Géolocalisation et RGPD

Le RGPD a apporté d’importants chamboulements à de nombreux acteurs économiques. Les entreprises spécialisées dans la géolocalisation ainsi que celles qui utilisent ce type de données au quotidien n’y échappent pas. Quels sont pratiquement les impacts du nouveau règlement sur la protection des données personnelles sur les systèmes de géolocalisation ? Et surtout, que faire pour qu’un service de géolocalisation soit en conformité avec la nouvelle norme ?

RGPD : les impacts sur les systèmes de géolocalisation

Depuis le 25 mai 2018, les entreprises qui manipulent des données personnelles de citoyen européen devront se plier aux nouvelles exigences du RGPD. Et les fournisseurs de services de géolocalisation sont particulièrement touchés. En effet, même si le RGPD ne désigne pas explicitement les données de géolocalisation comme des données personnelles, les autorités de contrôle l’ont bien confirmé. Mais bien sûr, toute donnée de localisation ne peut pas être définie comme une donnée personnelle. D’après les précisions apportées par les experts : « une donnée de localisation ne sera considérée comme une donnée personnelle que lorsqu’elle se rapportera à une personne physique directement ou indirectement identifiable ». De même, les données de géolocalisation reliées à un identifiant publicitaire sont également considérées comme des données personnelles.

Le plus important dans tout cela c’est qu’à partir du moment où une donnée de géolocalisation est assimilée à une donnée personnelle, le traitement qui s’y porte sera soumis au régime du RGPD et toutes les conséquences que cela implique. Ainsi, ceux qui exploitent ce type de service doivent :

Respecter la finalité du traitement qui doit être la fois explicite et légitime ;
Obtenir le consentement de la personne concernée (utilisateur de l’application mobile, internaute…) pour la collecte de ses données de géolocalisation ;
Fournir aux personnes concernées des informations portant sur la durée de conservation des données, la finalité, les destinataires, les droits qu’ils possèdent (droit de rectification, droit d’opposition, droit d’accès, portabilité…).

Que faire pour se mettre en conformité ?

Pour mettre en conformité un service de géolocalisation avec les normes imposées par le RGPD, plusieurs mesures doivent être prises.

Tout d’abord, il faut informer les personnes concernées sur les raisons qui poussent l’entreprise à collecter leurs données et obtenir un accord (consentement) pour chacune de ces raisons ;

En outre, il faut leur donner la possibilité de choisir le niveau de géolocalisation (à l’échelle d’une région, d’un pays ou d’un code postal) ;

À part cela, à chaque fois que le service de géolocalisation est actif, la personne concernée doit le savoir grâce à la présence d’une icône bien visible sur l’appareil avec lequel il se connecte ;

Enfin, conformément au respect du principe du consentement, il faut toujours offrir la possibilité de revenir sur le consentement donné sans pour autant cesser de profiter des services proposés par le responsable du traitement.

Il est important de préciser que les contrôles dont font l’objet les entreprises utilisant des services de géolocalisation sont particulièrement stricts. La CNIL a la possibilité de réaliser des contrôles sur place pour vérifier la conformité des systèmes avec les nouvelles exigences du RGPD. Les sanctions en cas de non-conformité peuvent aller d’un simple avertissement à une sanction pécuniaire pouvant atteindre les 150 000 euros (300 000 euros en cas de récidive). Pour se mettre en conformité, il est plus que conseillé de réaliser un audit de conformité.