Camino equivocado para Cityscoot en materia de protección de datos personales. La CNIL acaba de multar con 125.000 euros a la empresa de autoservicio de alquiler de patinetes eléctricos por incumplimiento del RGPD. En este caso, las críticas se centraron en la política de geolocalización de la empresa.

De hecho, los scooters están equipados con cajas electrónicas que incluyen una tarjeta SIM y un sistema de geolocalización GPS. Estas cajas recopilan datos de posición de los scooters cada 30 segundos cuando están activos. Cuando no están conduciendo, esta recogida se realiza cada 15 minutos. Estos datos alimentan una base de datos específica del scooter que incluye la posición GPS, el estado de la batería, los sensores del sillín, etc.). La empresa de alquiler dispone de otras dos bases de datos sobre reservas y datos de clientes. Si esta separación de bases se considera respetuosa del principio de privacidad desde el diseño, la formación restringida de la CNIL considera que “estos datos pueden ser cruzados con los datos presentes en las otras bases, en particular a través del número de reserva presente en cada una de las bases. bases de datos, al tener acceso amplio y simultáneo a las bases de datos”.

Existen soluciones alternativas menos intrusivas

Pero la CNIL se centra en los datos de posición recopilados cada 30 segundos. De hecho, considera que esta frecuencia es demasiado fina y demasiado intrusiva. En su defensa, Cityscoot destaca la necesidad de esta recogida de datos en diferentes supuestos como sobrefacturación, gestión de accidentes o robos. Argumentos que no han convencido al regulador, que considera que “esta práctica es, de hecho, muy intrusiva en la vida privada de los usuarios, hasta el punto de que puede revelar sus movimientos, sus lugares de frecuentación, todas las paradas realizadas durante un viaje. , lo que equivale a cuestionar su libertad de viajar de forma anónima”. Según la CNIL, existen soluciones alternativas (enviar un SMS, llamar, etc.)

La empresa de alquiler de scooters también se enfrenta a contratos con subcontratistas que no contienen toda la información prevista por el RGPD. Los contratos han sido modificados pero la CNIL considera que se ha violado el artículo 28, apartado 3 del RGPD. Finalmente, el último punto planteado por la formación restringida, el uso de la solución de autenticación ReCaptacha de Google para crear una cuenta o recuperar una contraseña olvidada en el sitio y la aplicación móvil de Cityscoot. Sin embargo, el servicio de Google recopila datos y la empresa de alquiler "no proporciona ninguna información, en particular a través de una ventana de consentimiento, sobre la recopilación de información almacenada en el equipo del usuario, ni sobre los medios para rechazar esta recopilación". Durante el procedimiento, Cityscoot indicó que ya no utilizaría esta técnica de autenticación.

Citiscoot no es el único que ha sido sancionado por la CNIL por su política de geolocalización demasiado fina e intrusiva. julio pasado Este fue también el caso del servicio de coche compartido online Ubeeqo. quien fue multado con 175.000 euros.