Par Gérard Haas, Anne Charlotte Andrieux et Margaux Laurent
Le 17 février 2022, la CNIL présentait son plan stratégique 2022-2024. Ce plan comprend plusieurs thématiques prioritaires de contrôle, parmi lesquelles figure la collecte des données personnelles par le biais des applications mobiles.
En effet, face à l’opacité des technologies et à la facilité avec laquelle il est possible de se procurer des données de géolocalisation, la CNIL a pour objectif « de rendre visibles les flux de données ».
Ainsi, le 13 juin, l’autorité administrative a annoncé le lancement d’une étude de 15 mois sur les données de géolocalisation collectées par des applications mobiles.
Les données de géolocalisation particulièrement surveillées par la CNIL
La CNIL a énoncé dans une étude, élaborée en 2013, que « la géolocalisation est la donnée la plus collectée. Elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l'application ou à une action de l'utilisateur. » Ce type de données permettant de suivre les individus lors de leurs déplacements, est susceptible de porter une atteinte forte à la vie privée des utilisateurs.
Les données de géolocalisation : risques pour la vie privée
En effet, selon la Cour de Justice de l’Union Européenne, les données de géolocalisation sont susceptibles de révéler des informations sur de nombreux aspects de la vie privée des personnes, y compris des informations sensibles telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses ou encore l’état de santé. Ainsi, prises dans leur ensemble, ces données permettent de tirer des conclusions très précises concernant les habitudes de vie, les lieux de séjours permanents ou temporaires, les déplacements journaliers, les relations sociales de l’individu. Elles rendent donc possible l’établissement d’un profil de la personne visée (CJUE 6 oct. 2020, La Quadrature du Net, nos C-511/18, C-512/18 et C-520/18).
A titre d’illustration, le New York Times avait mené une enquête en 2019 sur un fichier regroupant plus de 50 milliards de données, provenant d’une société spécialisée dans la collecte d’informations par le biais d’applications mobiles. A partir de ces dernières, les journalistes avaient pu retrouver la localisation de plus de 12 millions de citoyens américains identifiés.
Les données de géolocalisation peuvent être définie comme des données personnelles
Toute donnée de géolocalisation ne peut pas être définie comme une donnée personnelle. Cependant, dès lors que les données de localisation permettent de les relier à une personne physique directement ou indirectement identifiable, elles peuvent répondre à la définition de données personnelles au sens de l’article 4 du RGPD. De même, les données de géolocalisation reliées à un identifiant publicitaire sont considérées comme des données personnelles.
A partir du moment où une donnée de géolocalisation est assimilée à une donnée personnelle, le traitement qui s’y rapporte sera soumis au régime du RGPD avec toutes les conséquences que cela implique. Ainsi, ceux qui exploitent ce type de traitement doivent :
- Respecter la finalité du traitement qui doit être la fois explicite et légitime ;
- Obtenir le consentement de la personne concernée (utilisateur de l’application mobile, internaute…) pour la collecte de ses données de géolocalisation ;
- Fournir aux personnes concernées des informations portant sur la durée de conservation des données, la finalité, les destinataires, les droits qu’ils possèdent (droit de rectification, droit d’opposition, droit d’accès, portabilité…).
Aussi, preuve qu’ils font l’objet d’une surveillance particulière, les traitements de données de géolocalisation, et notamment ceux effectués par les applications mobiles permettant de collecter les données de géolocalisation des utilisateurs figurent dans la liste pour lesquels une analyse d’impact relative à la protection des données est requise.
De même, la CNIL prête attention à ces données et a rappelé la règlementation spécifique applicable aux entreprises ayant recours à des dispositifs collectant des données depuis les terminaux mobiles à des fins de mesure d’audience de panneaux publicitaires ou de fréquentation au sein d’espaces publics. Ce sont des dispositifs utilisés pour élaborer des statistiques agrégées et anonymes à partir de données personnelles telles que l’identifiant d’un téléphone (adresse MAC par exemple).
