IoTrust - Tomtom Curfer

Tomtom Curfer

TomTom a mis en place une politique de confidentialité disponible sur son site, informant les personnes concernées des finalités du traitement et des bases légales. Les utilisateurs sont informés de leur droit d’accès et de rectification mais les modalités d’exercice de ceux-ci ne semblent pas précisées. Par ailleurs, pour la création des comptes utilisateurs, TomTom a mis en place une politique de complexité de mot de passe faible, en demandant cinq caractères minimum, sans aucune autre exigence particulière. Enfin, les communications entre l’application et les serveurs distants sont protégées en étant chiffrées.

Au regard de ces éléments, un effort doit notamment être fourni en ce qui concerne les modalités d’exercice des droits des personnes.

Le fonctionnement de l'objet connecté répond aux principales obligations réglementaires en matière de protection des données personnelles

d
a
b
c

Résultats techniques

L'emballage de l'objet donne des indications sur les données envoyées, la technologie utilisée et l’application mobile. Le site web et l’application mobile mettent à disposition une politique de confidentialité permettant d’informer l’utilisateur de l’utilisation qui est faite des données personnelles collectées.

La création d’un compte sur l'application mobile est nécessaire pour utiliser l'objet. Néanmoins, la politique de mots de passe est faible : cinq caractères minimum et l’utilisation d’un seul type de caractère est possible. Par ailleurs, l’application demande peu de permissions, et certaines ne sont pas utiles.

Les communications entre l'application et les serveurs distants sont chiffrées.

Résultats juridiques

TomTom CURFER semble traiter les données à caractère personnel des utilisateurs de manière pertinente en respectant les principes de minimisation et de proportionnalité. La communication des données à des destinataires dont certains situés hors Union Européenne est possible, sans que l’information dispensée par TomTom à ce sujet semble complète.

Ainsi, l’information fournie au moment de la collecte des données n’est globalement pas conforme aux exigences du RGPD. Les utilisateurs ne sont pas informés des durées précises de conservation des données, ni même de l’identité du Responsable de traitement et de l’éventuel délégué à la protection des données, ou encore des destinataires des données.