Inscrivez-vous gratuitement à la Newsletter BFM Business
Christiane Féral-Schuhl, avocate à la Cour, associée fondatrice du cabinet Féral-Schuhl/Sainte-Marie, et bâtonnier désigné du Barreau de Paris
Le fait : une polémique récente sur l'utilisation par les smartphones de données de géolocalisation donne une nouvelle fois à la Cnil l'occasion d'affirmer sa compétence.Les bornes d'accès Wi-Fi émettent en permanence deux types d'informations : le nom du réseau auquel elles permettent l'accès (SSID) et leur code d'identification unique (BSSD). Ces données sont collectées automatiquement par certains opérateurs télécoms ou par des fabricants de smartphones qui établissent ainsi une cartographie des bornes Wi-Fi. Grâce à ces informations, les smartphones se géolocalisent plus facilement et plus rapidement qu'à l'aide des seules informations GPS.
L'historique rend l'identification possible
Des développeurs se sont toutefois aperçus que certains terminaux conservaient dans leur mémoire la géolocalisation de l'appareil ainsi obtenue d'une manière telle qu'une personne disposant d'un accès physique à l'appareil pouvait retracer le parcours de ce dernier, et donc de son utilisateur.Dans un communiqué du 5 mai 2012, la Cnil profite de cette affaire pour faire le point sur ces techniques de géolocalisation. Elle considère que la collecte, par un smartphone, de ces informations de géolocalisation constitue un traitement de données à caractère personnel. Elle fait valoir que le nom d'une personne peut apparaître dans le SSID de la borne Wi-Fi. Et elle rappelle que la connaissance d'un historique de géolocalisation suffit à identifier une personne, par exemple en localisant son domicile.
Un identifiant conservé 24 heures maximum
A la suite de ces constatations, la Commission préconise la mise en œuvre de bonnes pratiques en la matière. Elle recommande que l'identifiant unique, attribué au téléphone par le gestionnaire de la base cartographique, soit aléatoire et conservé 24 heures au maximum, sauf consentement de l'utilisateur.Ce dernier doit également être informé des finalités du traitement et de ses droits au regard de la loi du 6 janvier 1978. L'utilisateur doit enfin être en mesure de supprimer les données de localisation qui le concernent, qu'elles soient stockées sur son téléphone, détenues par le gestionnaire de base cartographique ou encore par toute autre application tierce.
Votre opinion