Recenser. Réutiliser. Valoriser.



Clauses Collecte des données de localisation

Variantes

9.0 Pas de collecte de données de localisation
9.1 Uniquement pour et pendant la fourniture de service
9.2 Mise à disposition des partenaires pour référencement et agrégation (avec opt-in)
9.3 Publication automatique / poursuite de la collecte dans le temps après l’activation / concession de licence d’exploitation perpétuelle

extrait: https://github.com/tsaintaubin/referentiel_cgu

Il s’agit de l’ensemble des données de localisation obtenues par l’opérateur / l’appareil.

En l’absence d’un cadre légal spécifique à cette catégorie de données, les contrats n’envisagent que très rarement leurs conditions de réutilisation alors que les pratiques recensées sont très régulièrement controversées, notamment avec la géolocalisation permanente.

En Mai 2011, le Contrôleur européen de la protection des données (CEPD) a dénoncé certaines pratiques et fait des propositions.

En l’état, ces données sont considérées comme des données personnelles, sauf exception. Il faut donc qu’elles soient supprimées dès que la finalité est dépassée.

Après une première proposition, la volonté de légiférer sur le cadre juridique de la conservation et de l’exploitation des données de localisation est aujourd’hui largement partagée en France.

En France, la politique d’Orange par exemple consiste à transmettre ces données au prestataire exclusivement pour la délivrance du service géolocalisé (Net Pro Orange/ Business Everywhere Orange), avec parfois un délai limité de conservation (CGU Orange Maps: « en acceptant d’être localisé, le client accepte que sa position géographique soit utilisée par Orange France ou par Telmap, pendant 3 mois après chaque utilisation du service »).

Google distingue l’usage en internet fixe ou mobile pour déterminer le régime d’opt-in ou d’opt-out pour la publication des données de localisation. En internet fixe, il met en place un système d’opt-in pour l’affichage de la localisation vers les internautes avec lesquels on partage le contenu ( V 9.2) .

Apple va plus loin en autorisant également ses partenaires et ses licenciés à collecter ces données, y compris de localisation d’un ordinateur. La collecte est anonyme et les données sont partagées avec les fournisseurs d’applications en cas d’opt-in.

Apple propose aussi des services du type « retrouver mon téléphone » via Mobile Me en mobilisant des données personnelles.

Cette politique d’Apple a fait l’objet de nombreuses critiques, notamment pour les raisons suivantes :

-      stockage de données dans la durée (plusieurs mois)

-      poursuite de la collecte après désactivation du service de localisation

-      copie du fichier dans le backup d’iTunes

Pour Apple, il s’agissait de bugs et il ne s’agissait pas d’une politique délibérée.

Pour répondre aux critiques de l’éventuelle collecte des données de localisation sur terminaux mobiles équipés IOS, Apple a apporté des modifications lors de mises à jour ultérieures :

-        MAJ IOS 4.3.3 = le fichier ‘‘consolidated.db’’ fait l’objet d’une conservation pour un délai réduit. Il est mis fin au partage du back up ITunes + effacement après désactivation de la géolocalisation.

-      MAJ IOS 5 = cryptage du cache IOS 5 et paramétrage des ‘‘services système’’, avec la définition des applications ayant le droit d’accéder aux données de localisation/ fonctions de localisation autorisées. Par ailleurs, les mentions légales de la section Map Data des CGU énumèrent désormais la liste des sociétés partenaires.

A titre de comparaison, d’autres acteurs, spécialisés dans le partage des données de localisation, présentent une politique de conservation et d’appropriation encore plus aggressive vis-à-vis de leurs utilisateurs :

-         Foursquare : il n’y pas de droit d’accès/ de modification pour l’utilisateur de ses données de géolocalisation au motif que celles-ci ont fait l’objet d’une publication.

-      Les CGU de Spyce vont même jusqu’à prévoir une cession des informations de géolocalisation au profit de l’éditeur, que celles-ci soient publiées par le service ou par son intermédiaire, dans une rédaction proche de la « licence perpétuelle » de Facebook sur les contenus ( V 9.3) .

Il faudrait systématiser l’information des abonnés sur la destination et les croisements opérés sur les données de localisation. Par exemple, pour une finalité plus limitée, Yahoo précise dans ses CGU que : « les informations sont agrégées et rendues anonymes pour optimiser service+ statistiques ».

Dans le cas où le recoupement où l’association des données individuelles est susceptible de permettre l’identification de la personne concernée, l’idéal serait d’envisager les différentes finalités de la collecte des traces de mobilité dans le contrat par exemple avec une clause du type « anonymisation pour exploitation commerciale par  le fournisseur du service et ses partenaires résultant de l’association des données de localisation avec un profil comprenant l’âge, le sexe et les centres d’intérêt ».

Ceci permettra au fournisseur  un niveau d’exploitation important des données agrégées ultérieurement au traitement et à l’anonymisation en l’absence de droits résiduels de l’utilisateur.