’où l’importance de désigner un responsable de traitement de ces données qui le cas échéant répondra des manquements aux dispositions de la loi de 1978.
En matière de géolocalisation il existe encore une exception importante à l’obligation de déclaration préalable, elle est prévue à l’article 230-32 du code de procédure pénale (issu de la loi du 28 mars 2014 relative à la géolocalisation en matière judiciaire) et prévoit que « la technique de géolocalisation est destinée à la localisation en temps réel sur l’ensemble du territoire français d’une personne à son insu ».
Dans cette situation c’est l’autorité judiciaire qui autorise ou rejette la demande de géolocalisation dans le cadre de l’enquête judiciaire, aucune formalité auprès de la CNIL n’est à accomplir. Cette obligation de déclaration est prévue afin de mieux protéger la vie privée des personnes à raison du traitement automatisé qui est fait de leurs données personnelles. L’article 6 de la loi de 1978 prévoit à cet égard que les données doivent être collectées loyalement et licitement. Il ajoute notamment qu’elles sont collectées pour des finalités déterminées. D’où l’importance de désigner un responsable de traitement de ces données qui le cas échéant répondra des manquements aux dispositions de la loi de 1978.
Qui est responsable ?
Imposer un seul responsable pour chaque traitement automatisé de données personnelles permet ainsi d’éviter la dilution des responsabilités. C’est ainsi que l’article 3 de la loi de 1978 prévoit très nettement que le responsable de traitement est celui qui en détermine les finalités et les moyens. En outre, l’article 32 de la loi prévoit que l’identité de ce responsable doit être portée à la connaissance de la personne concernée par le traitement.
Dans le présent arrêt c’est précisément sur l’article 3 de la loi que se fonde le Conseil d’État pour qualifier la société visée de responsable de traitement. L’argument unique que fait valoir la société (ne pas être propriétaire des véhicules) n’a pas résisté à la méthode du faisceau d’indices développée ici. Selon la société en question, le véritable responsable du traitement serait une autre filiale du groupe de sociétés auquel elles appartiennent, car c’est elle qui est propriétaire d’une grande partie des 36 véhicules géolocalisés. La preuve en est selon elle que c’est elle qui a conclu le contrat de géolocalisation avec un prestataire de logiciels extérieur. Or, selon le Conseil d’État, le fait d’avoir passé un contrat de géolocalisation avec un Webmaster ne suffit pas à lui conférer la qualité de responsable de traitement de données personnelles. Plus que l’élément juridique c’est davantage les éléments factuels qu’il convient de prendre en considération pour approcher au plus près la personne qui est à l’origine de la mise en place du système de géolocalisation. Les magistrats vont alors recourir à une analyse factuelle de la situation, faisant remarquer que c’est la société visée qui signe tous les contrats de location de véhicules avec les clients, que seul un employé de cette société dispose du code d’accès à l’ordinateur sur lequel est installé le logiciel permettant la géolocalisation et que c’est elle enfin qui a déclaré en 2008 un engagement de conformité à la norme simplifiée de la CNIL concernant les traitements mis en œuvre pour géolocaliser les véhicules des employés.
C’est par ce faisceau d’indices que le Conseil d’État va considérer la société visée comme étant le responsable du traitement des données personnelles des clients, notamment parce que l’ordinateur donnant accès aux données de géolocalisation était disposé à l’accueil commun aux sociétés du groupe, mais que seule l’épouse du gérant de la société visée y avait accès. Par ailleurs, le Conseil d’État retient à la charge de la société l’élément de l’engagement de conformité à la norme simplifiée concernant la géolocalisation des salariés, alors qu’en l’espèce cette norme est inapplicable puisqu’il s’agit de clients. Cela montre bien le caractère pragmatique de la méthode utilisée par les magistrats. Ils ont en effet considéré comme indifférent le fait que la société ait déclaré de manière erronée un engagement de conformité à cette norme de la CNIL, l’essentiel était dans l’intention, seule la personne physique ou morale se sentant la qualité de responsable pouvait procéder à un tel engagement.
D’une manière générale, avec la présente décision, le Conseil d’État reste fidèle à sa jurisprudence en matière d’appréciation de la qualité de responsable de traitement. Dans une autre décision, les magistrats avaient en effet retenu à l’encontre d’un groupe immobilier la qualité de responsable de traitement dès lors qu’elle déterminait elle-même la nature des données collectées ainsi que les droits d’accès aux données (CE, 12 mars 2014, Sté Foncia groupe 354629).
+ d'infos :
www.acbm-avocats.com
Dans le présent arrêt c’est précisément sur l’article 3 de la loi que se fonde le Conseil d’État pour qualifier la société visée de responsable de traitement. L’argument unique que fait valoir la société (ne pas être propriétaire des véhicules) n’a pas résisté à la méthode du faisceau d’indices développée ici. Selon la société en question, le véritable responsable du traitement serait une autre filiale du groupe de sociétés auquel elles appartiennent, car c’est elle qui est propriétaire d’une grande partie des 36 véhicules géolocalisés. La preuve en est selon elle que c’est elle qui a conclu le contrat de géolocalisation avec un prestataire de logiciels extérieur. Or, selon le Conseil d’État, le fait d’avoir passé un contrat de géolocalisation avec un Webmaster ne suffit pas à lui conférer la qualité de responsable de traitement de données personnelles. Plus que l’élément juridique c’est davantage les éléments factuels qu’il convient de prendre en considération pour approcher au plus près la personne qui est à l’origine de la mise en place du système de géolocalisation. Les magistrats vont alors recourir à une analyse factuelle de la situation, faisant remarquer que c’est la société visée qui signe tous les contrats de location de véhicules avec les clients, que seul un employé de cette société dispose du code d’accès à l’ordinateur sur lequel est installé le logiciel permettant la géolocalisation et que c’est elle enfin qui a déclaré en 2008 un engagement de conformité à la norme simplifiée de la CNIL concernant les traitements mis en œuvre pour géolocaliser les véhicules des employés.
C’est par ce faisceau d’indices que le Conseil d’État va considérer la société visée comme étant le responsable du traitement des données personnelles des clients, notamment parce que l’ordinateur donnant accès aux données de géolocalisation était disposé à l’accueil commun aux sociétés du groupe, mais que seule l’épouse du gérant de la société visée y avait accès. Par ailleurs, le Conseil d’État retient à la charge de la société l’élément de l’engagement de conformité à la norme simplifiée concernant la géolocalisation des salariés, alors qu’en l’espèce cette norme est inapplicable puisqu’il s’agit de clients. Cela montre bien le caractère pragmatique de la méthode utilisée par les magistrats. Ils ont en effet considéré comme indifférent le fait que la société ait déclaré de manière erronée un engagement de conformité à cette norme de la CNIL, l’essentiel était dans l’intention, seule la personne physique ou morale se sentant la qualité de responsable pouvait procéder à un tel engagement.
D’une manière générale, avec la présente décision, le Conseil d’État reste fidèle à sa jurisprudence en matière d’appréciation de la qualité de responsable de traitement. Dans une autre décision, les magistrats avaient en effet retenu à l’encontre d’un groupe immobilier la qualité de responsable de traitement dès lors qu’elle déterminait elle-même la nature des données collectées ainsi que les droits d’accès aux données (CE, 12 mars 2014, Sté Foncia groupe 354629).
+ d'infos :
www.acbm-avocats.com