Ces derniers jours, plusieurs investigations de médias ont mis en lumière un marché opaque où s'échangent des millions d'identifiants publicitaires associés à des données de positionnement. Ces informations sont collectées via des applications mobiles du quotidien, souvent sans que leurs utilisateurs en aient pleinement conscience. Des courtiers en données se chargent ensuite de revendre ces traces, permettant de reconstituer des trajectoires individuelles précises.

La CNIL a réagi en publiant deux larges communications destinées à clarifier les règles applicables. L'autorité administrative indépendante rappelle que le cadre du RGPD impose aux éditeurs d'applications de recueillir un consentement explicite et éclairé avant toute collecte de données de géolocalisation. Les utilisateurs doivent être informés de manière claire et accessible de l'usage qui sera fait de ces informations, ainsi que de leurs droits d'accès, de rectification et d'opposition.

Le marché des données de localisation en question

Les enquêtes récentes ont révélé que des bases de données regroupant des dizaines de millions d'identifiants publicitaires sont commercialisées. Ces données, agrégées à des historiques de géolocalisation, permettent d'identifier des habitudes de déplacement, des lieux fréquentés (domicile, travail, lieux de loisirs) sans nécessiter le nom de la personne. La CNIL souligne que de tels traitements, lorsqu'ils ne respectent pas les principes de minimisation et de finalité limitée, peuvent constituer une violation grave de la vie privée.

Les moyens de reprendre le contrôle

Dans ses publications, l'institution donne des clés aux citoyens pour reprendre la main sur leurs données. Elle détaille notamment la manière de paramétrer ses applications pour limiter la collecte de géolocalisation en arrière-plan, de vérifier les permissions accordées à chaque application et d'exercer son droit d'opposition auprès des éditeurs. La CNIL insiste sur l'importance de vérifier régulièrement les paramètres de confidentialité de son smartphone.

Un rappel des obligations pour les éditeurs

L'autorité administrative rappelle également aux développeurs et aux entreprises exploitant des applications les obligations qui leur incombent. La collecte de données de localisation doit être strictement nécessaire à la fourniture du service demandé par l'utilisateur. À défaut, elle ne peut être effectuée sans un consentement libre, spécifique et univoque. Les éditeurs doivent également mettre en place des mesures techniques et organisationnelles pour garantir la sécurité des données collectées.

Des sanctions possibles

La CNIL rappelle qu'en cas de non-respect des dispositions du RGPD, elle peut prononcer des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise concernée. Ces rappels interviennent alors que les pratiques de certains courtiers en données sont de plus en plus scrutées par les régulateurs européens.

Un enjeu de confiance numérique

Cette mise au point de la CNIL s'inscrit dans un contexte de prise de conscience croissante des enjeux de protection des données personnelles. La géolocalisation, parce qu'elle permet de déduire des informations sensibles (croyances religieuses, orientations politiques, état de santé), est considérée comme une donnée particulièrement sensible par le RGPD. Les citoyens sont invités à se montrer vigilants et à exercer leurs droits pour contrôler l'utilisation de leurs traces numériques.