Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM
Les faits à l’origine de l’affaire devant le Conseil d’Etat
En l’occurrence est concernée ici une société de location de véhicules de luxe (Sarl Loc Car Dream) qui s’est vue infliger par la CNIL une sanction pécuniaire de 5000 euros en raison de manquements à ses obligations de déclaration et d’information concernant le dispositif de géolocalisation dont sont équipés ses 36 véhicules de location.
A la suite en effet d’une plainte déposée par un client qui estimait n’avoir pas été informé de l’existence d’un GPS installé dans le véhicule loué, la CNIL, après avoir mis en demeure la société de se conformer aux exigences de la loi du 6 janvier 1978 en matière de déclaration et d’information concernant le traitement des données mis en œuvre, a procédé à un contrôle dans les locaux de cette société.
La délégation de contrôle a pu notamment constater que le dispositif de géolocalisation fonctionnait en permanence, jour et nuit, durant toute la durée de la location et ne comportait aucun système permettant de le désactiver. La CNIL considéra par ailleurs que l’information donnée oralement sur l’existence du dispositif, au moment de la signature du contrat de location de véhicule, était insuffisante au regard des exigences de l’article 32 de la loi de 1978 relatives à l’information de la personne concernée par le traitement.
La CNIL releva en outre que l’ordinateur de la société contenait des dossiers informatiques dans lesquels figuraient des permis de conduire, extraits K-bis et autre documents nominatifs et dont le traitement n’avait fait l’objet d’aucune formalité auprès de la CNIL.
La société contestera la délibération de la CNIL devant le Conseil d’Etat par une requête en annulation. Elle soutient dans sa requête qu’elle n’est pas propriétaire de l’ensemble des 36 véhicules équipés de la géolocalisation et que par conséquent elle ne peut être regardée comme le responsable du traitement des données collectées par le dispositif en cause.
Appartenant en effet à un groupe de sociétés, cette qualité de responsable du traitement pourrait aussi bien revenir à la société holding du groupe, ISO CONCEPT ou à l’autre filiale, la société BOUDET, laquelle d’ailleurs a conclu le contrat de géolocalisation avec le fournisseur de la prestation.
La décision du CE.
Après avoir rappelé les termes de l’article 3 de la loi de 1978 définissant le responsable du traitement comme la personne qui en détermine les finalités et les moyens, et fidèle à sa méthode du faisceau d’indices, le Conseil d’Etat conclut à la qualité de responsable de traitement de la société Loc Car Dream. Il confirme ainsi la sanction pécuniaire de 5000 euros ainsi que la publication de celle-ci sur les sites de la CNIL et de Légifrance.
Avant de voir comment le Conseil d’Etat apprécie en l’espèce la qualité de responsable de traitement à l’égard de Loc Car Dream, rappelons ce qu’est la géolocalisation de véhicule et quelles obligations pèsent sur le responsable de traitement automatisé de données.
La technique de la géolocalisation et ses risques pour la vie privée
Le système de la géolocalisation permet de localiser un objet ou une personne avec une certaine précision, de l’ordre de quatre à cinq mètres pour le GPS (Global Position System) et légèrement au-dessus pour le GSM (Global System Mobile).
Pour le GPS, la technique consiste à équiper le véhicule d’un terminal qui transmettra les informations collectées en temps réel à un serveur accessible directement grâce à une connexion Internet. Ainsi, dès lors que la balise embarquée dans le véhicule se situe en zone pouvant recevoir le signal GPS, le véhicule pourra être localisé à partir d’un ordinateur ou smartphone et parfois sans installation de logiciel selon certaines solutions proposées par des fournisseurs.
Cette technologie, au fur et à mesure de ses nouvelles formes ou applications qui s’étendent désormais à la surveillance des salariés, des enfants, des plaques d’immatriculation ou des assurés, a suscité quelques inquiétudes notamment de la part de la CNIL.
Il est reproché au système de la géolocalisation d’être trop intrusif et de ne pas toujours respecter les dispositions de l’article 9 du Code civil se rapportant au droit à la protection de l’intimité de la vie privée.
En matière de géolocalisation de véhicules professionnels, système qui consiste à suivre en temps réel les déplacements de l’employé à partir d’un accès web au sein de l’entreprise, la Cour de cassation veille au caractère proportionnel du recours à la géolocalisation, lequel porte nécessairement atteinte à la vie privée du salarié lorsqu’il n’est pas justifié par les intérêts légitimes de l’employeur (Chambre sociale, 26 novembre 2012 n°00-42401).
