Dans un arrêt rendu le 18 décembre 2015, le Conseil d’Etat a approuvé la Commission nationale de l’informatique et des libertés (CNIL) d’avoir considéré qu’un loueur de véhicules équipés d’un dispositif de géolocalisation de ses clients répondait à la qualification de responsable du traitement de données à caractère personnel (CE, 18 décembre 2015, n°384794).

En l’espèce, la société Loc Car Dream proposait à la location des véhicules sans chauffeur appartenant à des sociétés tierces, et munis d’un dispositif de géolocalisation enregistrant, 24h/24 et 7 jours/7, diverses données de ses clients, notamment de temps et de lieu, sans les en informer au préalable.

Saisie d’une plainte émanant d’un client de la société de location, la CNIL, après plusieurs courriers et une mise en demeure restés sans réponse, a infligé à cette dernière une sanction pécuniaire de 5 000 euros assortie d’une peine complémentaire de publication, pour divers manquements à ses obligations issues de la loi n°78-17 du 6 janvier 1978 relative à l’information, aux fichiers et aux libertés dite « informatique et libertés », résultant notamment du caractère excessif des données collectées.

La société de location a alors formé une requête devant le Conseil d’Etat aux fins d’obtenir l’annulation de cette décision. Elle soutenait qu’elle ne pouvait être regardée comme responsable du traitement contesté au motif qu’elle n’était pas propriétaire de l’ensemble des véhicules équipés du dispositif de géolocalisation.

Le Conseil d’Etat rejette cet argument et considère que la société de location « doit être regardée comme déterminant les finalités et moyens du traitement litigieux » au sens de l’article 3 de la loi « informatique et libertés » puisque le contrat de location à l’origine de la plainte reçue par la CNIL était signé par la société de location et les données de géolocalisation étaient accessibles sur un seul poste de travail, situé à l’accueil commun à l’ensemble des sociétés propriétaires des véhicules, au moyen d’un mot de passe détenu par l’épouse du gérant de la société de location.

Le Conseil d’Etat relève également que la société de location avait déclaré à la CNIL un engagement de conformité à la norme simplifiée concernant la géolocalisation de véhicules utilisés par des salariés. Or, ces dispositions n’étaient pas applicables en l’espèce car les véhicules étaient loués sans chauffeur aux clients. La CNIL avait rappelé, à cet égard, dans sa décision, qu’il incombe au responsable de traitement de s’assurer, avant tout engagement de conformité à une norme simplifiée, que sa situation lui permet d’en revendiquer le bénéfice.

Cette affaire semble s’inscrire dans une tendance, observée ces dernières années, à l’augmentation de l’activité répressive de la CNIL. Les entreprises sont une nouvelle fois invitées à ne pas rester indifférentes, sciemment ou par négligence, aux recommandations du régulateur au risque de voir une procédure de sanction engagée à leur encontre, y compris lorsqu’il s’agit de PME.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.