Qu’ils soient à l’initiative d’entreprises privées comme Tesla ou de syndicats intercommunaux d’énergie, les systèmes de recharges de véhicules électriques se multiplient (IRVE). L’étude de ces dispositifs par Empreinte Digitale au regard du RGPD (règlement européen de protection des données) est l’occasion de se pencher sur la réglementation qui s’applique aux données de géolocalisation.

Deux types de données de géolocalisation peuvent en effet être utilisées dans le cadre de l’utilisation des IRVE :

• Les données concernant la charge (localisation et horodatage de la charge par exemple)
• La géolocalisation via une application mobile

Leur comparaison est intéressante : à nature différente, régime différent.

L’identification à partir de données de localisation

Principe

Une information est considérée par le RGPD comme personnelle dès lors qu’elle se rapporte à une personne identifiée ou identifiable. Une identification indirecte peut se faire soit au moyen d’une donnée unique (par exemple un numéro client ou un numéro de sécurité sociale) soit par combinaison d’information. L’identification obtenue par combinaison d’information est souvent plus difficile à repérer pour un professionnel, ce qui est pourtant capital pour s’assurer de respecter la réglementation sur les données personnelles.

Plusieurs études réalisées entre 2000 et 2019 aux États-Unis, Royaume-Uni et Belgique ont par exemple démontré qu’à partir de sa date de naissance, son sexe et son département de résidence, une personne a entre 63 % et 87% de chances d’être réidentifiée avec exactitude (Voir l’étude de chercheurs de l’Université de Louvain et de l’Imperial College of London en 2019).

C’est exactement la même chose pour les données de localisation. Avec 1 seul emplacement, il est impossible de réidentifier une personne avec certitude. Mais plus nous avons de données de localisation, plus nous avons de chance de pouvoir la réidentifier… Dans une étude publiée le 14 juin 2023, la CNIL a vérifié s’il était possible de réidentifier des personnes à partir :

• d’un échantillon de données de localisation « anonymes » collectées sur des smartphones, acquis auprès d’un data-brocker,
• de données disponibles publiquement (réseaux sociaux, agendas ouverts, annuaire universel, manifestations sportives publiques…).

Sur 20 personnes, il aura fallu une journée pour en identifier 7. « Ces personnes réidentifiées, il nous était possible de savoir, heure par heure, ce qu’elles avaient fait durant cette semaine du 8 au 15 octobre 2021. Où elles avaient dormi, quand elles avaient fait leurs courses, quelles routes elles avaient prises pour aller au travail, quand elles avaient déposé leurs enfants à l’école, etc. »

Illustration sur les bornes de recharges

Certains service de recharges de véhicules électriques proposent des services via application mobile sans qu’il ne soit nécessaire de se créer un compte ou d’être abonné. C’est le cas par exemple de l’application Ouest Charge qui dispose d’un « accès invité ».

En l’absence d’authentification, la personne pourrait-elle être identifiée indirectement ? L’utilisateur peut autoriser l’appli à accéder à la position de l’appareil afin d’identifier les bornes de recharges à proximité. Les données de localisation collectées par l’application pourraient permettre de réidentifier l’utilisateur comme nous venons de le voir : il s’agit donc bien de données personnelles.

Imaginons maintenant que la personne ait choisi un « accès invité » et refusé l’accès de l’application à sa localisation. Nous pouvons alors envisager un deuxième type de données de localisation : les données liées à la charge de son véhicule. Si l’application enregistrait des informations de charges pour les utilisateurs non-connectés, s’agirait-il de données personnelles ?

Ici, les données de localisation sont bien moins précises : seront collectés l’emplacement des IRVE utilisés, et non le domicile de la personne. De manière générale, ces données ne permettront pas à elles seules d’identifier la personne concernée : on ne parle pas de données personnelles et le RGPD ne s’appliquera pas.

Notons que si la personne était identifiée par un autre biais (cookies/traceurs, connexion à son espace personnel), les informations de charges deviendraient des données personnelles.

La sensibilité des données de localisation

Si les données de localisation ne sont pas à proprement parler des « catégories particulières de données », au sens de l’article 9 du RGPD, elles revêtent bien-sûr une sensibilité particulière. Selon le CEPD, dans ses lignes directrices sur les analyses d’impact, elles sont d’ailleurs « considérées comme sensibles (au sens commun du terme) », dans la mesure où elles pourraient notamment avoir des impacts sur la liberté de circulation des personnes.