La CNIL demeure vigilante face au système de la géolocalisation. Elle a émis à différentes reprises des réserves à propos de l’utilisation qui pouvait être faite de ce système. Son avis du 19 décembre 2013 relatif au projet de loi sur la géolocalisation dans le domaine des enquêtes judiciaires (loi du 28 mars 2014) lui permet ainsi de souligner que la géolocalisation est « particulièrement sensible au regard des libertés individuelles ».
La Commission s’est par ailleurs fermement opposée à ce que les sociétés d’assurance géolocalisent les véhicules de leurs assurés, service d’assurance qui existe dans certains pays sous le nom de pay as you drive. La CNIL a considéré qu’un tel système, même s’il permet de moduler les primes payées par les conducteurs assurés, constitue une atteinte trop manifeste à la liberté d’aller et venir et permet surtout de détenir des informations portant sur des infractions pénales (Délibération 2005-278 du 17 nov. 2005 MAAF Assurance).
Les obligations de déclaration et d’information lors de la mise en œuvre d’un traitement
Cependant, le contentieux judiciaire que soulève l’utilisation de cette nouvelle technologie a surtout pour origine le non-respect de certaines dispositions de la loi du 6 janvier 1978. Le responsable du traitement omet parfois soit d’accomplir les formalités de déclaration du traitement de données, soit encore de porter à la connaissance de la personne concernée par ce traitement les différentes informations prévues aux articles 7 et 32 de la loi de 1978.
Ainsi, l’article 22 de cette loi pose le principe selon lequel les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL. Ce texte et les articles suivants prévoient toutefois à cette obligation de déclaration quelques exceptions mais qui restent encadrées.
La CNIL a, elle-même, adopté le 16 mars 2006 une norme permettant de simplifier la déclaration des dispositifs de géolocalisation installés dans les véhicules mis à disposition des employés. Cette norme simplifiée de 2006 figure d’ailleurs parmi les éléments sur lesquels le Conseil d’Etat s’est fondé en l’espèce pour qualifier la société de responsable du traitement mis en œuvre.
En matière de géolocalisation il existe encore une exception importante à l’obligation de déclaration préalable, elle est prévue à l’article 230-32 du code de procédure pénale (issu de la loi du 28 mars 2014 relative à la géolocalisation en matière judiciaire) et prévoit que « la technique de géolocalisation est destinée à la localisation en temps réel sur l’ensemble du territoire français d’une personne à son insu ».
Dans cette situation c’est l’autorité judiciaire qui autorise ou rejette la demande de géolocalisation dans le cadre de l’enquête judiciaire, aucune formalité auprès de la CNIL n’est à accomplir.
Cette obligation de déclaration est prévue afin de mieux protéger la vie privée des personnes à raison du traitement automatisé qui est fait de leur données personnelles. L’article 6 de la loi de 1978 prévoit à cet égard que les données doivent être collectées loyalement et licitement. Il ajoute notamment qu’elles sont collectées pour des finalités déterminées. D’où l’importance de désigner un responsable de traitement de ces données qui le cas échéant répondra des manquements aux dispositions de la loi de 1978.
L’appréciation de la qualité de responsable de traitement par le Conseil d’Etat
Imposer un seul responsable pour chaque traitement automatisé de données personnelles permet ainsi d’éviter la dilution des responsabilités. C’est ainsi que l’article 3 de la loi de 1978 prévoit très nettement que le responsable de traitement est celui qui en détermine les finalités et les moyens. En outre, l’article 32 de la loi prévoit que l’identité de ce responsable doit être portée à la connaissance de la personne concernée par le traitement.
Dans le présent arrêt c’est précisément sur l’article 3 de la loi que se fonde le Conseil d’Etat pour qualifier la société Loc Car Dream de responsable de traitement. L’argument unique que fait valoir la société, à savoir qu’elle n’est pas propriétaire de l’ensemble des véhicules munis du dispositif de géolocalisation, n’a pas résisté à la méthode du faisceau d’indices développée ici par le Conseil d’Etat.
Selon la société en question, le véritable responsable du traitement serait la société BOUDET, autre filiale du groupe de sociétés auquel elles appartiennent, car c’est cette dernière qui est propriétaire d’une grande partie des 36 véhicules géolocalisés. La preuve en est selon elle que c’est la société BOUDET, qui a conclu le contrat de géolocalisation avec un prestataire de logiciels extérieur.
Or, selon le Conseil d’Etat, le fait d’avoir passé un contrat de géolocalisation avec un Webmaster ne suffit pas à conférer à une personne la qualité de responsable de traitement de données personnelles. Plus que l’élément juridique c’est davantage les éléments factuels qu’il convient de prendre en considération pour approcher au plus près la personne qui est à l’origine de la mise en place du système de géolocalisation.
