Réservez une démo
Se connecter à la console
  • Education

La collecte de la géolocalisation de l'utilisateur nécessite-t-elle le consentement ?

Publié le 17 juillet 2020 par Jawad Stouli

Mis à jour le 16 juin 2022 par Jawad Stouli

La collecte de la géolocalisation est un sujet épineux dans la réglementation sur la protection des données. À l'heure actuelle, le consentement n'est pas nécessairement requis par la loi. La directive ePrivacy, d'une part, exige le consentement pour l'utilisation des données de localisation, mais cette obligation ne s'impose qu'aux services et réseaux publics de communications électroniques (opérateurs de télécommunications). Le Règlement Général sur la Protection des Données, d'autre part, précise que l'utilisation de données à caractère personnel (y compris les données de localisation) peut être fondée sur différents motifs parmi lesquels on peut trouver le consentement mais aussi l'exécution d'un contrat avec la personne ou l'intérêt légitime du destinataire des données.

 

 

Sommaire 

 

 


 

Introduction 

 

Les lignes directrices du groupe de travail "Article 29" (publiées en 2011 mais toujours pertinentes) ont indiqué que parce que les données de localisation des appareils mobiles intelligents révèlent des détails intimes sur la vie privée de leur propriétaire, le principal motif légitime applicable est le consentement préalable en connaissance de cause.

 

Il existe cependant certaines exceptions pour lesquelles un intérêt légitime peut être suffisant, par exemple la localisation des points d'accès WiFi dans le but spécifique d'offrir des services de géolocalisation. Si les données ne sont pas suffisamment précises pour indiquer la position géographique spécifique de l'équipement terminal d'un individu (par exemple lorsque l'adresse IP est utilisée pour déterminer le pays pour les statistiques ou pour sélectionner une langue ou la législation applicable pour un individu donné), il est fort probable que le consentement ne soit pas nécessaire : cette interprétation peut être élaborée sur la base d'une décision de l'autorité française de protection des données qui a mentionné, en ce qui concerne les cookies de mesure d'audience, que le consentement n'est pas nécessaire lorsque l'adresse IP n'est pas plus précise que la ville et qu'elle est immédiatement supprimée une fois l'objectif atteint.

 

 

Désormais, l'adoption du règlement ePrivacy (dont le champ d'application s'étendra bien au-delà des opérateurs de télécommunications pour englober les fournisseurs de services de la société de l'information) changera-t-elle cet état de fait ? La dernière version de la proposition publiée en octobre contient diverses dispositions qui peuvent s'avérer pertinentes et complexifier le régime des données de localisation.

 

Première situation : les fournisseurs de services de communications électroniques

 

Les données de localisation telles que l'adresse IP, le GPS, le Wifi ou le signal GSM appartiennent à la catégorie des "métadonnées" lorsqu'elles sont nécessaires à la fourniture de services de communications électroniques, c'est-à-dire de services englobant un service d'accès à l'internet (par exemple, un fournisseur de services Internet) et/ou un service de communications interpersonnelles (par exemple, WhatsApp) et/ou un service consistant entièrement ou principalement en l'acheminement de signaux (par exemple, une solution de paiement mobile) et/ou l'accès à un réseau de communications électroniques accessible au public (par exemple, la téléphonie). On peut donc avancer qu'une telle qualification est liée au statut de fournisseur de services de communications électroniques de l'entité qui collecte les données. 

 

En vertu de l'article 6 §1 et §2 de ce document, ces métadonnées ne peuvent être utilisées que si cela est nécessaire (i) pour réaliser la transmission de la communication, (ii) pour maintenir ou rétablir la disponibilité, l'intégrité, la confidentialité et la sécurité du réseau ou des services de communications électroniques respectifs, ou pour détecter des défauts et/ou des erreurs techniques dans la transmission des communications électroniques, (iii) pour satisfaire aux exigences obligatoires de qualité de service, (iv) pour la facturation, la détermination des paiements d'interconnexion, la détection ou l'arrêt de l'utilisation frauduleuse ou de l'abonnement à des services de communications électroniques.

