惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

F
Fortinet All Blogs
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
有赞技术团队
有赞技术团队
www.infosecurity-magazine.com
www.infosecurity-magazine.com
大猫的无限游戏
大猫的无限游戏
爱范儿
爱范儿
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Threatpost
V
Visual Studio Blog
Apple Machine Learning Research
Apple Machine Learning Research
博客园 - Franky
人人都是产品经理
人人都是产品经理
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
The Cloudflare Blog
N
News and Events Feed by Topic
L
Lohrmann on Cybersecurity
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
酷 壳 – CoolShell
酷 壳 – CoolShell
V
V2EX
AWS News Blog
AWS News Blog
S
SegmentFault 最新的问题
T
Tailwind CSS Blog
Hugging Face - Blog
Hugging Face - Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Spread Privacy
Spread Privacy
J
Java Code Geeks
博客园 - 聂微东
T
Tor Project blog
宝玉的分享
宝玉的分享
博客园 - 叶小钗
Webroot Blog
Webroot Blog
博客园 - 【当耐特】
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
H
Heimdal Security Blog
Y
Y Combinator Blog
T
The Blog of Author Tim Ferriss
MongoDB | Blog
MongoDB | Blog
I
InfoQ
Security Latest
Security Latest
Martin Fowler
Martin Fowler
Hacker News: Ask HN
Hacker News: Ask HN
P
Privacy International News Feed
C
CERT Recently Published Vulnerability Notes
Latest news
Latest news
雷峰网
雷峰网
D
Darknet – Hacking Tools, Hacker News & Cyber Security
C
Cisco Blogs
H
Help Net Security
L
LINUX DO - 最新话题
L
LINUX DO - 热门话题

RSS - Actualités CNIL

Revoir le webinaire : Nouveau téléservice santé et recherche, ce qui change pour vos demandes d’autorisation Travail, ressources humaines : le contrôle de l’activité des personnes employées Le CEPD met en lumière l’anonymisation et le moissonnage pour l’IA générative et adopte la version finale des lignes directrices sur la chaîne de blocs Géolocalisation et applications mobiles : comment protéger vos données ? La CNIL a prononcé 23 nouvelles sanctions depuis janvier au titre de la procédure simplifiée Le métier de DPO à l’heure de l’intelligence artificielle : publication des résultats de l’enquête Jeux d’argent et de hasard : appliquer le RGPD aux traitements de données des joueurs Ordre du jour de la séance plénière du 2 juillet 2026 Véhicules connectés : dans quelles conditions vos données de localisation peuvent être utilisées ? Véhicules connectés : la CNIL publie sa recommandation sur l’utilisation des données de localisation Technologies émergentes et protection des mineurs : les autorités de protection des données du G7 s’accordent sur des principes clés Victimes de violations de données : restez vigilants face aux offres d’accompagnement Quatre auteurs reçoivent le deuxième prix CNIL/EHESS pour leur recherche sur la réception du règlement IA par les citoyens européens Informations publiques Remise du prix « Protection de la vie privée » 2026 par la CNIL et l’Inria Élections professionnelles dans la fonction publique et vote électronique : comment transmettre les rapports d’expertise à la CNIL ? Sécurité des données : les règles essentielles pour protéger les données et votre activité Ordre du jour de la séance plénière du 18 juin 2026 Nomination de Jean-Michel FIETIER au poste de directeur administratif et financier de la CNIL Revoir le webinaire - Pixels de suivi dans les courriels : présentation des recommandations de la CNIL Le CEPD rencontre le commissaire européen McGrath et adopte un modèle commun de notification des violations de données Communications par voie électronique aux prospects et clients : quelles règles respecter ? Ordre du jour de la séance plénière du 4 juin 2026 Quelles qualifications pour les acteurs de l’informatique en nuage (cloud) ? Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA Ordre du jour de la séance plénière du 28 mai 2026 « IA générative et vie privée » : une affiche coproduite par la PIPC et la CNIL pour sensibiliser les utilisateurs d’IA à la protection de leurs données Cyberattaque : le sous-traitant au centre de la crise Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003 Ordre du jour de la séance plénière du 21 mai 2026 Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025 Confidentialité de l’euro numérique : où en sommes-nous ? Les lunettes connectées : la CNIL appelle à la vigilance Demandes de crédit : comprendre l’utilisation de vos données et vos droits Octroi de crédit : la CNIL publie sa recommandation sur l’utilisation de données personnelles pour l’évaluation de la solvabilité Privacy Research Day : participez à la journée dédiée à la recherche sur la vie privée Les membres et les résultats Médiathèque G7 2026 : la CNIL accueille à Paris la Table ronde des autorités de protection des données et de la vie privée Vue d’ensemble Ordre du jour de la séance plénière du 5 mai 2026 IA conversationnelle et santé mentale des jeunes : résultats de l’enquête européenne Revoir le webinaire - Usages numériques des enfants : comment sensibiliser les parents-salariés ? Commerce de détail : la CNIL approuve le code de conduite porté par l’Alliance du Commerce Le rapport d’activité du DPO : piloter la conformité et valoriser ses actions Vote par correspondance électronique : la CNIL met à jour sa recommandation Lignes directrices pour la recherche scientifique et certification : les derniers documents adoptés par le CEPD Revoir le webinaire - Élections municipales 2026 : quelles sont les nouvelles règles de ciblage électoral ? AIPD : le CEPD lance une consultation publique sur un modèle européen Ordre du jour de la séance plénière du 16 avril 2026 Les sanctions prononcées par la CNIL Pixels de suivi dans les courriers électroniques : vous devez être mieux informés Pixels de suivi dans les courriers électroniques : la CNIL publie ses recommandations pour mieux protéger la vie privée Municipales 2026 : le bilan de l’observatoire des élections de la CNIL Outil PIA : téléchargez et installez le logiciel de la CNIL Accompagnement des professionnels : le programme de travail de la CNIL pour 2026 Les webinaires de la CNIL Désigner un délégué à la protection des données (DPO) ou modifier une désignation Les contrôles en 2026 : recrutement, répertoire électoral unique et fédérations sportives Ordre du jour de la séance plénière du 2 avril 2026 Gestion des ressources humaines : la CNIL publie un référentiel de durées de conservation Revoir le webinaire - Développement d’un système IA, webscraping : comment mobiliser la base légale de l’intérêt légitime ? Données post mortem : publication du cahier air2025 sur l’éthique des traces numériques
Géolocalisation et applications mobiles : quelles règles pour protéger les données des utilisateurs ?
CNIL · 2026-07-07 · via RSS - Actualités CNIL