Les magistrats vont alors recourir à une analyse factuelle de la situation, faisant remarquer que c’est la société Loc Car Dream qui signe tous les contrats de location de véhicules avec les clients, que seul un employé de cette société dispose du code d’accès à l’ordinateur sur lequel est installé le logiciel permettant la géolocalisation et que c’est elle enfin qui a déclaré en 2008 un engagement de conformité à la norme simplifiée de la CNIL concernant les traitements mis en œuvre pour géolocaliser les véhicules des employés.
C’est par ce faisceau d’indices que le Conseil d’Etat va considérer la société Loc Car Dream comme étant le responsable du traitement des données personnelles des clients. Ont ainsi pesé dans sa décision le fait que l’ordinateur donnant accès aux données de géolocalisation était disposé à l’accueil commun aux sociétés du groupe mais que seule l’épouse du gérant de la société Loc Car Dream y avait accès.
Par ailleurs, notons que le Conseil d’Etat retient à la charge de la société l’élément de l’engagement de conformité à la norme simplifiée concernant la géolocalisation des salariés, alors qu’en l’espèce cette norme est inapplicable puisqu’il s’agit de clients. Cela montre bien le caractère pragmatique de la méthode utilisée par les magistrats. Ils ont en effet considéré comme indifférent le fait que la société ait déclaré de manière erronée un engagement de conformité à cette norme de la CNIL, l’essentiel était dans l’intention, seule la personne physique ou morale se sentant la qualité de responsable pouvait procéder à un tel engagement.
D’une manière générale, avec la présente décision, le Conseil d’Etat reste fidèle à sa jurisprudence en matière d’appréciation de la qualité de responsable de traitement. Dans une autre décision, les magistrats avaient en effet retenu à l’encontre de la société Foncia groupe la qualité de responsable de traitement dès lors qu’elle déterminait elle-même la nature des données collectées ainsi que les droits d’accès aux données (CE, 12 mars 2014, Sté Foncia groupe 354629).
Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d'avocats ACBM
En l’occurrence est concernée ici une société de location de véhicules de luxe (Sarl Loc Car Dream) qui s’est vue infliger par la CNIL une sanction pécuniaire de 5000 euros en raison de manquements à ses obligations de déclaration et d’information concernant le dispositif de géolocalisation dont sont équipés ses 36 véhicules de location.
A la suite en effet d’une plainte déposée par un client qui estimait n’avoir pas été informé de l’existence d’un GPS installé dans le véhicule loué, la CNIL, après avoir mis en demeure la société de se conformer aux exigences de la loi du 6 janvier 1978 en matière de déclaration et d’information concernant le traitement des données mis en œuvre, a procédé à un contrôle dans les locaux de cette société.
La délégation de contrôle a pu notamment constater que le dispositif de géolocalisation fonctionnait en permanence, jour et nuit, durant toute la durée de la location et ne comportait aucun système permettant de le désactiver. La CNIL considéra par ailleurs que l’information donnée oralement sur l’existence du dispositif, au moment de la signature du contrat de location de véhicule, était insuffisante au regard des exigences de l’article 32 de la loi de 1978 relatives à l’information de la personne concernée par le traitement.
La CNIL releva en outre que l’ordinateur de la société contenait des dossiers informatiques dans lesquels figuraient des permis de conduire, extraits K-bis et autre documents nominatifs et dont le traitement n’avait fait l’objet d’aucune formalité auprès de la CNIL.
La société contestera la délibération de la CNIL devant le Conseil d’Etat par une requête en annulation. Elle soutient dans sa requête qu’elle n’est pas propriétaire de l’ensemble des 36 véhicules équipés de la géolocalisation et que par conséquent elle ne peut être regardée comme le responsable du traitement des données collectées par le dispositif en cause.
Appartenant en effet à un groupe de sociétés, cette qualité de responsable du traitement pourrait aussi bien revenir à la société holding du groupe, ISO CONCEPT ou à l’autre filiale, la société BOUDET, laquelle d’ailleurs a conclu le contrat de géolocalisation avec le fournisseur de la prestation.
La décision du CE.
Après avoir rappelé les termes de l’article 3 de la loi de 1978 définissant le responsable du traitement comme la personne qui en détermine les finalités et les moyens, et fidèle à sa méthode du faisceau d’indices, le Conseil d’Etat conclut à la qualité de responsable de traitement de la société Loc Car Dream. Il confirme ainsi la sanction pécuniaire de 5000 euros ainsi que la publication de celle-ci sur les sites de la CNIL et de Légifrance.
