Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

« Je sais où tu es ! » ... ou les secrets de la géolocalisation

février 2011 par Emmanuelle Lamandé

La géolocalisation est aujourd’hui un phénomène inéluctable, qui touche progressivement tous les pans de nos activités, privées comme professionnelles. Toutefois, les données de localisation sont avant tout des données à caractère personnel, avec toutes les précautions que cela impose. Obligation d’information de la personne, recueil et maintien de son consentement, …, autant de points de vigilance que le CIL doit prendre en compte sur ce sujet. A l’occasion de l’Université de l’Association Française des Correspondants à la protection des Données à caractère Personnel, le groupe de travail « Localisation & Libertés » de l’AFCDP dresse un premier bilan de ses réflexions.

La géolocalisation permet de localiser une personne en un lieu donné, ce qui pose bien évidemment de nombreuses questions sur le respect des libertés individuelles et du traitement des données à caractère personnel (DCP). Avant de mettre en œuvre un tel système, il faut donc bien identifier les problématiques que le traitement peut soulever, telles que le respect de la vie privée, la liberté d’aller et venir, ou encore le fait qu’une donnée de localisation est une donnée à caractère personnel.

Tous les pans de l’activité humaine sont aujourd’hui concernés par ce phénomène. Henri Leben et Laurent Cellier, groupe de travail « Localisation & Libertés » de l’AFCDP, se sont attachés à trois cas de figure distincts.

 La géolocalisation est couramment utilisée dans le domaine du transport et de la logistique. L’objectif, dans ce cas précis, est généralement de localiser un salarié via un dispositif embarqué à bord d’un véhicule. Dans ce schéma, on distingue trois types d’acteurs : l’entreprise, le salarié et le prestataire de géolocalisation. Ce dernier est un sous-traitant. Il traite donc les DCP pour le compte du Responsable du Traitement (RT).

Le traitement ne peut pas avoir pour finalité le renforcement du lien de subordination

La géolocalisation des salariés est autorisée, mais ne doit pas se faire n’importe comment. Il n’existe pas à l’heure actuelle de réglementation spécifique en la matière, toutefois on observe un certain nombre d’avis sur le sujet. Une entreprise peut, par exemple, se référer à la fiche pratique de la CNIL sur l’application de la géolocalisation [1].

Avant la mise en place du système, il faut au préalable consulter les instances représentatives du personnel, informer les salariés, ou encore prévoir la possibilité de désactiver le dispositif hors du temps de travail, c’est-à-dire installer un mode vie privée sur les véhicules. De plus, la finalité du traitement doit être justifiée. Le traitement ne peut pas avoir pour finalité le renforcement du lien de subordination. En outre, la durée de conservation dépend de la finalité ; soit dans ce contexte une durée de 2 mois [2].

 Deuxième cas de figure : la localisation d’une personne dépendante, le plus souvent en raison de problèmes de santé. Nous sommes dans le cas d’un service d’assistance aux personnes dépendantes, qui se matérialise par un GPS portatif avec alarme et sortie de zone. Dans la boucle, on distingue la personne dépendante, celle ayant contracté le système de géolocalisation si différente (dans ce cas de figure il s’agit le plus souvent d’un proche de la personne), le prestataire de géolocalisation, mais aussi le télésurveilleur. Dans ce cas précis, c’est la société de service qui est responsable du traitement. Ce dernier doit s’assurer du consentement de la personne géolocalisée. La finalité est bien entendu la sécurité et la santé de la personne. Toutefois, la durée de conservation doit être très brève.

Comment recueillir, maintenir et mettre fin au consentement ?

 Enfin, l’exemple d’un réseau social géolocalisé gratuit en France. Le principe est simple : « Je te localise, tu me localises, … » Après « accord respectif » des personnes, leurs téléphones sont localisés en temps réel, en permanence si elles le souhaitent. Dans ce cas de figure, le RT est le propriétaire du réseau social, et les sous-traitants les opérateurs de télécom mobile.
Dans ce schéma, le problème du consentement est majeur et les risques multiples : risque de perte de contrôle de sa localisation, risque d’oubli de l’accord donné lors de l’inscription (qui s’avère d’ailleurs parfois plus ou moins explicite), multiplication du nombre de personnes pouvant accéder aux données, voire à terme une localisation potentiellement permanente. Nous n’en sommes pas encore là aujourd’hui, mais nous nous dirigeons en tous cas en ce sens.

La problématique du consentement doit donc être traitée dans les règles de l’art :
 Comment recueillir le consentement ? Le consentement doit faire l’objet de conditions générales spécifiques. La personne doit pouvoir choisir à qui, quand et pendant combien de temps elle permet sa localisation.
 Comment maintenir le consentement ? Si le service est gratuit et permanent, le RT doit rappeler régulièrement aux personnes qu’elles sont géolocalisées (pop-up d’alerte, …) et leur demander (tous les 6 mois environ) de confirmer ce consentement.
 Comment mettre fin au consentement ? Il est nécessaire de mettre en place un moyen simple et visible pour les personnes désireuses de mettre fin à leur consentement à tout moment [3].

Dans ce dernier cas, la durée de conservation doit être très limitée : quelques jours, voire quelques heures.

La géolocalisation fait aujourd’hui partie de notre vie quotidienne. Même si elle doit être minutieusement encadrée, il ne faut pas perdre de vue qu’elle permet avant tout l’accès à des services à valeur ajoutée. Toutefois, un important travail d’éducation reste à faire pour permettre aux gens d’en bénéficier en toute sécurité.


[1] http://www.cnil.fr/dossiers/deplacements-transports/fiches-pratiques/article/les-dispositifs-de-geolocalisation-gsmgps/

[2] http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/declarer-un-fichier/declaration/mon-secteur-dactivite/mon-theme/je-dois-declarer/declaration-selectionnee/dec-mode/DISPLAYSINGLEFICHEDECL/dec-uid/23/

[3] Article L34-1 IV du Code des postes et des communications électroniques :
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000020740388


Voir les articles précédents

    

Voir les articles suivants