La est devenue un outil central des applications mobiles. Mais sa collecte et sa réutilisation soulèvent des enjeux majeurs de protection des données personnelles. La CNIL rappelle les règles applicables et les droits des personnes pour protéger leur vie privée.

La géolocalisation est aujourd’hui largement utilisée par les applications mobiles. Elle permet de proposer des services essentiels comme la navigation et les services de mobilité, la météo localisée ou encore certaines fonctionnalités de sécurité. Mais au-delà de ces usages fonctionnels, la constitue également un levier économique important pour monétiser de nombreuses applications.

Ces derniers mois, plusieurs enquêtes menées par des médias français et internationaux ont mis en lumière la circulation massive de données de géolocalisation issues des applications mobiles et leur exploitation dans l’écosystème publicitaire. Elles ont notamment révélé l’existence de bases de données regroupant des millions d’identifiants publicitaires associés à des historiques de localisation, collectés via des applications très utilisées du quotidien (services de mobilité, jeux, applications de rencontres, etc.) dont la légalité pose question au regard de la règlementation. Ces données, ensuite revendues par des courtiers spécialisés, permettent de reconstituer des trajectoires de déplacement avec une précision parfois très fine, sans que les utilisateurs en aient pleinement conscience, en violation avec la règlementation relative à la protection des données.

Ces constats rejoignent les constats des autorités de protection des données, dont la CNIL, et la nécessité de mieux encadrer les flux de données issus des applications mobiles.

Dans ce contexte, et suite de la publication de la recommandation sur les applications mobiles, la CNIL rappelle les règles applicables à la collecte et à l’exploitation de ces données. Elle met également à disposition des personnes concernées une fiche pratique pour les aider à contrôler leurs données et exercer leurs droits.

Qu’est-ce que la géolocalisation ?

La géolocalisation est une technologie qui permet de déterminer la position d’un objet (un téléphone, par exemple) et le plus souvent donc de son utilisateur à un instant donné ou de manière continue avec plus ou moins de précision. La technologie s’appuie généralement sur le système GPS ou sur les interfaces de communication d’un téléphone mobile (adresses IP, scan Wi-Fi ou Bluetooth).

Ces données permettent généralement d’identifier directement ou indirectement une personne. Leur caractère souvent continu et précis en fait des données particulièrement sensibles au regard de la vie privée.

Quels sont les enjeux pour la vie privée des utilisateurs ?