Avant de voir comment le Conseil d’Etat apprécie en l’espèce la qualité de responsable de traitement à l’égard de Loc Car Dream, rappelons ce qu’est la géolocalisation de véhicule et quelles obligations pèsent sur le responsable de traitement automatisé de données.
La technique de la géolocalisation et ses risques pour la vie privée
Le système de la géolocalisation permet de localiser un objet ou une personne avec une certaine précision, de l’ordre de quatre à cinq mètres pour le GPS (Global Position System) et légèrement au-dessus pour le GSM (Global System Mobile).
Pour le GPS, la technique consiste à équiper le véhicule d’un terminal qui transmettra les informations collectées en temps réel à un serveur accessible directement grâce à une connexion Internet. Ainsi, dès lors que la balise embarquée dans le véhicule se situe en zone pouvant recevoir le signal GPS, le véhicule pourra être localisé à partir d’un ordinateur ou smartphone et parfois sans installation de logiciel selon certaines solutions proposées par des fournisseurs.
Cette technologie, au fur et à mesure de ses nouvelles formes ou applications qui s’étendent désormais à la surveillance des salariés, des enfants, des plaques d’immatriculation ou des assurés, a suscité quelques inquiétudes notamment de la part de la CNIL.
Il est reproché au système de la géolocalisation d’être trop intrusif et de ne pas toujours respecter les dispositions de l’article 9 du Code civil se rapportant au droit à la protection de l’intimité de la vie privée.
En matière de géolocalisation de véhicules professionnels, système qui consiste à suivre en temps réel les déplacements de l’employé à partir d’un accès web au sein de l’entreprise, la Cour de cassation veille au caractère proportionnel du recours à la géolocalisation, lequel porte nécessairement atteinte à la vie privée du salarié lorsqu’il n’est pas justifié par les intérêts légitimes de l’employeur (Chambre sociale, 26 novembre 2012 n°00-42401).
La CNIL demeure vigilante face au système de la géolocalisation. Elle a émis à différentes reprises des réserves à propos de l’utilisation qui pouvait être faite de ce système. Son avis du 19 décembre 2013 relatif au projet de loi sur la géolocalisation dans le domaine des enquêtes judiciaires (loi du 28 mars 2014) lui permet ainsi de souligner que la géolocalisation est « particulièrement sensible au regard des libertés individuelles ».
La Commission s’est par ailleurs fermement opposée à ce que les sociétés d’assurance géolocalisent les véhicules de leurs assurés, service d’assurance qui existe dans certains pays sous le nom de pay as you drive. La CNIL a considéré qu’un tel système, même s’il permet de moduler les primes payées par les conducteurs assurés, constitue une atteinte trop manifeste à la liberté d’aller et venir et permet surtout de détenir des informations portant sur des infractions pénales (Délibération 2005-278 du 17 nov. 2005 MAAF Assurance).
Les obligations de déclaration et d’information lors de la mise en œuvre d’un traitement
Cependant, le contentieux judiciaire que soulève l’utilisation de cette nouvelle technologie a surtout pour origine le non-respect de certaines dispositions de la loi du 6 janvier 1978. Le responsable du traitement omet parfois soit d’accomplir les formalités de déclaration du traitement de données, soit encore de porter à la connaissance de la personne concernée par ce traitement les différentes informations prévues aux articles 7 et 32 de la loi de 1978.
Ainsi, l’article 22 de cette loi pose le principe selon lequel les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL. Ce texte et les articles suivants prévoient toutefois à cette obligation de déclaration quelques exceptions mais qui restent encadrées.
La CNIL a, elle-même, adopté le 16 mars 2006 une norme permettant de simplifier la déclaration des dispositifs de géolocalisation installés dans les véhicules mis à disposition des employés. Cette norme simplifiée de 2006 figure d’ailleurs parmi les éléments sur lesquels le Conseil d’Etat s’est fondé en l’espèce pour qualifier la société de responsable du traitement mis en œuvre.
En matière de géolocalisation il existe encore une exception importante à l’obligation de déclaration préalable, elle est prévue à l’article 230-32 du code de procédure pénale (issu de la loi du 28 mars 2014 relative à la géolocalisation en matière judiciaire) et prévoit que « la technique de géolocalisation est destinée à la localisation en temps réel sur l’ensemble du territoire français d’une personne à son insu ».
Dans cette situation c’est l’autorité judiciaire qui autorise ou rejette la demande de géolocalisation dans le cadre de l’enquête judiciaire, aucune formalité auprès de la CNIL n’est à accomplir.
