La géolocalisation, ou comment faire rimer nouvelles technologies et respect des données personnelles ?

(article écrit le 15 janvier 2010)

La téléphonie cellulaire, le Wi-Fi et la radio-identification d’objets sont des technologies qu’il faut encadrer à cause de leur fonction de géolocalisation.

Il s’agit d’une technologie associée à un traitement de données personnelles, qui a pour but principal de déterminer la localisation plus ou moins précise d’un objet ou d’une personne par le biais d’un système GPS ou autre logiciel adapté.

Ses applications et ses finalités sont multiples : l’assistance à la navigation, la mise en relation de personne, mais aussi la recherche d’individus par les services de police tout comme la gestion en temps réel des moyens en personnel et en véhicules des entreprises.

Si le développement de cette technologie permet d’offrir aux utilisateurs de nouveaux services, celle-ci se doit d’être encadrée car, tout en se nourrissant d’informations relatives à des derniers, elle est potentiellement attentatoire  à leur vie privée.

Il serait toutefois dommage de se priver d’une telle technologie, tant cette dernière est un formidable outil  dont les différentes utilités paraissent aujourd’hui évidentes. Au delà du réel agrément en matière de transport ou de l’indispensable soutien à l’appui des opérations de police ou de sauvetage, les services de géolocalisation sont devenus incontournables au fonctionnement de nouvelles applications sociales telles que  la gestion de son réseau.

Les utilisateurs de nouvelles technologies ont vocation à être sollicités par ces nouveaux services et sont donc susceptibles de faire l’objet d’un traitement sans qu’ils en soient toujours forcément conscients.

L’équilibre entre la connaissance du positionnement géographique de l’utilisateur, nécessaire à la fourniture du service géolocalisé, et le respect des droits des personnes doit donc être recherché.

I – Une technologie à étudier au regard des libertés individuelles

A – Introduction au fonctionnement technique

Le développement du progrès technique permet de délivrer des services sans cesse plus personnalisés aux utilisateurs, notamment des prestations géolocalisées.

Pour reprendre la définition donnée par M. Pinet, Commissaire à la CNIL, nous parlons ici des « traitements qui consistent à déterminer la position géographique d’un terminal non-éteint c’est-à-dire en veille ou en conversation, évoluant dans un réseau de communications mobiles afin, soit de présenter cette donnée de localisation à une personne qui recherche le possesseur du mobile, soit d’adresser cette même donnée à un prestataire qui l’utilisera pour offrir ses services selon le lieu où se trouve l’utilisateur à un instant déterminé ».

Les services dits géolocalisés sont présentés comme le ferment du développement des services de communications mobiles et des sollicitations commerciales par voie électronique.

Si ces systèmes sont susceptibles d’améliorer les services rendus, tant par les administrations publiques que par les entreprises privées, leur usage comme moyen de contrôle de l’activité des employés mérite d’être encadré.

B – Un fonctionnement à plusieurs acteurs : l’exigence d’un     encadrement

a – Une imbrication tripartite

Les services géolocalisés impliquent une relation tripartite entre l’usager, les prestataires techniques (l’opérateur, les prestataires se services) et la collectivité publique.

  • Du côté de l’utilisateur

Si celui-ci n’accepte guère les intrusions dans sa vie privée, il est paradoxalement demandeur de services géolocalisés lui facilitant certaines de ses démarches. Il convient malgré ce paradoxe de le sensibiliser sur les éventuels risques et de protéger ses données personnelles.

  • Du côté des prestataires techniques

S’il est rassurant de circonscrire la responsabilité du traitement de ces données à l’opérateur (propriétaire du réseau), cette idée est impossible à appliquer.

En effet, la mise en œuvre de ces réseaux coûte cher et la rentabilisation de tels investissements implique de nouer des liens de partenariat avec différents prestataires de services, de manière à proposer aux utilisateurs la plus large gamme possible de services afin de favoriser l’utilisation des réseaux et d’optimiser ainsi le retour sur investissements.

Il faut en conséquence avoir à l’esprit que si les données personnelles ne sont plus conservées par l’opérateur, elle est susceptible d’être conservée par le prestataire dont il n’est pas assuré qu’il respectera la loi relative aux données personnelles et ne réutilisera pas à d’autres fins commerciales les informations qu’il possède sur l’utilisateur.

  • Du côté de la collectivité

Le développement des plates-formes de localisation est une véritable « aubaine » pour les services de police. Les intérêts comme les dérives de tels dispositifs de surveillance sont évidents. Aux impératifs policiers, s’opposent ici, in fine, le devoir de protection des données personnelles de la vie privée.

Dans un tel contexte où les frontières entre les rôles de différents intervenants sont non seulement floues mais également appelées à évoluer au fur et à mesure du développement des services, il revient au législateur de poser des règles claires afin d’assurer la protection des données personnelles et le respect de la vie privée.

b- la difficile mise en œuvre technique de cet encadrement

Le respect de certains principes permet d’encadrer la pratique de la géolocalisation, mais encore faut il qu’ils soient applicables en pratique.

Comme le souligne M. Pinet :

  • tout d’abord, nul ne doit être localisé par qui que ce soir à on insu, à l’exception des services d’urgence et de secours pour la sauvegarde des vies humaines et des biens.
  • l’information de localisation ne doit pas être conservée une fois le service rendu.
  • toute transmission à un tiers soir faire l’objet d’une information des personnes concernée.