Les déplacements : des informations personnelles et sensibles

Les déplacements des personnes en disent long sur elles. Ils révèlent leurs habitudes (domicile, lieu de travail, sorties), mais aussi leurs centres d’intérêt, leurs fréquentations et parfois même leurs convictions ou autres données sensibles (fréquentations de lieux de cultes, locaux d’un syndicat ou d’une association, séjour dans un hôpital, etc.). Ces données peuvent être exploitées à leur insu, y compris de manière malveillante.

Des données qui permettent parfois de réidentifier les personnes

Contrairement à une idée reçue, il n'est pas toujours nécessaire de connaître le nom d'une personne pour l'identifier. Quelques points de localisation suffisent souvent à reconnaître un individu, notamment lorsqu'ils révèlent son domicile, son lieu de travail ou ses habitudes de déplacement.

Même lorsque les données sont présentées comme « anonymes » ou associées à un simple identifiant technique, elles peuvent parfois être croisées avec d'autres informations et permettre de retrouver l'identité d'une personne. Plus les données de géolocalisation sont précises et collectées sur une longue période, plus ce risque de réidentification s’avère important.

La géolocalisation : une ressource économique convoitée

Les données de géolocalisation ne sont pas toujours utilisées uniquement pour fournir le service demandé. Elles peuvent également servir à personnaliser les contenus ou cibler la publicité.

Dans certains cas, notamment pour les applications dites « gratuites », ces données peuvent constituer une source de revenus. Elles peuvent être partagées avec des partenaires publicitaires ou utilisées pour enrichir des profils marketing.

Exemple : une application de météo ou de sport peut avoir besoin de connaître la position de l’utilisateur pour fournir un service pertinent, mais également utiliser ou partager ces données pour financer tout ou partie de son modèle économique par la publicité ou des partenariats commerciaux.

Les enquêtes récentes sur les courtiers en données ont ainsi mis en évidence l'existence d'un marché de la donnée de géolocalisation, souvent méconnu des utilisateurs.

Ainsi, compte tenu de la sensibilité des données de géolocalisation et des risques associés à leur utilisation, les acteurs doivent veiller à respecter les règles applicables en matière de protection des données. Cette conformité est également un élément essentiel pour instaurer et maintenir la confiance des utilisateurs dans leurs services.

Quel cadre juridique pour le traitement de ces données ?

Les données de géolocalisation constituent des données personnelles lorsqu'elles permettent d'identifier directement ou indirectement une personne.

Leur traitement est notamment encadré par le règlement général sur la protection des données (RGPD) ainsi que les règles applicables à la protection de la vie privée dans les communications électroniques (article 82 de la loi Informatique et Libertés, Code des postes et des communications électroniques). Les acteurs doivent donc respecter l’ensemble des principes issus de ces textes, notamment en matière de licéité (c’est-à-dire par le choix d’une base légale adaptée), de transparence, de des données, de sécurité et de respect des droits des personnes.

Ces obligations s’imposent à l’ensemble des acteurs qui interviennent dans la chaîne de traitement des données de géolocalisation, qu’il s’agisse de l’éditeur de l’application ou des tiers auxquels ces données sont transmises, par exemple des partenaires publicitaires (régies marketing, courtiers en données, etc.). Chacun doit respecter le cadre juridique applicable pour les traitements qu’il met en œuvre, en fonction de son rôle et de ses responsabilités au regard du RGPD.

Informer clairement les utilisateurs

Les personnes doivent être clairement informées : elles doivent comprendre quelles données sont collectées, pourquoi elles le sont (les objectifs du traitement de données), qui les reçoit (les destinataires ou catégories de destinataires des données), combien de temps elles sont conservées (la durée de conservation) et quels sont leurs droits.

Cette information doit toujours être accessible, compréhensible et être présentée au bon moment au sein de l’application.

Exemple : une application de sport doit clairement distinguer les données utilisées pour afficher un parcours de celles éventuellement partagées avec des partenaires publicitaires.

Recueillir un consentement lorsque la géolocalisation n'est pas nécessaire au service

Le recueil d’un consentement libre, spécifique, éclairé et univoque est nécessaire pour collecter et utiliser les données de géolocalisation lorsque celles-ci ne sont pas strictement nécessaires pour faire fonctionner l’application / le service. C’est le cas, notamment, de l’usage publicitaire de ces données ou la revente à des fins marketing.

Exemple : une application de coupons promotionnels qui utilise la localisation pour adresser des publicités personnalisées dans les commerces situés à proximité.

Le consentement ne sera en revanche pas nécessaire lorsque ces données sont strictement nécessaires au service demandé.

Exemple : une application de navigation qui doit connaître la position de l'utilisateur pour calculer un itinéraire.