Cette obligation de déclaration est prévue afin de mieux protéger la vie privée des personnes à raison du traitement automatisé qui est fait de leur données personnelles. L’article 6 de la loi de 1978 prévoit à cet égard que les données doivent être collectées loyalement et licitement. Il ajoute notamment qu’elles sont collectées pour des finalités déterminées. D’où l’importance de désigner un responsable de traitement de ces données qui le cas échéant répondra des manquements aux dispositions de la loi de 1978.
L’appréciation de la qualité de responsable de traitement par le Conseil d’Etat
Imposer un seul responsable pour chaque traitement automatisé de données personnelles permet ainsi d’éviter la dilution des responsabilités. C’est ainsi que l’article 3 de la loi de 1978 prévoit très nettement que le responsable de traitement est celui qui en détermine les finalités et les moyens. En outre, l’article 32 de la loi prévoit que l’identité de ce responsable doit être portée à la connaissance de la personne concernée par le traitement.
Dans le présent arrêt c’est précisément sur l’article 3 de la loi que se fonde le Conseil d’Etat pour qualifier la société Loc Car Dream de responsable de traitement. L’argument unique que fait valoir la société, à savoir qu’elle n’est pas propriétaire de l’ensemble des véhicules munis du dispositif de géolocalisation, n’a pas résisté à la méthode du faisceau d’indices développée ici par le Conseil d’Etat.
Selon la société en question, le véritable responsable du traitement serait la société BOUDET, autre filiale du groupe de sociétés auquel elles appartiennent, car c’est cette dernière qui est propriétaire d’une grande partie des 36 véhicules géolocalisés. La preuve en est selon elle que c’est la société BOUDET, qui a conclu le contrat de géolocalisation avec un prestataire de logiciels extérieur.
Or, selon le Conseil d’Etat, le fait d’avoir passé un contrat de géolocalisation avec un Webmaster ne suffit pas à conférer à une personne la qualité de responsable de traitement de données personnelles. Plus que l’élément juridique c’est davantage les éléments factuels qu’il convient de prendre en considération pour approcher au plus près la personne qui est à l’origine de la mise en place du système de géolocalisation.
Les magistrats vont alors recourir à une analyse factuelle de la situation, faisant remarquer que c’est la société Loc Car Dream qui signe tous les contrats de location de véhicules avec les clients, que seul un employé de cette société dispose du code d’accès à l’ordinateur sur lequel est installé le logiciel permettant la géolocalisation et que c’est elle enfin qui a déclaré en 2008 un engagement de conformité à la norme simplifiée de la CNIL concernant les traitements mis en œuvre pour géolocaliser les véhicules des employés.
C’est par ce faisceau d’indices que le Conseil d’Etat va considérer la société Loc Car Dream comme étant le responsable du traitement des données personnelles des clients. Ont ainsi pesé dans sa décision le fait que l’ordinateur donnant accès aux données de géolocalisation était disposé à l’accueil commun aux sociétés du groupe mais que seule l’épouse du gérant de la société Loc Car Dream y avait accès.
Par ailleurs, notons que le Conseil d’Etat retient à la charge de la société l’élément de l’engagement de conformité à la norme simplifiée concernant la géolocalisation des salariés, alors qu’en l’espèce cette norme est inapplicable puisqu’il s’agit de clients. Cela montre bien le caractère pragmatique de la méthode utilisée par les magistrats. Ils ont en effet considéré comme indifférent le fait que la société ait déclaré de manière erronée un engagement de conformité à cette norme de la CNIL, l’essentiel était dans l’intention, seule la personne physique ou morale se sentant la qualité de responsable pouvait procéder à un tel engagement.
D’une manière générale, avec la présente décision, le Conseil d’Etat reste fidèle à sa jurisprudence en matière d’appréciation de la qualité de responsable de traitement. Dans une autre décision, les magistrats avaient en effet retenu à l’encontre de la société Foncia groupe la qualité de responsable de traitement dès lors qu’elle déterminait elle-même la nature des données collectées ainsi que les droits d’accès aux données (CE, 12 mars 2014, Sté Foncia groupe 354629).
Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d'avocats ACBM
Autres articles
-
IA, simplification et débureaucratisation pour transformer l'État
-
Economie de la donnée et cloud : la France se félicite de l’adoption du Data Act au Conseil de l’Union européenne
-
Intelligence économique : un sursaut est nécessaire !
-
Atol CD et Seenovate remportent le lot “Informatique Décisionnelle” de l’accord cadre “Valorisation des données” du Ministère de l’Intérieur
-
Lancement du Partenariat Mondial pour l’Intelligence Artificielle par quinze membres fondateurs