D’autres raisons sont évoquées par les autorités en matière de protection des données :

• La CNIL, dans sa décision « CITYSCOOT » explique que la géolocalisation est en soi « très intrusive dans la vie privée des utilisateurs, dans la mesure où elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ». Elles permettent aisément d’identifier leur lieu de domicile et de travail, ainsi que leurs centres d’intérêts notamment.
• Le CEPD, dans ses lignes directrices (01/2020) sur les véhicules connectés et les applications liées à la mobilité ajoute que ces données « peuvent éventuellement révéler des informations sensibles comme la religion, par l’intermédiaire du lieu de culte, ou l’orientation sexuelle, par l’intermédiaire des lieux fréquentés ». Nous pouvons ajouter l’état de santé de la personne par l’intermédiaire des établissement de soins fréquentés. Rappelons que la collecte de ces données est par principe interdite par le RGPD.

En cas d’accès illégitime aux données de localisation, par des personnes mal intentionnées, nous pouvons malheureusement ajouter des risques de cambriolage du domicile, voire d’agression… Autant de risques que doivent prendre en considération les professionnels et qui doivent les inviter à la prudence dans la collecte de données de géolocalisation !

Les points d’attention

Minimisation

En raison des nombreux risques, le principe de minimisation des données doit être appliqué avec une attention spéciale pour les données de localisation : concrètement, s’il est possible d’offrir le même service sans utiliser la géolocalisation, il faut s’en passer. C’est l’une des principales raisons sur lesquelles s’est fondé la CNIL pour sanctionner les sociétés UBEEQO INTERNATIONAL en 2022 et CITYSCOOT en 2023.
Dans le cas des applis mobiles liées aux IRVE, cela signifie en premier lieu que la géolocalisation ne doit pas être obligatoire, puisqu’elle n’est pas nécessaire pour qu’une personne identifie les bornes de recharges.
La géolocalisation pourra être proposée afin de simplifier cette identification, notamment en itinérance, mais en option.

En second lieu, le principe de minimisation implique que l’application doit collecter le minimum de données de localisation possibles, uniquement ce qui est nécessaire pour le service :

• Il n’est pas nécessaire de géolocaliser l’utilisateur en continu, mais uniquement lorsqu’il utilise une fonctionnalité qui nécessite de connaitre sa localisation (contrairement à CITYSCOOT qui géolocalisait ses clients de manière « quasi permanente »),
• Il n’est pas nécessaire de conserver un historique de ses localisations (CEPD),
• L’utilisateur doit avoir la possibilité de désactiver la géolocalisation à tout moment.

Information et consentement

Dans ses différentes décisions, la CNIL insiste particulièrement sur l’information à donner à l’utilisateur en cas de géolocalisation. Les informations qui doivent systématiquement être données aux personnes concernées, bien sûr, mais avec une attention sur les finalités de ces données « par exemple, existe-t-il une conservation de l’historique des localisations? Dans l’affirmative, quel en est l’objectif? » (CEPD). L’utilisateur devrait d’ailleurs être alerté dès que la localisation est activée, par exemple par le biais d’une icône apparentée à la localisation. Si la base légale est le consentement, veillez à donner un consentement libre, éclairé, explicite et univoque.

Destinataires

Comme pour tout traitement de données, la liste des destinataires doit être limitée.
Il s’agit déjà de limiter les accès en interne, que ce soit pour les données de géolocalisation ou les autres données personnelles. Limiter les accès en interne permettra d’éviter les risques d’utilisation détournée, ce qui a pu être le cas dans l’entreprise TESLA, où des salariés utilisaient des images de clients à leur insu, filmés par leurs voitures.
Il s’agit également de restreindre et d’encadrer les destinataires externes. Les relations de sous-traitance et de responsabilité conjointe sont possibles si elles sont encadrées, on pensera notamment à la délégation entre syndicat intercommunal d’énergie et société gestionnaires d’IRVE. A l’inverse, les données de localisation ne devront évidemment pas être transmises à des tiers pour des finalités de ciblage publicitaire par exemple (voir à ce propos l’infographie de la CNIL « Antoine et son smartphone »).

Conclusion

La CNIL annonçait la conformité des applications mobiles comme une thématique prioritaire de contrôle pour 2023, dans le cadre d’un plan d’action sur les applis mobiles présenté en novembre 2022. Avec les résultats de l’étude du LINC, la CNIL avance sur le sujet de la géolocalisation par les applis. Professionnels : n’attendez pas pour vérifier et adapter vos applications !

Si vous souhaitez plus d’informations sur Empreinte Digitale et nos prestations d’accompagnement RGPD, vous pouvez visiter notre site dédié.