Attention

Le recueil du consentement ne dispense pas du respect des autres principes du RGPD, notamment la des données et la limitation de la durée de conservation (voir ci-dessous). Même en présence d’un consentement, les acteurs ne peuvent pas collecter une plus précise que nécessaire ni conserver des historiques de déplacements sur une longue durée à des fins de ciblage ou de revente.

Le rôle des systèmes d’exploitation dans l’accès à la

Les systèmes d’exploitation mobiles encadrent l’accès des applications aux données de géolocalisation.

Ils exigent qu’une application demande l’autorisation de l’utilisateur avant tout accès à la localisation (aussi appelées les permissions). Les personnes peuvent généralement :

  • accepter ou refuser l’accès à la localisation ;
  • choisir entre une localisation précise ou approximative ;
  • limiter l’accès à l’usage de l’application ou l’autoriser en arrière-plan ;
  • modifier ou retirer ces autorisations à tout moment.

Ces mécanismes constituent une première protection importante. Ils ne dispensent toutefois pas, en principe, les acteurs du respect du RGPD et des règles relatives à la vie privée : l’autorisation technique donnée par le système d’exploitation ne vaut pas, à elle seule, consentement pour les usages des données de localisation, notamment à des fins publicitaires ou de partage avec des tiers.

Limiter la collecte au strict nécessaire

Vous ne devez collecter que les données personnelles qui sont adéquates, pertinentes et nécessaires au regard des objectifs que vous avez fixé pour l’utilisation de ces données.

Choisir le niveau de géolocalisation adapté à chaque usage

Les acteurs doivent déterminer le niveau de précision réellement nécessaire. À titre de bonne pratique, l’éditeur peut proposer à l’utilisateur de saisir manuellement un code postal ou une adresse au lieu du traitement de la donnée de localisation.

Exemple : une application météo peut souvent fonctionner avec une localisation approximative correspondant à une ville ou un quartier, sans avoir besoin des coordonnées GPS exactes.

Limiter les transmissions et privilégier le traitement local

La CNIL recommande de traiter les données directement sur le terminal lorsque cela est techniquement possible.

Exemple : une application permettant de trouver le magasin le plus proche peut calculer ce résultat sur le téléphone plutôt qu'envoyer systématiquement la position de l'utilisateur vers un serveur distant.

Ne pas collecter en permanence

La collecte en arrière-plan doit être limitée aux situations où elle est réellement nécessaire.

Exemple : une application de navigation peut avoir besoin d'une géolocalisation continue pendant un trajet, mais pas lorsqu'elle n'est pas utilisée.

Définir une durée de conservation adaptée

Les données de localisation ne doivent pas être conservées plus longtemps que nécessaire.

Exemple : conserver plusieurs années l'historique détaillé des déplacements d'un utilisateur pour une simple application météo serait difficilement justifiable.

Permettre aux utilisateurs de garder le contrôle de leurs données

Les utilisateurs doivent pouvoir conserver la maîtrise de leurs données de géolocalisation tout au long de leur traitement. Les acteurs doivent ainsi permettre aux personnes d'exercer facilement leurs droits prévus par le RGPD, notamment le droit d'accès afin de savoir quelles données de géolocalisation sont détenues et comment elles sont utilisées, le droit à l'effacement, le droit d'opposition ou le droit de retirer son consentement lorsque le traitement repose sur celui-ci.

Lorsque les données de localisation ne sont plus nécessaires au fonctionnement du service ou lorsque l'utilisateur retire son consentement, celui-ci doit pouvoir demander leur suppression simplement.

Exemple : une application de sport qui conserve l'historique des parcours de ses utilisateurs doit leur permettre de consulter cet historique, de supprimer certains trajets ou l'intégralité de leur compte, ainsi que de retirer à tout moment leur consentement à l'utilisation de leurs données à des fins publicitaires.

Que risquez-vous en cas de manquement à ces règles ?

En cas de manquement aux règles précédentes, par exemple, si vous n’informez pas clairement les personnes ou si vous ne respectez pas la durée de conservation des données ou leur sécurité, ou encore si vous ne permettez pas aux personnes d’exercer leurs droits sur leurs données (consentement préalable lorsqu’il est nécessaire, droit d’accès, de rectification, retrait du consentement, etc.), la CNIL peut contrôler la façon dont vous collectez et utilisez les données. Ces contrôles peuvent être réalisés de sa propre initiative ou faire suite à une plainte d’utilisateurs.

En cas de manquement avéré, la CNIL peut mobiliser sa chaîne répressive et prononcer une sanction ou d’autres mesures correctrices.