Le 22 juillet 2014, la formation restreinte de la CNIL a infligé à la SARL Loc Car Dream, société de location de véhicules de luxe, une sanction pécuniaire de 5.000€ qu’elle a décidé de rendre publique, pour avoir manqué aux obligations de  :

–          accomplir les formalités préalables nécessaires à la mise en œuvre d’un traitement localisé des données à caractère personnelle relatif à la géolocalisation de véhicules  de location et à la gestion des clients ;

–          veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées ;

–          informer les personnes de la géolocalisation des véhicules ;

–          assurer la sécurité des données ;

–          de coopérer avec la CNIL, notamment en ne répondant pas aux divers courriers et lettre mise en demeure de mise en conformité du système avec la loi.

La SARL Loc Car Dream, assigne la CNIL devant le Conseil d’Etat, demandant ainsi :

–          l’annulation de la délibération ;

–          mettre à la charge de l’Etat les 5.000€, en application de l’article 761-1 du Code de justice administrative.

Le Conseil d’Etat, dans un arrêt du 18 décembre 2015 rejette l’intégralité des demandes de la SARL Loc Car Dream, confirmant ainsi la sanction de la CNIL et affirmant que :

–          le loueur de véhicules de luxe est le responsable du dispositif de géolocalisation même s’il n’est pas propriétaire de l’ensemble des véhicules ;

–          la personne déterminant les finalités et les moyens du traitement en cause est la personne responsable du traitement selon l’article 3 de la loi Informatique et Libertés ;

–          dans les faits de l’espèce, les données de géolocalisation des véhicules étaient :

  • centralisées chez l’hébergeur
  • accessibles depuis un seul poste de travail, situé à l’accueil commun à l’ensemble des propriétaires du bâtiment ;
  • dont l’épouse du gérant avant le mot de passe.

Ce qu’il faut retenir : la sécurité des données nécessite quelques précautions et notamment :

–          recenser les fichiers et données à caractère personnel et les traitements associés, automatisés ou non, en identifiant les supports sur lesquels reposent ces traitements ;

–          déterminer comment la vie privée des personnes pourrait être affectées par le biais de ces supports ;

–          pour chaque traitement, identifier et classer selon leur gravité les impacts sur la vie privée :

  • la confidentialité ;
  • la disponibilité
  • l’intégrité ;

–          étudier les menaces qui pèsent sur chaque support et les hiérarchiser selon leur probabilité de vraisemblance ;

–          étudier les risques ;

–          mettre en œuvre les mesures de sécurité pour réduire, transférer ou éviter les risques.

 

————————

Par Claudia Weber – ITLAW Avocats 

Nous contacter