La CNIL tire la sonnette d’alarme sur l'utilisation des données de géolocalisation par les applications mobiles
Avec cette étude, la CNIL tire une nouvelle fois la sonnette d’alarme face aux pratiques des acteurs observées sur le marché.
La CNIL met en demeure des applications mobiles pour collecte illicite des données de géolocalisation
A titre d’exemple, le 19 juillet 2018, la CNIL avait mis en demeure les sociétés FIDZUP et TEEMO pour avoir collecté et traité des données de géolocalisation issues des smartphones de leurs utilisateurs sans obtenir leur « consentement » au sens du RGPD et de la loi Informatique et Libertés. Les sociétés FIDZUP et TEEMO avaient recouru à des technologies de type « SDK » permettant de collecter des données en masse, même lorsque les applications installées sur des smartphones n’étaient pas en fonctionnement.
Ainsi, dans la lignée de son rapport d’activité de l’année 2021, la CNIL accentue son contrôle à l’égard des acteurs utilisant des données de géolocalisation et notamment des applications de mobilité face à leurs manquements réguliers, ce qui doit les mettre en alerte.
Afin de réaliser son étude, la CNIL a tout d’abord identifié une plateforme mettant en relation des vendeurs et des acheteurs de données, permettant d’obtenir des échantillons gratuits de données auprès de « data brokers » (ou courtiers de données). Ces derniers sont des entreprises spécialisées dans la vente de données personnelles. Elles collectent un grand volume d’informations à partir de différentes sources, notamment les applications mobiles, pour les revendre par la suite, à des fins de ciblage marketing ou d’analyse de marché.
Les recherches de la CNIL sur les données de géolocalisations des applications mobiles
La CNIL va alors procéder comme n’importe quel potentiel client de ces « data brokers », et demander à obtenir la communication d’un échantillon de données correspondant à la France.
Bien que présentées comme anonymisées par le revendeur, l’autorité considère qu’une partie au moins de ces données est authentique, ce qui remet en question la légalité de la pratique. Son étude consistera donc à vérifier si elle est en capacité de réidentifier les personnes correspondant à ces données.
Pour ce faire, elle croisera les données contenues dans le fichier envoyé avec des données publiquement accessibles comme les agendas ouverts des personnalités publiques, les données de participation aux séances parlementaires, les cartes de densité de la France, les données provenant de l’annuaire universel ou encore les sites de manifestations sportives publiques.
Si des personnes sont réidentifiées, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées par l’autorité.
Quelles pourraient être les conséquences de cette étude ?
Par la réalisation de cette étude, la CNIL souhaite sensibiliser tant le public que les professionnels, sur les enjeux liés à la collecte des données de géolocalisation par les applications mobiles. Cela répond à sa mission d’intérêt public dont elle est investie en application du Règlement général sur la protection des données et de la loi Informatique et Libertés. Cela s’inscrit également dans sa mission d’information, telle que définie par l’article 8.I.1 de la loi Informatique et Libertés ainsi que sa mission de suivi de l’évolution des technologies de l’information en vertu de l’article 8.I.4.
Par conséquent, l’étude n’est pas liée à une procédure de contrôle ou de sanction de la CNIL au sens des articles 83 et 84 du RGPD. Cependant, elle s’inscrit dans l’une des thématiques prioritaires de contrôle : la CNIL vérifie la conformité RGPD des professionnels du secteur de la prospection commerciale, en particulier de ceux qui procèdent à la revente de données, y compris des nombreux intermédiaires de cet écosystème.
Le « data broker » ou une application de mobilité utilisant les données de géolocalisation pourrait alors se voir contrôlé par la CNIL en cas de non-respect des dispositions du RGPD. On peut en effet s’attendre à ce qu’à l’issue de cette mission, l’exploitation des données de géolocalisation soit davantage encadrée ainsi qu’à une vague de contrôles et de sanctions. A ce titre, en cas de manquement aux dispositions du RGPD, l’autorité administrative pourra imposer des sanctions pécuniaires pouvant s’élever jusqu’à 4% du chiffre d’affaires annuel mondial de la société concernée.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.