Partager sa géolocalisation avec les applications : êtes-vous suffisamment informé ?

Marie utilise une application de course à pied et accepte toujours de partager sa localisation. Quelques semaines plus tard, elle reçoit un courrier personnalisé lui proposant un abonnement à une salle de sport proche de son lieu de travail.

Marie s’interroge : comment cette entreprise connait son lieu de travail ?

En réalité, en autorisant l’accès à sa position en continu, tous ses déplacements ont pu être enregistrés et analysés. La géolocalisation est une donnée particulièrement révélatrice. Elle permet de retracer tous ses déplacements et d’en déduire des informations très précises sur sa vie quotidienne, tant professionnelle que privée :

Son domicile et son lieu de travail ;

Les commerces ou établissements qu’elle fréquente (restaurants et bars, salle de sport, lieu de culte, cliniques…) ainsi que la fréquence et les jours et heures auxquelles elle les fréquente ;
L’école de ses enfants ;
…

En regroupant toutes ces informations, il est possible d’établir un profil détaillé de Marie. Celui-ci peut ensuite être partagé avec des tiers à des fins de marketing direct.

Ces profils utilisateurs (ou certaines des informations qu’ils contiennent, isolément) ont une grande valeur économique. En effet, ces données peuvent être commercialisées à des tiers à des fins de marketing, et ce parfois sans que vous n’en ayez pleinement conscience.

La vente de données à caractère personnel à des fins de marketing direct par un courtier en données

Les courtiers en données (ou « data brokers » en anglais) sont des entreprises qui collectent des données personnelles depuis des sources variées, parfois indirectes, les traitent (et notamment les enrichissent avec des données provenant de ces sources diverses) puis les revendent à des tiers qui les utilisent pour diverses finalités (ex : marketing, mise à jour ou enrichissement de leurs propres fichiers clients, recherche, etc.).

Les données traitées et revendues par les courtiers en données ne sont généralement pas collectées directement auprès de vous mais auprès d’entreprises qui les ont collectées auprès de vous lors de vos interactions (en ce compris vos achats et vos utilisations de leurs services). Cette situation peut poser des difficultés en termes de transparence, car très souvent, vous n’êtes pas clairement informé quant à ce commerce ni quant à l’utilisation finale qui sera faite de vos données, ni encore quant à la multitude des acteurs impliqués dans cette chaine. Pourtant, la transparence est cruciale pour vous permettre de garder le contrôle sur vos données à caractère personnel et pour en assurer une protection efficace.

Par exemple, si vous utilisez une application pour faire du sport et que celle-ci partage vos données avec des tiers, elle doit vous informer au sujet de l’identité précise des tiers avec lesquels vos données sont partagées ainsi que des finalités pour lesquelles ces tiers pourront les utiliser et recueillir votre consentement.

De cette manière, vous pouvez exercer vos droits en matière de protection des données, comme par exemple le droit d’accès aux données, le droit de s’opposer au traitement de tes données, ou le droit de les faire effacer.

Quand est-ce que le partage de la localisation est réellement nécessaire ?

Il est essentiel de distinguer deux situations :

Lorsque la géolocalisation est nécessaire au fonctionnement de l’application : par exemple, pour une application GPS ou de navigation. La localisation est nécessaire pour fournir le service demandé ;
Lorsque la géolocalisation est utilisée pour d’autres finalités, comme le partage avec des tiers à des fins de marketing direct, elle ne peut être considérée comme strictement nécessaire au bon fonctionnement du service. Par exemple une application de lampe de poche n’a, en principe, pas besoin d’accéder aux données de localisation pour assurer son fonctionnement. Dans une telle hypothèse, la collecte et l’utilisation de données de localisation doit faire l’objet d’une information claire et le consentement de l’utilisateur doit être recueilli.

Cette pratique est-elle encadrée ?

Tous les acteurs impliqués qui traitent vos données doivent respecter le RGPD notamment :

Vous informer quant à l’utilisation de vos données à caractère personnel (qui en fera quoi, pour quoi et combien de temps);
Obtenir votre consentement pour l’usage des données qui ne sont pas strictement nécessaires au fonctionnement de l’application ou lorsque les données collectées par les applications, telles que des données de localisation, sont ensuite revendues à des tiers à des fins de marketing.

Un consentement, pour être valable au sens du Règlement Général sur la protection des données (RGPD), doit satisfaire à toute une série de conditions. Celui-ci doit, entre autres, être :

Eclairé : vous devez être informé quant à l’identité des organisations qui traitent vos données et pourquoi, afin de pouvoir consentir de manière éclairée au traitement de ces données. Si les données collectées seront revendues à des tiers à des fins de marketing direct, vous devez en être informé d’emblée ;
Univoque : votre consentement doit être donné par un acte positif clair et ne peut pas être supposé par défaut en cas de silence, d’inactivité ou parce que vous n’avez pas décoché une case pré-cochée ;
Spécifique : l’entreprise qui sollicite votre consentement pour utiliser vos données pour accomplir plusieurs finalités différentes doit obtenir un consentement distinct pour chaque finalité ;
Libre : vous devez avoir un véritable choix. Par exemple, si vous ne consentez pas à ce que vos données soient revendues à des tiers à des fins de marketing direct, vous ne pouvez pas subir de conséquences négatives telles que l’impossibilité d’utiliser l’application ou de pouvoir utiliser certaines de ses fonctionnalités.

Conseils pour sécuriser vos données

Ne pas télécharger n’importe quelle application : uniquement celles en lesquelles vous avez confiance ;
Lire les politiques de confidentialité, notamment pour savoir quelles sont les données collectées, avec qui elles sont partagées et à quelles fins (pour en faire quoi);
Ne partagez votre localisation que quand c’est nécessaire : dans les réglages de votre téléphone, vous avez toujours le choix entre « partager sa localisation en continu », « jamais » ou « uniquement lorsque l’application est active ». Evitez de partager votre localisation en continu ;
Limitez les autorisations d’accès à vos données, surtout quand celles-ci vous paraissent excessives et sans lien avec le service proposé ;
Vérifiez régulièrement les réglages dans les paramètres de votre téléphone ;
N’acceptez pas systématiquement le partage de vos données avec des tiers ;
Exercez votre droit d’accès. Par exemple, vous avez reçu un courrier publicitaire à votre nom. Contactez l’organisation en question afin d’avoir de plus amples informations : quelles sont les données que vous détenez à mon sujet ? Comment les avez-vous reçues ? Avec qui les partagez-vous et que peuvent faire ces tiers avec mes données ?

Liens intéressants

Quels sont mes droits ?

Que faire en cas d'abus ?