Géolocalisation : des règles et bonnes pratiques


Droit


17 novembre 2011

Toute collecte d’informations personnelles doit respecter les principes fondamentaux du droit à la vie privée et, notamment, la loi Informatique et Libertés du 6 janvier 1978, modifiée par la loi du 6 août 2004. Un traitement doit notamment porter sur des données collectées de manière loyale et licite. Les informations doivent être recueillies pour des finalités déterminées. Et, ces données collectées être adéquates, pertinentes et non excessives au regard de la finalité mise en œuvre. Elles doivent également être exactes, complètes, voire mises à jour et conservées pendant une durée proportionnelle à la finalité consacrée.

C’est ainsi que la Commission nationale Informatique et Libertés posait, en octobre 2010, la problématique du service Facebook Places. Elle estimait, par exemple, que l’autorisation des personnes devait être systématiquement demandée avant qu’elles ne soient taguées. De même, en application de la loi Informatique et Libertés, l’utilisateur doit avoir été informé de la mise en place d’un système de publicité ciblée et y avoir expressément consenti.

La Cnil alerte également sur les applications de géolocalisation sur mobiles qui entraînent le risque de partager trop d’informations sur soi.

De bonnes pratiques

Ainsi, la Commision préconise régulièrement l’adoption de bonnes pratiques. En matière de géolocalisation sur mobiles, notamment :

- si un identifiant unique est attribué au téléphone, celui-ci doit être aléatoire et conservé 24 heures au maximum ;

- le consentement des personnes est exigé ;

- cet identifiant unique ne doit pas pouvoir être associé à un autre identifiant propre à l’utilisateur ou au téléphone ;

- les personnes doivent être informées de manière transparente des finalités du traitement et de données collectées, ainsi que de leurs droits ;

- l’information doit préciser très clairement les données collectées par téléphone, celles transmises au gestionnaire de base cartographique, anonymes ou non et celles susceptibles d’être transmises à des tiers ;

- l’utilisateur doit pouvoir supprimer les données de localisation qui le concernent, qu’elles soient stockées sur son téléphone, détenues par le gestionnaire de base cartographique ou par toute autre application tierce [1].

Ces recommandations ont aussi été adoptées par le Groupe 29 [2], qui rassemble les Cnil européennes. Dans une communication du 16 mai dernier, il rappelle que le consentement préalable de l’utilisateur est nécessaire, doit être spécifique et ne peut être obtenu, s’agissant de publicité ciblée, par des conditions générales « type ».

Le Groupe 29 souligne également que le service de géolocalisation ne doit pas être mis en service par défaut. Le consentement doit être renouvelé chaque année et les utilisateurs pouvoir facilement mettre en œuvre leur droit d’opposition, sans conséquence négative sur l’utilisation du service. Des démarches spécifiques doivent être mises en place, pour la géolocalisation de salariés ou d’enfants.

Cartographie des points d’accès WiFi

Concernant la cartographie des points d’accès WiFi ou des adresses MAC, l’usage de ces informations ne doit pas faire obstacle au droit, pour l’utilisateur, de s’opposer à cette collecte. Pour le Groupe 29 également, l’information communiquée au sujet des services de géolocalisation, doit être accessible à tout moment, facilement, et la validité du consentement est inextricablement liée à la qualité de l’information sur le service. Il importe de faire respecter cette disposition par les parties tiers, telles que les navigateurs ou les réseaux sociaux. La durée recommandée pour le stockage de l’adresse MAC est de 24 heures.

La Cnil préconise quand à elle que la création de base cartographie de point d’accès WiFi, soit déclarée auprès de ses services, les moyens de traitement (téléphones mobiles ou véhicules sillonnant les villes), étant situés sur le territoire français. Autre mesure avancée, que les possesseurs de point d’accès WiFi soient informés de leurs droits, sur un site dédié par exemple, puissent disposer d’un droit d’opposition à la collecte d’informations relatives à leur point d’accès. La conservation de ces données ne devrait pas dépasser cinq ans. Compte-tenu de difficultés, l’information individuelle préalable des possesseurs des points d’accès WiFi n’est pas exigée, précise toutefois la Cnil.

Dans ce contexte, après avoir analysé les communications d’un iPhone contenant des informations de géolocalisation, la Commission relève que la solution retenue par Apple est différente de celle des autres opérateurs, puisque c’est le téléphone lui-même qui calcule sa propre position à l’aide des informations fournies par la firme. En effet, l’iPhone envoie à Apple des informations sur les points d’accès WiFi qu’il a vu dans les heures ou les jours précédents. Ces points d’accès WiFi sont identifiés par leur adresse MAC, associés à la force du signal mesuré et à la position géographique (GPS du téléphone au moment de la mesure).

Selon les experts de la Cnil, les communications entre un iPhone et Apple ne contiennent pas d’identifiant unique ou autre information permettant d’identifier le téléphone :
« Ce choix technique rend cette collecte, en principe, anonyme et élimine donc le risque de traçage des personnes ». Néanmoins, Apple devrait informer clairement ses utilisateurs sur ce type de traitement, conclut la Cnil [3].

Dans le cadre de ces bonnes pratiques, la Cnil a salué, en juillet dernier, l’aboutissement de ses discussions avec Microsoft qui a déclaré son traitement et prévu d’informer les possesseurs des points d’accès WiFi à partir d’un site Internet dédié : ces derniers disposeront d’un moyen technique leur permettant d’exercer leur droit d’opposition par l’intermédiaire de ce site. De plus, l’identifiant unique du smartphone ne devrait plus être conservé.

Vers une labellisation

La Cnil entend proposer à l’avenir la labellisation de différentes technologies. Elle envisage, aussi, de contrôler et de sanctionner les sociétés qui porteraient atteinte à la vie privée des possesseurs de smartphones. Elle poursuit ses efforts de sensibilisation, notamment, auprès des enseignants et des collégiens.

Enfin, en matière d’injonction judiciaire, les tribunaux ont également la possibilité de demander aux fournisseurs d’accès Internet, de bloquer une URL, comme en témoigne la récente affaire judiciaire relative au site ’copwatch ’ qui mettait en cause, à la fois les propos injurieux et diffamatoires et des violations aux dispositions de la loi de 1978 [4].


Blandine POIDEVIN, avocat aux barreaux de Lille et (...)