Face à des Français de plus en plus préoccupés par la possibilité d’être géolocalisés à leur insu, la Commission Nationale de l’Informatique et des Libertés (CNIL) place cette problématique au centre de ses priorités pour l’année 2020[1].
Déjà en 2018, elle avait axé sa stratégie autour de cette thématique et avait publiquement mis en demeure plusieurs start-up traitant ces données à des fins de ciblage publicitaire[2]. À l’époque, elle avait justifié le caractère public de ces mises en demeure par une double nécessité : d’une part afin de sensibiliser les nouveaux acteurs de ce marché en pleine expansion et, d’autre part, afin de renforcer la vigilance des utilisateurs de smartphones.
Concernant la sensibilisation des entreprises traitant des données de géolocalisation, deux points de vigilance leur permettent de déterminer si elles doivent ou non respecter les normes en vigueur concernant la protection des données personnelles[3]. Tout d’abord, si elles croisent des données de géolocalisation avec des informations identifiantes, cela doit être considéré comme un traitement de données personnelles. Ensuite, si elles-mêmes décident de la finalité du traitement de ces données, elles doivent être considérées comme responsables de ce traitement et donc être en capacité de démontrer que dernier ont bien été opérés conformément à une base légale[4].
Concernant la collecte de données de géolocalisation en partenariat avec des applications mobiles, elle avait fait preuve de pédagogie en explicitant la méthode permettant de recueillir un consentement éclairé des individus[5]. Ainsi, les utilisateurs qui téléchargent ces applications doivent comprendre pour quelles finalités leurs données seront collectées : ils doivent, au moment même du téléchargement de l’application, être informés de ces différentes finalités et de l’identité des responsables de traitements pour chacune d’entre elles. Ensuite, ils doivent avoir la possibilité d’y consentir ou non, de manière spécifique (en ayant par exemple la possibilité de cocher celles qu’il souhaite). En outre, le contenu de cette information doit être rédigé en des termes précis et simples, ne laissant pas croire qu’un refus entraînerait une version payante de l’application ou une impossibilité de l’utiliser. Concernant enfin la durée de conservation des données de géolocalisation, la CNIL avait à l’époque estimé qu’une conservation d’un an était excessive par rapport à la sensibilité de ces données[6] (à titre de comparaison, concernant les données de géolocalisation des véhicules des salariés, elle avait déjà indiqué que celles-ci pouvaient être conservées pendant deux mois[7]).
Dans le cas où une entité aurait un doute sur les bonnes pratiques à mettre en œuvre, elle ne doit pas hésiter à solliciter la CNIL, qui a également pour mission d’accompagner les acteurs du marché afin de leur préconiser la stratégie la plus adaptée et de les aider à la mettre en œuvre.
Anthéa Sérafin, Cheffe de projet de l’éthique des données pour Occitanie Data, associée à l’équipe de recherche Bioethics (UMR 1027 – INSERM – Université Toulouse III)
________________
[1] Pour en savoir plus : https://www.cnil.fr/fr/quelle-strategie-de-controle-pour-2020
[2] CNIL, Décision n°MED-2018-022, 25 juin 2018 ; CNIL, Décision n°MED-2018-023, 25 juin 2018 ; CNIL, Décision n°MED-2018-043, 8 octobre 2018 ; CNIL, Décision n°MED-2018-042, 30 octobre 2018 : ces décisions de mises en demeure visaient des start-up qui, afin de fournir des campagnes de publicité ciblée à de nombreuses enseignes, nouaient des partenariats avec des applications mobiles pour collecter les données de géolocalisation des utilisateurs de smartphones dès lors que ces derniers téléchargeaient l’une de ces applications.
[3] Notamment celles posées par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après LIL) et par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après RGPD).
[4] Article 5 de la LIL et article 6 du RGPD.
[5] CNIL, Décision n°MED-2018-022, 25 juin 2018 ; CNIL, Décision n°MED-2018-023, 25 juin 2018 ; CNIL, Décision n°MED-2018-043, 8 octobre 2018 ; CNIL, Décision n°MED-2018-042, 30 octobre 2018.
[6] Dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, l’utilisation de dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles.
[7] Pour en savoir plus sur les règles applicables à la géolocalisation des véhicules salariés : https://www.cnil.fr/fr/la-geolocalisation-des-vehicules-des-salaries