 

Si aucune de ces exceptions ne s'applique, le consentement de la personne concernée est requis. En principe, ces métadonnées doivent être effacées ou rendues anonymes lorsqu'elles ne sont plus nécessaires à la fourniture du service demandé par la personne concernée, "sans préjudice" toutefois des points ii) et iii) et du consentement de la personne concernée à l'effet contraire.

 

Découvrir la CMP

 

Deuxième situation : d'autres acteurs collectent des données émises pour une communication

 

Lorsqu'elles ne sont pas nécessaires à la fourniture de services de communications électroniques, les données de localisation peuvent relever du champ d'application de l'article 8, §2, qui concerne les informations émises par un équipement terminal pour lui permettre de se connecter à un autre dispositif et, ou à un équipement de réseau. Ici, la qualification ne concerne pas l'entité qui collecte les données mais découle du contexte d'émission des données. 

 

Il faut souligner que dans la version initiale de la Commission datant de janvier 2017, ces données pouvaient être utilisées à condition qu'une notice d'information claire et bien visible soit affichée. Le groupe de travail "Article 29" a noté que cette disposition donne l'impression que les organisations peuvent collecter des informations émises par des équipements terminaux pour suivre les mouvements physiques des personnes (comme le "WiFi-tracking" ou le "Bluetooth-tracking") sans le consentement de la personne concernée et a recommandé que cette possibilité soit limitée. La dernière version impose désormais que (i) les données soient utilisées dans le seul but d'établir une connexion demandée par l'individu ou (ii) que les risques soient atténués et que l'utilisation de ces données soit limitée à un simple comptage statistique.


En dehors de ce cadre, le consentement de la personne concernée est requis.

 

Troisième situation : données collectées à partir d'un appareil en l'absence de communication

 

Enfin, s'il n'est ni nécessaire aux fins de la fourniture de services de communications électroniques ni émis par le dispositif pour se connecter à un autre équipement, les mêmes données de localisation peuvent toujours être régies par l'article 8 §1 qui concerne toute collecte d'informations à partir des équipements terminaux des utilisateurs finals. Dans ce cas, les données peuvent être utilisées si cela est strictement nécessaire (i) pour effectuer la transmission d'une communication électronique, (ii) pour fournir un service de la société de l'information spécifiquement demandé par le particulier, (iii) pour mesurer la portée d'un service de la société de l'information demandé par le particulier, uniquement par le fournisseur dudit service ou en son nom, (iv) pour les mises à jour de logiciels relatives à la sécurité, la confidentialité, l'intégrité, la disponibilité et l'authenticité, et (v) pour l'exécution de la tâche d'un employé.

 

Encore une fois, si aucune de ces exceptions ne s'applique, le consentement de la personne concernée est requis.

 

Ce qui précède peut être résumé comme suit : le consentement est et restera la règle principale pour la géolocalisation... Sauf dans certaines circonstances qui seront précisées par l'UE et les autorités de protection des données.

 

Pour obtenir correctement un consentement, des informations obligatoires doivent être fournies et une action claire et positive doit être réalisée par la personne concernée. Les lignes directrices du groupe de travail "Article 29" ont toutefois précisé que lorsque des services nécessitent une localisation automatique, demander le service concerné équivaudrait à consentir à être localisé, à condition que les personnes soient informées à l'avance de manière complète sur le traitement de leurs données de localisation. Comme toujours, l'information des personnes est la clé de la conformité.

 

Vous voulez assurer la conformité tout en continuant à optimiser la monétisation ? Organisez une démo avec Didomi

 

Réservez une démo

 

avatar Jawad Stouli

Jawad Stouli

Tech entrepreneur with a passion for data, quality code and automation.

Articles reliés