Ces principes posent maintenant la question de leur traduction  pratique :

  • Un utilisateur accepterait il d’être sans cesse dérangé par le bip de son mobile qui lui demande son accord alors qu’il recourt à un service d’aide à la navigation ?
  • L’opérateur qui calcule une localisation et la transmet à un prestataire de services va-t-il prendre le soin de s’assurer que ce dernier a bien effacé ces données une fois qu’il aura facturé son service ? Et s’il s’agit d’un prestataire étranger dont la loi locale ne protège pas les données personnelles ?
  • Enfin, est-il souhaitable que l’autorité judiciaire puisse avoir accès à la localisation de personnes suspectées ou d’auteurs de délits ou de crimes ?

S’il semble compliqué d’assurer le respect de ces principes protecteurs, le balisage de la géolocalisation apparaît cependant comme indispensable dans son usage quotidien.

II – Les enjeux pratiques de la géolocalisation

A – La géolocalisation des salariés

De plus en plus d’entreprises mettent en œuvre des dispositifs de géolocalisation des voitures confiées à leurs salariés. Ces dispositifs leur permettent de localiser à tout moment la position d’un véhicule, et par conséquence, le salarié (identifié) qui le conduit.

Il s’agit dès lors d’un traitement de données à caractère personnel et doit être soumis à certaines formalités. La CNIL a publié dans cet esprit un guide sur la géolocalisation des salariés.

Un employeur qui souhaiterait utiliser un dispositif de géolocalisation doit effectuer une déclaration à la CNIL. Par cette déclaration, l’employeur doit préciser :

  • Les finalités du traitement (exemple : lutte contre le vol, gestion en temps réel des interventions auprès des clients).

Le traitement d’informations doit ainsi s’effectuer de façon adéquate, pertinente, non excessive et strictement nécessaire à l’objectif poursuivi.

Le recours à un tel dispositif ne doit pas conduire à un contrôle permanent de l’employé concerné et ne pas déborder en dehors des horaires de travail.

  • Les modalités de l’information des personnes concernées

La CNIL reconnaît à toute personne le droit de s’opposer, pour des motifs légitimes, à ce que les informations nominatives la concernant fassent l’objet d’un traitement. En cas de désaccord avec l’employeur, il appartient aux juridictions compétentes de trancher le litige.

En application du droit du travail, le comité d’entreprise doit être informé et consulté préalablement à tout projet de la sorte.

  • La nature des données collectées

L’employeur ne peut collecter toutes les informations qu’il désire, mais uniquement celles nécessaires au traitement de la finalité.

La CNIL recommande par exemple que le dispositif de géolocalisation ne mentionne pas la vitesse maximal du véhicule mais sa vitesse moyenne, car en effet, il revient aux autorités judiciaires et non à l’employeur de constater d’éventuelles infractions au code de la route.

  • Les destinataires des informations collectées

L’employeur doit limiter l’accès aux données à caractère personnel transmises par le système de géolocalisation aux personnes habilitées à recevoir et consulter les informations.

Dans l’hypothèse où la géolocalisation serait utilisée pour lutter contre le vol, seules les autorités de police sont habilitées à avoir connaissance des données collectées et non l’employeur.

  • La durée de conservation des données collectées

L’employeur ne doit conserver les données collectées que pour la durée nécessaire au traitement, c’est-à-dire le temps dont il en a besoin pour atteindre l’objectif poursuivi par le dispositif.

Si l’employeur rend les données anonymes, la durée de conservation peut être illimitée, mais il est rare que les données collectées soient considérées comme anonymes.

A titre informatif, la non-déclaration de traitement à la CNIL est punie de 5 ans d’emprisonnement et de 300.000 euros d’amende (article 226-16 du code pénal). Et sur le plan civil, cette non déclaration rend le dispositif inopposable aux employés.

B – Enjeux techniques et sociétaux

L’essor des technologies de localisation est à l’origine de nouveaux enjeux juridiques : développer de nouvelles technologies et respecter les droits individuels.

Ainsi, par une délibération du 17 novembre 2005, la CNIL a refusé la mise en œuvre d’un dispositif qui aurait conduit un assureur à pouvoir géolocaliser de façon permanente des jeunes conducteurs. Ce refus est basé, d’une part, sur le traitement systématique de données relatives aux dépassements de limitations de vitesse et, d’autre part, sur le caractère disproportionné du dispositif au regard de sa finalité.

La CNIL, toujours encrée dans une dynamique de protection de l’individu, est venue préciser que le consentement ne suffit pas à rendre légitime tout traitement de données personnelles. Après avoir protégé l’individu contre les intrusions des tiers, la Commission vient protéger l’individu contre lui-même.

(article écrit le 15 février 2010)

Pour Nicolas Nova, chercheur, en ce qui concerne la vie privée, il existe une peur dans l’imaginaire social de l’intrusion dans les données, mais que ce problème est à considérer au-delà des services géolocalisés et doit être replacé dans le régime global de protection des données personnelles sur Internet.

Il faut ainsi considérer que les utilisateurs d’Internet partagent tout autant d’informations sur leur situation (géographique et sociale) sans forcément utiliser d’outils de géolocalisation, mais en se servant de plateformes apparemment anodines telles que Twitter ou Facebook, qui peuvent apparaître comme une forme non-cartographique de géolocalisation (Nicolas Nova, Les médias Géolocalisés, FYP, 2009).

Jérôme GIUSTI

Avocat au Barreau de Paris
Spécialiste en droit de la propriété intellectuelle

Avec la participation de Pierre Miriel

.